darkcomet | 6db036bca5f6e4bf557f27b9a03d0d884600b740db2fe5c3536428cfed894d98

Analysis

max time kernel
46s
max time network
120s
platform
windows7_x64
resource
win7-20240903-en
resource tags

arch:x64arch:x86image:win7-20240903-enlocale:en-usos:windows7-x64system
submitted
21/01/2025, 02:55

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe
Size

684KB
MD5

0190f7b16d0ee5d2b081e73203e17ce4
SHA1

feb0ded0bbbf5d20f75467fcc40c50394f5d3f0e
SHA256

6db036bca5f6e4bf557f27b9a03d0d884600b740db2fe5c3536428cfed894d98
SHA512

8574aeb44c2cfad7acfde9dfc557e1b2dbe3509811ae937c7f02295c681443f630c78055184ebc08656948c224c25f06cf0a6cffa922a865884d86ca33d9b451
SSDEEP

12288:AN43KyDXA1LMid5D56w15CioScj3+Rv0OTfbKTPzxe3tKij7Lgm96e4ZOToxqMdS:ANAzA1VDD5n152j3GsjTPktKij7cjeP9

Score

10^/10

darkcomet guest16 defense_evasion discovery persistence rat trojan

Malware Config

Extracted

Family

darkcomet

Botnet

Guest16

bandit1971.no-ip.org:1604

Mutex

DC_MUTEX-DCD6ZG6

Attributes

InstallPath
winlogon.exe
gencode
aqW6mlZhwxrl
install
true
offline_keylogger
true
persistence
true
reg_key
MicroUpdate

Signatures

Darkcomet
DarkComet is a remote access trojan (RAT) developed by Jean-Pierre Lesueur.
trojan rat darkcomet
Darkcomet family
darkcomet

Modifies WinLogon for persistence 2 TTPs 64 IoCs

persistence

Winlogon Helper DLL

T1547.004

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe"	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe,C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe

Sets file to hidden 1 TTPs 64 IoCs

Modifies file attributes to stop it showing in Explorer etc.

defense_evasion

Hidden Files and Directories

T1564.001

pid	Process
4932	attrib.exe
5720	attrib.exe
13144	Process not Found
24332	Process not Found
6632	attrib.exe
7592	attrib.exe
9052	attrib.exe
12580	Process not Found
14092	Process not Found
18612	Process not Found
4620	attrib.exe
4740	attrib.exe
4816	attrib.exe
5772	attrib.exe
11080	Process not Found
17312	Process not Found
19828	Process not Found
2692	attrib.exe
8788	attrib.exe
9876	Process not Found
12052	Process not Found
23120	Process not Found
1448	attrib.exe
5928	attrib.exe
11136	Process not Found
3068	Process not Found
6668	attrib.exe
17452	Process not Found
20884	Process not Found
19416	Process not Found
21408	Process not Found
19620	Process not Found
22420	Process not Found
6404	attrib.exe
7388	attrib.exe
15420	Process not Found
18840	Process not Found
17960	Process not Found
4424	attrib.exe
5584	attrib.exe
11180	Process not Found
11772	Process not Found
19020	Process not Found
18460	Process not Found
20060	Process not Found
3212	attrib.exe
11012	Process not Found
10808	Process not Found
11788	Process not Found
22296	Process not Found
23924	Process not Found
5020	attrib.exe
8732	attrib.exe
9628	Process not Found
15524	Process not Found
14796	Process not Found
16616	Process not Found
20436	Process not Found
3084	attrib.exe
9256	Process not Found
12036	Process not Found
12408	Process not Found
7416	attrib.exe
2984	attrib.exe

Executes dropped EXE 64 IoCs

pid	Process
2504	winlogon.exe
2720	winlogon.exe
1692	winlogon.exe
2916	winlogon.exe
1836	winlogon.exe
2920	winlogon.exe
3024	winlogon.exe
1420	winlogon.exe
2364	winlogon.exe
2248	winlogon.exe
888	winlogon.exe
1624	winlogon.exe
2864	winlogon.exe
2892	winlogon.exe
1384	winlogon.exe
988	winlogon.exe
2980	winlogon.exe
1448	winlogon.exe
2464	winlogon.exe
2248	winlogon.exe
2696	winlogon.exe
2892	winlogon.exe
668	winlogon.exe
1664	winlogon.exe
2024	winlogon.exe
1112	winlogon.exe
2844	winlogon.exe
2180	winlogon.exe
2308	winlogon.exe
2444	winlogon.exe
2216	winlogon.exe
1664	winlogon.exe
2932	winlogon.exe
2424	winlogon.exe
3172	winlogon.exe
3256	winlogon.exe
3360	winlogon.exe
3472	winlogon.exe
3612	winlogon.exe
3660	winlogon.exe
3780	winlogon.exe
3860	winlogon.exe
3944	winlogon.exe
4020	winlogon.exe
3204	winlogon.exe
3312	winlogon.exe
3408	winlogon.exe
3504	winlogon.exe
3816	winlogon.exe
3860	winlogon.exe
4032	winlogon.exe
3360	winlogon.exe
3596	winlogon.exe
3796	winlogon.exe
3192	winlogon.exe
3320	winlogon.exe
3400	winlogon.exe
3624	winlogon.exe
4104	winlogon.exe
4152	winlogon.exe
4316	winlogon.exe
4364	winlogon.exe
4480	winlogon.exe
4532	winlogon.exe

Loads dropped DLL 64 IoCs

pid	Process
2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe
2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe
2504	winlogon.exe
2504	winlogon.exe
2720	winlogon.exe
2720	winlogon.exe
1692	winlogon.exe
1692	winlogon.exe
2916	winlogon.exe
2916	winlogon.exe
1836	winlogon.exe
1836	winlogon.exe
2920	winlogon.exe
2920	winlogon.exe
3024	winlogon.exe
3024	winlogon.exe
1420	winlogon.exe
1420	winlogon.exe
2364	winlogon.exe
2364	winlogon.exe
2248	winlogon.exe
2248	winlogon.exe
888	winlogon.exe
888	winlogon.exe
1624	winlogon.exe
1624	winlogon.exe
2864	winlogon.exe
2864	winlogon.exe
2892	winlogon.exe
2892	winlogon.exe
1384	winlogon.exe
1384	winlogon.exe
988	winlogon.exe
988	winlogon.exe
2980	winlogon.exe
2980	winlogon.exe
1448	winlogon.exe
1448	winlogon.exe
2464	winlogon.exe
2464	winlogon.exe
2248	winlogon.exe
2248	winlogon.exe
2696	winlogon.exe
2696	winlogon.exe
2892	winlogon.exe
2892	winlogon.exe
668	winlogon.exe
668	winlogon.exe
1664	winlogon.exe
1664	winlogon.exe
2024	winlogon.exe
2024	winlogon.exe
1112	winlogon.exe
1112	winlogon.exe
2844	winlogon.exe
2844	winlogon.exe
2180	winlogon.exe
2180	winlogon.exe
2308	winlogon.exe
2308	winlogon.exe
2444	winlogon.exe
2444	winlogon.exe
2216	winlogon.exe
2216	winlogon.exe

Adds Run key to start application 2 TTPs 64 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1846800975-3917212583-2893086201-1000\Software\Microsoft\Windows\CurrentVersion\Run\MicroUpdate = "C:\\Windows\\system32\\aqW6mlZhwxrl\\aqW6mlZhwxrl\\winlogon.exe"	winlogon.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl	Process not Found
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl	attrib.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe-up.txt	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl	attrib.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe-up.txt	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe-up.txt	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe-up.txt	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl	attrib.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl	attrib.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe-up.txt	winlogon.exe
File created	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe	winlogon.exe
File created	C:\Windows\SysWOW64\aqW6mlZhwxrl\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe	winlogon.exe
File created	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe	winlogon.exe
File created	C:\Windows\SysWOW64\aqW6mlZhwxrl\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\	winlogon.exe
File created	C:\Windows\SysWOW64\aqW6mlZhwxrl\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl	attrib.exe
File created	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe-up.txt	winlogon.exe
File created	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe-up.txt	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe-up.txt	Process not Found
File created	C:\Windows\SysWOW64\aqW6mlZhwxrl\winlogon.exe	winlogon.exe
File created	C:\Windows\SysWOW64\aqW6mlZhwxrl\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl	attrib.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe-up.txt	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe	attrib.exe
File created	C:\Windows\SysWOW64\aqW6mlZhwxrl\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl	attrib.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl	attrib.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl	attrib.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe-up.txt	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe-up.txt	Process not Found
File created	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe	winlogon.exe
File created	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe	winlogon.exe
File created	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl	attrib.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe-up.txt	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe	attrib.exe
File created	C:\Windows\SysWOW64\aqW6mlZhwxrl\winlogon.exe	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\	winlogon.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe	winlogon.exe

Drops file in Windows directory 1 IoCs

description	ioc	Process
File opened for modification	C:\Windows\SysWOW64	attrib.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

System Location Discovery: System Language Discovery 1 TTPs 64 IoCs

Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

discovery

System Language Discovery

T1614.001

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winlogon.exe

Suspicious use of AdjustPrivilegeToken 64 IoCs

description	pid	Process
Token: SeIncreaseQuotaPrivilege	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe
Token: SeSecurityPrivilege	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe
Token: SeTakeOwnershipPrivilege	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe
Token: SeLoadDriverPrivilege	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe
Token: SeSystemProfilePrivilege	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe
Token: SeSystemtimePrivilege	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe
Token: SeProfSingleProcessPrivilege	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe
Token: SeIncBasePriorityPrivilege	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe
Token: SeCreatePagefilePrivilege	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe
Token: SeBackupPrivilege	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe
Token: SeRestorePrivilege	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe
Token: SeShutdownPrivilege	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe
Token: SeDebugPrivilege	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe
Token: SeSystemEnvironmentPrivilege	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe
Token: SeChangeNotifyPrivilege	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe
Token: SeRemoteShutdownPrivilege	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe
Token: SeUndockPrivilege	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe
Token: SeManageVolumePrivilege	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe
Token: SeImpersonatePrivilege	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe
Token: SeCreateGlobalPrivilege	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe
Token: 33	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe
Token: 34	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe
Token: 35	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe
Token: SeIncreaseQuotaPrivilege	2504	winlogon.exe
Token: SeSecurityPrivilege	2504	winlogon.exe
Token: SeTakeOwnershipPrivilege	2504	winlogon.exe
Token: SeLoadDriverPrivilege	2504	winlogon.exe
Token: SeSystemProfilePrivilege	2504	winlogon.exe
Token: SeSystemtimePrivilege	2504	winlogon.exe
Token: SeProfSingleProcessPrivilege	2504	winlogon.exe
Token: SeIncBasePriorityPrivilege	2504	winlogon.exe
Token: SeCreatePagefilePrivilege	2504	winlogon.exe
Token: SeBackupPrivilege	2504	winlogon.exe
Token: SeRestorePrivilege	2504	winlogon.exe
Token: SeShutdownPrivilege	2504	winlogon.exe
Token: SeDebugPrivilege	2504	winlogon.exe
Token: SeSystemEnvironmentPrivilege	2504	winlogon.exe
Token: SeChangeNotifyPrivilege	2504	winlogon.exe
Token: SeRemoteShutdownPrivilege	2504	winlogon.exe
Token: SeUndockPrivilege	2504	winlogon.exe
Token: SeManageVolumePrivilege	2504	winlogon.exe
Token: SeImpersonatePrivilege	2504	winlogon.exe
Token: SeCreateGlobalPrivilege	2504	winlogon.exe
Token: 33	2504	winlogon.exe
Token: 34	2504	winlogon.exe
Token: 35	2504	winlogon.exe
Token: SeIncreaseQuotaPrivilege	2720	winlogon.exe
Token: SeSecurityPrivilege	2720	winlogon.exe
Token: SeTakeOwnershipPrivilege	2720	winlogon.exe
Token: SeLoadDriverPrivilege	2720	winlogon.exe
Token: SeSystemProfilePrivilege	2720	winlogon.exe
Token: SeSystemtimePrivilege	2720	winlogon.exe
Token: SeProfSingleProcessPrivilege	2720	winlogon.exe
Token: SeIncBasePriorityPrivilege	2720	winlogon.exe
Token: SeCreatePagefilePrivilege	2720	winlogon.exe
Token: SeBackupPrivilege	2720	winlogon.exe
Token: SeRestorePrivilege	2720	winlogon.exe
Token: SeShutdownPrivilege	2720	winlogon.exe
Token: SeDebugPrivilege	2720	winlogon.exe
Token: SeSystemEnvironmentPrivilege	2720	winlogon.exe
Token: SeChangeNotifyPrivilege	2720	winlogon.exe
Token: SeRemoteShutdownPrivilege	2720	winlogon.exe
Token: SeUndockPrivilege	2720	winlogon.exe
Token: SeManageVolumePrivilege	2720	winlogon.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2344 wrote to memory of 1576	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe	30
PID 2344 wrote to memory of 1576	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe	30
PID 2344 wrote to memory of 1576	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe	30
PID 2344 wrote to memory of 1576	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe	30
PID 2344 wrote to memory of 1716	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe	31
PID 2344 wrote to memory of 1716	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe	31
PID 2344 wrote to memory of 1716	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe	31
PID 2344 wrote to memory of 1716	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe	31
PID 2344 wrote to memory of 2504	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe	33
PID 2344 wrote to memory of 2504	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe	33
PID 2344 wrote to memory of 2504	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe	33
PID 2344 wrote to memory of 2504	2344	JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe	33
PID 1576 wrote to memory of 2728	1576	cmd.exe	35
PID 1576 wrote to memory of 2728	1576	cmd.exe	35
PID 1576 wrote to memory of 2728	1576	cmd.exe	35
PID 1576 wrote to memory of 2728	1576	cmd.exe	35
PID 2504 wrote to memory of 2868	2504	winlogon.exe	36
PID 2504 wrote to memory of 2868	2504	winlogon.exe	36
PID 2504 wrote to memory of 2868	2504	winlogon.exe	36
PID 2504 wrote to memory of 2868	2504	winlogon.exe	36
PID 2504 wrote to memory of 2884	2504	winlogon.exe	37
PID 2504 wrote to memory of 2884	2504	winlogon.exe	37
PID 2504 wrote to memory of 2884	2504	winlogon.exe	37
PID 2504 wrote to memory of 2884	2504	winlogon.exe	37
PID 1716 wrote to memory of 2692	1716	cmd.exe	39
PID 1716 wrote to memory of 2692	1716	cmd.exe	39
PID 1716 wrote to memory of 2692	1716	cmd.exe	39
PID 1716 wrote to memory of 2692	1716	cmd.exe	39
PID 2504 wrote to memory of 2720	2504	winlogon.exe	40
PID 2504 wrote to memory of 2720	2504	winlogon.exe	40
PID 2504 wrote to memory of 2720	2504	winlogon.exe	40
PID 2504 wrote to memory of 2720	2504	winlogon.exe	40
PID 2868 wrote to memory of 2608	2868	cmd.exe	42
PID 2868 wrote to memory of 2608	2868	cmd.exe	42
PID 2868 wrote to memory of 2608	2868	cmd.exe	42
PID 2868 wrote to memory of 2608	2868	cmd.exe	42
PID 2884 wrote to memory of 2752	2884	cmd.exe	43
PID 2884 wrote to memory of 2752	2884	cmd.exe	43
PID 2884 wrote to memory of 2752	2884	cmd.exe	43
PID 2884 wrote to memory of 2752	2884	cmd.exe	43
PID 2720 wrote to memory of 2640	2720	winlogon.exe	44
PID 2720 wrote to memory of 2640	2720	winlogon.exe	44
PID 2720 wrote to memory of 2640	2720	winlogon.exe	44
PID 2720 wrote to memory of 2640	2720	winlogon.exe	44
PID 2720 wrote to memory of 2596	2720	winlogon.exe	47
PID 2720 wrote to memory of 2596	2720	winlogon.exe	47
PID 2720 wrote to memory of 2596	2720	winlogon.exe	47
PID 2720 wrote to memory of 2596	2720	winlogon.exe	47
PID 2640 wrote to memory of 2756	2640	cmd.exe	49
PID 2640 wrote to memory of 2756	2640	cmd.exe	49
PID 2640 wrote to memory of 2756	2640	cmd.exe	49
PID 2640 wrote to memory of 2756	2640	cmd.exe	49
PID 2596 wrote to memory of 2324	2596	cmd.exe	50
PID 2596 wrote to memory of 2324	2596	cmd.exe	50
PID 2596 wrote to memory of 2324	2596	cmd.exe	50
PID 2596 wrote to memory of 2324	2596	cmd.exe	50
PID 2720 wrote to memory of 1692	2720	winlogon.exe	51
PID 2720 wrote to memory of 1692	2720	winlogon.exe	51
PID 2720 wrote to memory of 1692	2720	winlogon.exe	51
PID 2720 wrote to memory of 1692	2720	winlogon.exe	51
PID 1692 wrote to memory of 1852	1692	winlogon.exe	52
PID 1692 wrote to memory of 1852	1692	winlogon.exe	52
PID 1692 wrote to memory of 1852	1692	winlogon.exe	52
PID 1692 wrote to memory of 1852	1692	winlogon.exe	52

Views/modifies file attributes 1 TTPs 64 IoCs

defense_evasion

Hidden Files and Directories

T1564.001

pid	Process
8788	attrib.exe
14072	Process not Found
14272	Process not Found
24116	Process not Found
13252	Process not Found
19632	Process not Found
21500	Process not Found
7252	attrib.exe
12948	Process not Found
14300	Process not Found
17340	Process not Found
22236	Process not Found
5776	attrib.exe
2568	attrib.exe
6404	attrib.exe
13096	Process not Found
21928	Process not Found
6980	attrib.exe
7600	attrib.exe
8260	attrib.exe
13476	Process not Found
19672	Process not Found
3824	attrib.exe
4620	attrib.exe
9192	attrib.exe
13460	Process not Found
17384	Process not Found
17528	Process not Found
19420	Process not Found
12052	Process not Found
15356	Process not Found
17340	Process not Found
5088	attrib.exe
4508	attrib.exe
6196	attrib.exe
11788	Process not Found
15140	Process not Found
19824	Process not Found
19852	Process not Found
2692	attrib.exe
2836	attrib.exe
2828	attrib.exe
4812	attrib.exe
12848	Process not Found
20188	Process not Found
1936	attrib.exe
2744	attrib.exe
10716	Process not Found
11764	Process not Found
3116	attrib.exe
8456	attrib.exe
13536	Process not Found
15752	Process not Found
18968	Process not Found
20984	Process not Found
13176	Process not Found
21068	Process not Found
21404	Process not Found
4612	attrib.exe
7732	attrib.exe
13452	Process not Found
13580	Process not Found
14364	Process not Found
15408	Process not Found

C:\Users\Admin\AppData\Local\Temp\JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe
"C:\Users\Admin\AppData\Local\Temp\JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe"
1⤵
- Modifies WinLogon for persistence
- Loads dropped DLL
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:2344
- C:\Windows\SysWOW64\cmd.exe
  "C:\Windows\System32\cmd.exe" /k attrib "C:\Users\Admin\AppData\Local\Temp\JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe" +s +h
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:1576
- - C:\Windows\SysWOW64\attrib.exe
    attrib "C:\Users\Admin\AppData\Local\Temp\JaffaCakes118_0190f7b16d0ee5d2b081e73203e17ce4.exe" +s +h
    3⤵
    PID:2728
- C:\Windows\SysWOW64\cmd.exe
  "C:\Windows\System32\cmd.exe" /k attrib "C:\Users\Admin\AppData\Local\Temp" +s +h
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:1716
- - C:\Windows\SysWOW64\attrib.exe
    attrib "C:\Users\Admin\AppData\Local\Temp" +s +h
    3⤵
    - Views/modifies file attributes
    PID:2692
- C:\Windows\SysWOW64\winlogon.exe
  "C:\Windows\system32\winlogon.exe"
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:2504
- - C:\Windows\SysWOW64\cmd.exe
    "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\winlogon.exe" +s +h
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:2868
  - - C:\Windows\SysWOW64\attrib.exe
      attrib "C:\Windows\SysWOW64\winlogon.exe" +s +h
      4⤵
      System Location Discovery: System Language Discovery
      PID:2608
- - C:\Windows\SysWOW64\cmd.exe
    "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64" +s +h
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:2884
  - - C:\Windows\SysWOW64\attrib.exe
      attrib "C:\Windows\SysWOW64" +s +h
      4⤵
      Drops file in Windows directory
      System Location Discovery: System Language Discovery
      PID:2752
- - C:\Windows\SysWOW64\aqW6mlZhwxrl\winlogon.exe
    "C:\Windows\system32\aqW6mlZhwxrl\winlogon.exe"
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Drops file in System32 directory
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of WriteProcessMemory
    PID:2720
  - - C:\Windows\SysWOW64\cmd.exe
      "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\winlogon.exe" +s +h
      4⤵
      Suspicious use of WriteProcessMemory
      PID:2640
    - - C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\winlogon.exe" +s +h
        5⤵
        
        PID:2756
  - - C:\Windows\SysWOW64\cmd.exe
      "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl" +s +h
      4⤵
      Suspicious use of WriteProcessMemory
      PID:2596
    - - C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl" +s +h
        5⤵
        
        PID:2324
  - - C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
      "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Adds Run key to start application
      Drops file in System32 directory
      Suspicious use of WriteProcessMemory
      PID:1692
    - - C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        5⤵
        
        PID:1852
      - C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        6⤵
        
        PID:2644
    - - C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        5⤵
        
        PID:2816
      - C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        6⤵
        Drops file in System32 directory
        
        PID:2856
    - - C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        5⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        
        PID:2916
      - C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        6⤵
        
        PID:2676
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        7⤵
        
        PID:2460
      - C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        6⤵
        
        PID:1456
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        7⤵
        
        PID:988
      - C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        6⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        
        PID:1836
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        7⤵
        
        PID:2912
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        8⤵
        
        PID:2624
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        7⤵
        
        PID:2936
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        8⤵
        
        PID:2216
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        7⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2920
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        8⤵
        
        PID:664
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        9⤵
        
        PID:1172
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        8⤵
        
        PID:1080
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        9⤵
        
        PID:1532
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        8⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        
        PID:3024
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        9⤵
        
        PID:1528
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        10⤵
        
        PID:1900
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        9⤵
        
        PID:1732
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        10⤵
        
        PID:1940
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        9⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        
        PID:1420
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        10⤵
        
        PID:1520
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        11⤵
        
        PID:1012
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        10⤵
        
        PID:768
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        11⤵
        
        PID:924
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        10⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2364
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        11⤵
        
        PID:2136
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        12⤵
        
        PID:2124
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        11⤵
        
        PID:2840
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        12⤵
        
        PID:1928
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        11⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        
        PID:2248
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        12⤵
        
        PID:324
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        13⤵
        
        PID:1112
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        12⤵
        
        PID:1416
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        13⤵
        
        PID:2896
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        12⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        
        PID:888
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        13⤵
        
        PID:1516
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        14⤵
        Drops file in System32 directory
        
        PID:2696
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        13⤵
        
        PID:1628
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        14⤵
        Sets file to hidden
        
        PID:2692
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        13⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        
        PID:1624
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        14⤵
        
        PID:2420
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        15⤵
        System Location Discovery: System Language Discovery
        
        PID:2900
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        14⤵
        System Location Discovery: System Language Discovery
        
        PID:2616
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        15⤵
        Drops file in System32 directory
        
        PID:2008
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        14⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        
        PID:2864
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        15⤵
        
        PID:580
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        16⤵
        Views/modifies file attributes
        
        PID:2836
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        15⤵
        System Location Discovery: System Language Discovery
        
        PID:2820
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        16⤵
        Drops file in System32 directory
        
        PID:2340
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        15⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2892
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        16⤵
        
        PID:1924
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        17⤵
        
        PID:1468
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        16⤵
        
        PID:2572
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        17⤵
        
        PID:2200
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        16⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        
        PID:1384
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        17⤵
        
        PID:2916
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        18⤵
        
        PID:2828
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        17⤵
        
        PID:2244
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        18⤵
        
        PID:1776
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        17⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:988
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        18⤵
        
        PID:2176
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        19⤵
        Views/modifies file attributes
        
        PID:1936
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        18⤵
        
        PID:1672
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        19⤵
        
        PID:1172
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        18⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        
        PID:2980
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        19⤵
        
        PID:2812
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        20⤵
        
        PID:1472
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        19⤵
        
        PID:1620
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        20⤵
        
        PID:820
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        19⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        
        PID:1448
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        20⤵
        
        PID:2468
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        21⤵
        
        PID:1608
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        20⤵
        
        PID:3028
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        21⤵
        
        PID:2424
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        20⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        
        PID:2464
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        21⤵
        
        PID:352
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        22⤵
        Views/modifies file attributes
        
        PID:2744
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        21⤵
        
        PID:876
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        22⤵
        
        PID:2784
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        21⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2248
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        22⤵
        
        PID:2752
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        23⤵
        
        PID:1200
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        22⤵
        
        PID:2348
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        23⤵
        
        PID:2076
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        22⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:2696
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        23⤵
        
        PID:2300
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        24⤵
        
        PID:2324
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        23⤵
        
        PID:2724
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        24⤵
        
        PID:1636
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        23⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2892
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        24⤵
        
        PID:2152
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        25⤵
        Views/modifies file attributes
        
        PID:2828
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        24⤵
        
        PID:1264
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        25⤵
        
        PID:1292
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        24⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        
        PID:668
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        25⤵
        
        PID:1172
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        26⤵
        Views/modifies file attributes
        
        PID:2568
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        25⤵
        
        PID:2128
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        26⤵
        
        PID:1420
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        25⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:1664
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        26⤵
        
        PID:1156
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        27⤵
        Sets file to hidden
        
        PID:1448
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        26⤵
        
        PID:700
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        27⤵
        
        PID:2532
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        26⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:2024
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        27⤵
        
        PID:1324
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        28⤵
        
        PID:2900
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        27⤵
        
        PID:2692
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        28⤵
        
        PID:2748
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        27⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:1112
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        28⤵
        
        PID:2500
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        29⤵
        System Location Discovery: System Language Discovery
        
        PID:1380
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        28⤵
        System Location Discovery: System Language Discovery
        
        PID:2076
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        29⤵
        System Location Discovery: System Language Discovery
        
        PID:948
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        28⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        
        PID:2844
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        29⤵
        
        PID:2000
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        30⤵
        Drops file in System32 directory
        
        PID:828
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        29⤵
        
        PID:2928
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        30⤵
        
        PID:2732
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        29⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2180
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        30⤵
        
        PID:668
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        31⤵
        
        PID:1664
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        30⤵
        
        PID:2568
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        31⤵
        
        PID:2532
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        30⤵
        Executes dropped EXE
        Loads dropped DLL
        
        PID:2308
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        31⤵
        
        PID:2608
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        32⤵
        
        PID:1060
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        31⤵
        
        PID:1112
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        32⤵
        
        PID:2424
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        31⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        
        PID:2444
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        32⤵
        
        PID:760
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        33⤵
        
        PID:2464
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        32⤵
        System Location Discovery: System Language Discovery
        
        PID:1468
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        33⤵
        System Location Discovery: System Language Discovery
        
        PID:304
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        32⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        
        PID:2216
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        33⤵
        
        PID:2344
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        34⤵
        
        PID:2424
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        33⤵
        
        PID:1060
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        34⤵
        
        PID:2984
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        33⤵
        Executes dropped EXE
        
        PID:1664
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        34⤵
        
        PID:2436
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        35⤵
        Sets file to hidden
        Drops file in System32 directory
        
        PID:2984
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        34⤵
        
        PID:1656
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        35⤵
        Sets file to hidden
        
        PID:3084
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        34⤵
        Executes dropped EXE
        
        PID:2932
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        35⤵
        
        PID:304
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        36⤵
        
        PID:3108
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        35⤵
        
        PID:1560
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        36⤵
        Views/modifies file attributes
        
        PID:3116
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        35⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        
        PID:2424
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        36⤵
        
        PID:3128
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        37⤵
        
        PID:3216
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        36⤵
        
        PID:3152
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        37⤵
        
        PID:3284
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        36⤵
        Executes dropped EXE
        Adds Run key to start application
        
        PID:3172
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        37⤵
        
        PID:3232
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        38⤵
        System Location Discovery: System Language Discovery
        
        PID:3312
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        37⤵
        
        PID:3240
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        38⤵
        
        PID:3320
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        37⤵
        Executes dropped EXE
        
        PID:3256
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        38⤵
        
        PID:3336
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        39⤵
        
        PID:3408
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        38⤵
        System Location Discovery: System Language Discovery
        
        PID:3344
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        39⤵
        
        PID:3416
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        38⤵
        Executes dropped EXE
        
        PID:3360
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        39⤵
        
        PID:3440
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        40⤵
        System Location Discovery: System Language Discovery
        
        PID:3484
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        39⤵
        
        PID:3456
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        40⤵
        
        PID:3552
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        39⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        
        PID:3472
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        40⤵
        
        PID:3520
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        41⤵
        
        PID:3604
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        40⤵
        
        PID:3528
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        41⤵
        
        PID:3596
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        40⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:3612
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        41⤵
        
        PID:3644
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        42⤵
        
        PID:3716
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        41⤵
        
        PID:3652
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        42⤵
        
        PID:3724
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        41⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:3660
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        42⤵
        
        PID:3736
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        43⤵
        
        PID:3816
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        42⤵
        
        PID:3760
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        43⤵
        Views/modifies file attributes
        
        PID:3824
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        42⤵
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:3780
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        43⤵
        
        PID:3836
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        44⤵
        
        PID:3920
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        43⤵
        
        PID:3844
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        44⤵
        
        PID:3912
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        43⤵
        Executes dropped EXE
        
        PID:3860
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        44⤵
        
        PID:3928
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        45⤵
        System Location Discovery: System Language Discovery
        
        PID:4032
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        44⤵
        
        PID:3936
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        45⤵
        
        PID:4072
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        44⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:3944
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        45⤵
        
        PID:4004
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        46⤵
        
        PID:2932
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        45⤵
        
        PID:4012
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        46⤵
        System Location Discovery: System Language Discovery
        
        PID:1664
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        45⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        
        PID:4020
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        46⤵
        
        PID:2340
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        47⤵
        
        PID:3104
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        46⤵
        
        PID:3116
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        47⤵
        
        PID:3188
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        46⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:3204
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        47⤵
        
        PID:3252
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        48⤵
        
        PID:3432
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        47⤵
        
        PID:3264
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        48⤵
        
        PID:3500
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        47⤵
        Executes dropped EXE
        Adds Run key to start application
        
        PID:3312
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        48⤵
        
        PID:3372
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        49⤵
        
        PID:3552
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        48⤵
        
        PID:3420
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        49⤵
        
        PID:3596
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        48⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        
        PID:3408
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        49⤵
        
        PID:3604
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        50⤵
        
        PID:3676
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        49⤵
        
        PID:3548
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        50⤵
        
        PID:3668
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        49⤵
        Executes dropped EXE
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:3504
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        50⤵
        
        PID:3724
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        51⤵
        Drops file in System32 directory
        
        PID:3808
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        50⤵
        
        PID:3756
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        51⤵
        
        PID:3780
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        50⤵
        Executes dropped EXE
        Adds Run key to start application
        
        PID:3816
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        51⤵
        
        PID:3884
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        52⤵
        
        PID:3192
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        51⤵
        
        PID:3888
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        52⤵
        
        PID:2932
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        51⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:3860
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        52⤵
        
        PID:3948
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        53⤵
        
        PID:3172
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        52⤵
        
        PID:4056
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        53⤵
        
        PID:3220
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        52⤵
        Executes dropped EXE
        
        PID:4032
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        53⤵
        
        PID:3200
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        54⤵
        
        PID:3312
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        53⤵
        
        PID:4068
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        54⤵
        
        PID:3356
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        53⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        
        PID:3360
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        54⤵
        
        PID:3480
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        55⤵
        
        PID:3684
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        54⤵
        
        PID:3608
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        55⤵
        
        PID:3504
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        54⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        
        PID:3596
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        55⤵
        
        PID:3832
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        56⤵
        
        PID:3916
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        55⤵
        System Location Discovery: System Language Discovery
        
        PID:3824
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        56⤵
        
        PID:3176
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        55⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        
        PID:3796
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        56⤵
        
        PID:4028
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        57⤵
        
        PID:3688
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        56⤵
        
        PID:3168
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        57⤵
        
        PID:3828
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        56⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        
        PID:3192
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        57⤵
        
        PID:3324
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        58⤵
        
        PID:3728
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        57⤵
        
        PID:3104
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        58⤵
        
        PID:3624
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        57⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        
        PID:3320
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        58⤵
        
        PID:3820
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        59⤵
        
        PID:3260
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        58⤵
        
        PID:3968
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        59⤵
        Sets file to hidden
        
        PID:3212
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        58⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:3400
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        59⤵
        
        PID:3688
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        60⤵
        
        PID:4024
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        59⤵
        
        PID:3828
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        60⤵
        
        PID:3780
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        59⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        
        PID:3624
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        60⤵
        
        PID:3220
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        61⤵
        
        PID:3780
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        60⤵
        System Location Discovery: System Language Discovery
        
        PID:3504
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        61⤵
        
        PID:3780
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        60⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:4104
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        61⤵
        
        PID:4136
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        62⤵
        
        PID:4208
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        61⤵
        
        PID:4144
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        62⤵
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:4216
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        61⤵
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:4152
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        62⤵
        
        PID:4228
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        63⤵
        
        PID:4288
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        62⤵
        
        PID:4252
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        63⤵
        
        PID:4296
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        62⤵
        Executes dropped EXE
        
        PID:4316
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        63⤵
        
        PID:4348
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        64⤵
        
        PID:4420
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        63⤵
        
        PID:4356
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        64⤵
        
        PID:4428
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        63⤵
        Executes dropped EXE
        
        PID:4364
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        64⤵
        
        PID:4440
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        65⤵
        
        PID:4584
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        64⤵
        
        PID:4464
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        65⤵
        
        PID:4600
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        64⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:4480
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        65⤵
        
        PID:4516
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        66⤵
        Views/modifies file attributes
        
        PID:4612
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        65⤵
        
        PID:4524
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        66⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:4620
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        65⤵
        Executes dropped EXE
        
        PID:4532
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        66⤵
        
        PID:4632
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        67⤵
        
        PID:4744
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        66⤵
        
        PID:4652
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        67⤵
        
        PID:4752
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        66⤵
        Drops file in System32 directory
        
        PID:4672
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        67⤵
        
        PID:4712
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        68⤵
        
        PID:4800
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        67⤵
        
        PID:4720
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        68⤵
        
        PID:4808
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        67⤵
        Modifies WinLogon for persistence
        Drops file in System32 directory
        
        PID:4728
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        68⤵
        
        PID:4820
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        69⤵
        
        PID:4888
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        68⤵
        
        PID:4848
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        69⤵
        
        PID:4896
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        68⤵
        
        PID:4904
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        69⤵
        
        PID:4940
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        70⤵
        
        PID:5012
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        69⤵
        
        PID:4948
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        70⤵
        Sets file to hidden
        
        PID:5020
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        69⤵
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:4956
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        70⤵
        
        PID:5036
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        71⤵
        Views/modifies file attributes
        
        PID:5088
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        70⤵
        
        PID:5052
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        71⤵
        
        PID:4112
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        70⤵
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:5076
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        71⤵
        
        PID:4100
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        72⤵
        
        PID:4128
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        71⤵
        
        PID:3192
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        72⤵
        
        PID:4168
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        71⤵
        Modifies WinLogon for persistence
        
        PID:4160
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        72⤵
        
        PID:4288
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        73⤵
        Drops file in System32 directory
        
        PID:4320
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        72⤵
        
        PID:4244
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        73⤵
        
        PID:4412
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        72⤵
        Drops file in System32 directory
        
        PID:4224
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        73⤵
        
        PID:4376
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        74⤵
        Views/modifies file attributes
        
        PID:4508
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        73⤵
        System Location Discovery: System Language Discovery
        
        PID:4388
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        74⤵
        
        PID:4548
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        73⤵
        Adds Run key to start application
        
        PID:4428
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        74⤵
        
        PID:4584
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        75⤵
        Sets file to hidden
        
        PID:4740
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        74⤵
        
        PID:4612
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        75⤵
        
        PID:4812
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        74⤵
        
        PID:4580
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        75⤵
        
        PID:4760
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        76⤵
        Sets file to hidden
        
        PID:4816
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        75⤵
        
        PID:4748
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        76⤵
        
        PID:4912
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        75⤵
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:4696
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        76⤵
        
        PID:4780
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        77⤵
        
        PID:4312
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        76⤵
        System Location Discovery: System Language Discovery
        
        PID:4732
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        77⤵
        
        PID:4980
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        76⤵
        Modifies WinLogon for persistence
        Drops file in System32 directory
        
        PID:5020
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        77⤵
        
        PID:4956
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        78⤵
        Sets file to hidden
        
        PID:4424
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        77⤵
        
        PID:5096
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        78⤵
        Sets file to hidden
        
        PID:4932
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        77⤵
        Adds Run key to start application
        
        PID:4112
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        78⤵
        
        PID:5104
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        79⤵
        
        PID:4616
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        78⤵
        
        PID:5116
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        79⤵
        
        PID:4556
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        78⤵
        Modifies WinLogon for persistence
        
        PID:5080
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        79⤵
        
        PID:4280
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        80⤵
        
        PID:4448
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        79⤵
        
        PID:4320
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        80⤵
        
        PID:4428
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        79⤵
        Modifies WinLogon for persistence
        
        PID:4692
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        80⤵
        
        PID:4800
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        81⤵
        
        PID:4888
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        80⤵
        
        PID:4836
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        81⤵
        
        PID:5020
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        80⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:4980
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        81⤵
        
        PID:4708
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        82⤵
        
        PID:4220
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        81⤵
        
        PID:5028
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        82⤵
        
        PID:3984
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        81⤵
        
        PID:4452
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        82⤵
        System Location Discovery: System Language Discovery
        
        PID:4556
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        83⤵
        Views/modifies file attributes
        
        PID:4812
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        82⤵
        
        PID:4240
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        83⤵
        
        PID:4756
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        82⤵
        
        PID:5076
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        83⤵
        
        PID:4692
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        84⤵
        
        PID:4216
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        83⤵
        
        PID:4880
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        84⤵
        
        PID:5072
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        83⤵
        
        PID:4972
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        84⤵
        
        PID:4932
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        85⤵
        
        PID:4216
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        84⤵
        
        PID:4452
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        85⤵
        
        PID:4208
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        84⤵
        Modifies WinLogon for persistence
        Drops file in System32 directory
        
        PID:4756
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        85⤵
        
        PID:4112
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        86⤵
        
        PID:4220
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        85⤵
        
        PID:4476
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        86⤵
        Drops file in System32 directory
        
        PID:4980
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        85⤵
        Modifies WinLogon for persistence
        
        PID:4220
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        86⤵
        
        PID:4216
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        87⤵
        System Location Discovery: System Language Discovery
        
        PID:5160
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        86⤵
        
        PID:4532
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        87⤵
        
        PID:5188
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        86⤵
        Drops file in System32 directory
        
        PID:5072
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        87⤵
        
        PID:4208
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        88⤵
        
        PID:5208
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        87⤵
        
        PID:4980
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        88⤵
        
        PID:5200
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        87⤵
        Drops file in System32 directory
        
        PID:5216
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        88⤵
        
        PID:5252
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        89⤵
        
        PID:5328
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        88⤵
        
        PID:5276
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        89⤵
        
        PID:5364
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        88⤵
        Modifies WinLogon for persistence
        Drops file in System32 directory
        
        PID:5296
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        89⤵
        System Location Discovery: System Language Discovery
        
        PID:5348
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        90⤵
        
        PID:5440
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        89⤵
        
        PID:5356
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        90⤵
        
        PID:5416
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        89⤵
        
        PID:5424
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        90⤵
        
        PID:5464
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        91⤵
        
        PID:5604
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        90⤵
        
        PID:5472
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        91⤵
        
        PID:5580
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        90⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:5480
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        91⤵
        
        PID:5536
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        92⤵
        
        PID:5636
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        91⤵
        System Location Discovery: System Language Discovery
        
        PID:5544
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        92⤵
        System Location Discovery: System Language Discovery
        
        PID:5624
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        91⤵
        
        PID:5552
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        92⤵
        
        PID:5652
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        93⤵
        Sets file to hidden
        
        PID:5720
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        92⤵
        
        PID:5672
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        93⤵
        Sets file to hidden
        
        PID:5772
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        92⤵
        Adds Run key to start application
        
        PID:5688
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        93⤵
        
        PID:5732
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        94⤵
        
        PID:5800
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        93⤵
        
        PID:5740
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        94⤵
        
        PID:5808
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        93⤵
        Adds Run key to start application
        
        PID:5828
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        94⤵
        System Location Discovery: System Language Discovery
        
        PID:5864
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        95⤵
        Sets file to hidden
        
        PID:5928
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        94⤵
        
        PID:5880
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        95⤵
        
        PID:5944
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        94⤵
        
        PID:5904
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        95⤵
        
        PID:5956
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        96⤵
        
        PID:5144
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        95⤵
        
        PID:5964
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        96⤵
        
        PID:6068
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        95⤵
        
        PID:5984
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        96⤵
        
        PID:6032
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        97⤵
        
        PID:5196
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        96⤵
        
        PID:6040
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        97⤵
        
        PID:5176
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        96⤵
        
        PID:6048
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        97⤵
        
        PID:6120
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        98⤵
        
        PID:5272
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        97⤵
        
        PID:6128
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        98⤵
        
        PID:5248
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        97⤵
        
        PID:6136
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        98⤵
        
        PID:5072
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        99⤵
        
        PID:5368
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        98⤵
        
        PID:5232
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        99⤵
        
        PID:5384
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        98⤵
        
        PID:5432
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        99⤵
        
        PID:5444
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        100⤵
        
        PID:5572
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        99⤵
        
        PID:5440
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        100⤵
        Sets file to hidden
        
        PID:5584
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        99⤵
        Modifies WinLogon for persistence
        
        PID:5452
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        100⤵
        
        PID:5628
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        101⤵
        
        PID:5812
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        100⤵
        
        PID:5640
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        101⤵
        Views/modifies file attributes
        
        PID:5776
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        100⤵
        
        PID:5616
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        101⤵
        
        PID:5784
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        102⤵
        
        PID:5860
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        101⤵
        
        PID:5716
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        102⤵
        
        PID:5916
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        101⤵
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:5832
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        102⤵
        
        PID:5908
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        103⤵
        
        PID:6080
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        102⤵
        System Location Discovery: System Language Discovery
        
        PID:5992
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        103⤵
        
        PID:6052
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        102⤵
        Adds Run key to start application
        
        PID:6028
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        103⤵
        
        PID:5136
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        104⤵
        
        PID:5312
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        103⤵
        
        PID:5144
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        104⤵
        
        PID:6140
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        103⤵
        Modifies WinLogon for persistence
        Drops file in System32 directory
        
        PID:5268
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        104⤵
        
        PID:5192
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        105⤵
        
        PID:5560
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        104⤵
        
        PID:5168
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        105⤵
        
        PID:5824
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        104⤵
        
        PID:5648
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        105⤵
        
        PID:5556
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        106⤵
        
        PID:5972
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        105⤵
        
        PID:5708
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        106⤵
        
        PID:6064
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        105⤵
        Adds Run key to start application
        
        PID:5812
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        106⤵
        
        PID:5752
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        107⤵
        System Location Discovery: System Language Discovery
        
        PID:5608
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        106⤵
        
        PID:5896
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        107⤵
        Drops file in System32 directory
        
        PID:5560
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        106⤵
        Adds Run key to start application
        
        PID:5928
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        107⤵
        
        PID:6052
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        108⤵
        Drops file in System32 directory
        
        PID:5648
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        107⤵
        
        PID:5200
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        108⤵
        
        PID:5240
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        107⤵
        Adds Run key to start application
        
        PID:4220
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        108⤵
        
        PID:5496
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        109⤵
        
        PID:5828
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        108⤵
        
        PID:5368
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        109⤵
        
        PID:5712
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        108⤵
        Adds Run key to start application
        
        PID:5412
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        109⤵
        
        PID:5944
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        110⤵
        
        PID:5364
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        109⤵
        
        PID:6064
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        110⤵
        
        PID:5608
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        109⤵
        Adds Run key to start application
        
        PID:5804
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        110⤵
        
        PID:5408
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        111⤵
        
        PID:5412
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        110⤵
        
        PID:5616
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        111⤵
        
        PID:5364
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        110⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:5364
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        111⤵
        
        PID:5920
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        112⤵
        
        PID:6176
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        111⤵
        System Location Discovery: System Language Discovery
        
        PID:5712
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        112⤵
        
        PID:6184
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        111⤵
        Drops file in System32 directory
        
        PID:5904
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        112⤵
        System Location Discovery: System Language Discovery
        
        PID:5988
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        113⤵
        
        PID:6192
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        112⤵
        System Location Discovery: System Language Discovery
        
        PID:5860
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        113⤵
        
        PID:6212
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        112⤵
        
        PID:6220
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        113⤵
        
        PID:6252
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        114⤵
        
        PID:6392
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        113⤵
        
        PID:6268
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        114⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:6404
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        113⤵
        
        PID:6276
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        114⤵
        System Location Discovery: System Language Discovery
        
        PID:6324
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        115⤵
        
        PID:6460
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        114⤵
        
        PID:6332
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        115⤵
        
        PID:6472
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        114⤵
        Modifies WinLogon for persistence
        System Location Discovery: System Language Discovery
        
        PID:6340
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        115⤵
        
        PID:6412
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        116⤵
        
        PID:6504
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        115⤵
        
        PID:6420
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        116⤵
        
        PID:6492
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        115⤵
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:6516
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        116⤵
        
        PID:6560
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        117⤵
        Sets file to hidden
        
        PID:6632
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        116⤵
        
        PID:6576
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        117⤵
        Drops file in System32 directory
        
        PID:6644
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        116⤵
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:6596
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        117⤵
        
        PID:6652
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        118⤵
        
        PID:6724
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        117⤵
        
        PID:6660
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        118⤵
        
        PID:6732
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        117⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:6668
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        118⤵
        
        PID:6744
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        119⤵
        
        PID:6820
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        118⤵
        
        PID:6768
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        119⤵
        
        PID:6972
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        118⤵
        Drops file in System32 directory
        
        PID:6788
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        119⤵
        
        PID:6832
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        120⤵
        Drops file in System32 directory
        
        PID:7056
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        119⤵
        
        PID:6840
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        120⤵
        Views/modifies file attributes
        
        PID:6980
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        119⤵
        
        PID:6848
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        120⤵
        
        PID:6892
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        121⤵
        
        PID:7064
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        120⤵
        
        PID:6920
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        121⤵
        
        PID:7100
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        120⤵
        Drops file in System32 directory
        
        PID:6932
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        121⤵
        
        PID:7000
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        122⤵
        
        PID:7132
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        121⤵
        System Location Discovery: System Language Discovery
        
        PID:7008
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        122⤵
        
        PID:7148
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        121⤵
        System Location Discovery: System Language Discovery
        
        PID:7020
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        122⤵
        
        PID:7108
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        123⤵
        
        PID:6188
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        122⤵
        
        PID:7116
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        123⤵
        Views/modifies file attributes
        
        PID:6196
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        122⤵
        
        PID:6208
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        123⤵
        
        PID:5904
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        124⤵
        
        PID:6356
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        123⤵
        
        PID:6236
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        124⤵
        System Location Discovery: System Language Discovery
        
        PID:6392
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        123⤵
        Modifies WinLogon for persistence
        
        PID:6300
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        124⤵
        
        PID:6456
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        125⤵
        
        PID:6608
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        124⤵
        
        PID:6460
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        125⤵
        
        PID:6616
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        124⤵
        
        PID:6512
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        125⤵
        
        PID:6344
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        126⤵
        Sets file to hidden
        
        PID:6668
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        125⤵
        
        PID:6572
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        126⤵
        
        PID:6632
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        125⤵
        Adds Run key to start application
        
        PID:6556
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        126⤵
        
        PID:6676
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        127⤵
        Drops file in System32 directory
        
        PID:6820
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        126⤵
        System Location Discovery: System Language Discovery
        
        PID:6756
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        127⤵
        System Location Discovery: System Language Discovery
        
        PID:6828
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        126⤵
        
        PID:6720
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        127⤵
        
        PID:6916
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        128⤵
        
        PID:6936
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        127⤵
        
        PID:6880
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        128⤵
        
        PID:7044
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        127⤵
        Adds Run key to start application
        
        PID:7036
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        128⤵
        
        PID:7100
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        129⤵
        
        PID:6164
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        128⤵
        
        PID:7144
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        129⤵
        
        PID:7092
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        128⤵
        Modifies WinLogon for persistence
        
        PID:7148
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        129⤵
        
        PID:6244
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        130⤵
        
        PID:6404
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        129⤵
        
        PID:6264
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        130⤵
        
        PID:6500
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        129⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:6368
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        130⤵
        
        PID:6384
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        131⤵
        
        PID:6736
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        130⤵
        
        PID:6608
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        131⤵
        
        PID:6712
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        130⤵
        Adds Run key to start application
        
        PID:6520
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        131⤵
        
        PID:6668
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        132⤵
        
        PID:6740
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        131⤵
        
        PID:6828
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        132⤵
        
        PID:7068
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        131⤵
        
        PID:6984
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        132⤵
        
        PID:7056
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        133⤵
        
        PID:6544
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        132⤵
        
        PID:6976
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        133⤵
        
        PID:7148
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        132⤵
        Modifies WinLogon for persistence
        
        PID:6196
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        133⤵
        
        PID:6464
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        134⤵
        
        PID:6632
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        133⤵
        
        PID:6512
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        134⤵
        
        PID:6792
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        133⤵
        
        PID:6504
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        134⤵
        
        PID:6800
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        135⤵
        System Location Discovery: System Language Discovery
        
        PID:6984
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        134⤵
        
        PID:6824
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        135⤵
        
        PID:6724
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        134⤵
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:6188
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        135⤵
        
        PID:7148
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        136⤵
        
        PID:6792
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        135⤵
        
        PID:6544
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        136⤵
        
        PID:6284
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        135⤵
        
        PID:6284
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        136⤵
        
        PID:6876
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        137⤵
        
        PID:7272
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        136⤵
        
        PID:6936
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        137⤵
        
        PID:6440
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        136⤵
        
        PID:6672
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        137⤵
        
        PID:6204
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        138⤵
        Sets file to hidden
        
        PID:7388
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        137⤵
        
        PID:6788
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        138⤵
        
        PID:7380
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        137⤵
        
        PID:6980
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        138⤵
        
        PID:7212
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        139⤵
        System Location Discovery: System Language Discovery
        
        PID:7460
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        138⤵
        
        PID:7224
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        139⤵
        Sets file to hidden
        
        PID:7416
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        138⤵
        
        PID:7240
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        139⤵
        
        PID:7284
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        140⤵
        
        PID:7468
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        139⤵
        
        PID:7292
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        140⤵
        
        PID:7396
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        139⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:7300
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        140⤵
        
        PID:7424
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        141⤵
        
        PID:7608
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        140⤵
        
        PID:7440
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        141⤵
        Views/modifies file attributes
        
        PID:7600
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        140⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:7476
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        141⤵
        
        PID:7504
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        142⤵
        
        PID:7616
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        141⤵
        
        PID:7512
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        142⤵
        Sets file to hidden
        
        PID:7592
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        141⤵
        
        PID:7520
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        142⤵
        
        PID:7636
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        143⤵
        
        PID:7684
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        142⤵
        
        PID:7652
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        143⤵
        
        PID:7728
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        142⤵
        Modifies WinLogon for persistence
        
        PID:7708
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        143⤵
        
        PID:7748
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        144⤵
        
        PID:7816
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        143⤵
        
        PID:7772
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        144⤵
        
        PID:7836
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        143⤵
        Modifies WinLogon for persistence
        Drops file in System32 directory
        
        PID:7792
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        144⤵
        
        PID:7856
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        145⤵
        
        PID:7920
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        144⤵
        
        PID:7872
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        145⤵
        
        PID:8108
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        144⤵
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:7892
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        145⤵
        
        PID:7932
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        146⤵
        
        PID:6644
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        145⤵
        
        PID:7940
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        146⤵
        
        PID:8096
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        145⤵
        Adds Run key to start application
        
        PID:7948
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        146⤵
        
        PID:7992
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        147⤵
        System Location Discovery: System Language Discovery
        
        PID:8080
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        146⤵
        
        PID:8008
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        147⤵
        System Location Discovery: System Language Discovery
        
        PID:8088
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        146⤵
        
        PID:8024
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        147⤵
        
        PID:8116
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        148⤵
        
        PID:6440
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        147⤵
        
        PID:8140
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        148⤵
        
        PID:6672
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        147⤵
        Adds Run key to start application
        
        PID:5240
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        148⤵
        
        PID:7208
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        149⤵
        
        PID:7236
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        148⤵
        System Location Discovery: System Language Discovery
        
        PID:6980
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        149⤵
        Views/modifies file attributes
        
        PID:7252
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        148⤵
        Adds Run key to start application
        
        PID:7392
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        149⤵
        
        PID:7460
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        150⤵
        
        PID:7540
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        149⤵
        System Location Discovery: System Language Discovery
        
        PID:7352
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        150⤵
        System Location Discovery: System Language Discovery
        
        PID:7436
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        149⤵
        Adds Run key to start application
        
        PID:7404
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        150⤵
        
        PID:7596
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        151⤵
        
        PID:7588
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        150⤵
        
        PID:7620
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        151⤵
        Views/modifies file attributes
        
        PID:7732
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        150⤵
        
        PID:7624
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        151⤵
        
        PID:7756
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        152⤵
        
        PID:7828
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        151⤵
        
        PID:7736
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        152⤵
        
        PID:7832
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        151⤵
        Modifies WinLogon for persistence
        
        PID:7744
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        152⤵
        
        PID:7908
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        153⤵
        
        PID:8172
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        152⤵
        
        PID:7924
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        153⤵
        
        PID:7184
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        152⤵
        Modifies WinLogon for persistence
        
        PID:7964
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        153⤵
        
        PID:8004
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        154⤵
        
        PID:6984
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        153⤵
        System Location Discovery: System Language Discovery
        
        PID:8084
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        154⤵
        
        PID:7200
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        153⤵
        Modifies WinLogon for persistence
        
        PID:8096
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        154⤵
        
        PID:7264
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        155⤵
        
        PID:7396
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        154⤵
        
        PID:7236
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        155⤵
        
        PID:7384
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        154⤵
        Modifies WinLogon for persistence
        
        PID:7420
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        155⤵
        
        PID:7492
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        156⤵
        
        PID:7676
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        155⤵
        
        PID:7668
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        156⤵
        
        PID:7952
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        155⤵
        Modifies WinLogon for persistence
        
        PID:7720
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        156⤵
        
        PID:7688
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        157⤵
        
        PID:6984
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        156⤵
        System Location Discovery: System Language Discovery
        
        PID:7404
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        157⤵
        
        PID:7976
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        156⤵
        Modifies WinLogon for persistence
        
        PID:7520
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        157⤵
        
        PID:7712
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        158⤵
        
        PID:8024
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        157⤵
        
        PID:8128
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        158⤵
        
        PID:7200
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        157⤵
        
        PID:7964
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        158⤵
        
        PID:7380
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        159⤵
        
        PID:7948
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        158⤵
        
        PID:8152
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        159⤵
        
        PID:8168
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        158⤵
        
        PID:6284
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        159⤵
        
        PID:7388
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        160⤵
        
        PID:7820
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        159⤵
        
        PID:7552
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        160⤵
        
        PID:6792
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        159⤵
        Drops file in System32 directory
        
        PID:7680
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        160⤵
        
        PID:7968
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        161⤵
        
        PID:7472
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        160⤵
        
        PID:7188
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        161⤵
        
        PID:8092
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        160⤵
        Drops file in System32 directory
        
        PID:8020
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        161⤵
        
        PID:6792
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        162⤵
        
        PID:7720
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        161⤵
        
        PID:7964
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        162⤵
        
        PID:7468
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        161⤵
        Modifies WinLogon for persistence
        Drops file in System32 directory
        
        PID:7468
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        162⤵
        
        PID:7832
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        163⤵
        
        PID:8244
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        162⤵
        
        PID:6640
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        163⤵
        
        PID:8236
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        162⤵
        Modifies WinLogon for persistence
        
        PID:7680
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        163⤵
        
        PID:7952
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        164⤵
        
        PID:8312
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        163⤵
        System Location Discovery: System Language Discovery
        
        PID:7720
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        164⤵
        Views/modifies file attributes
        
        PID:8260
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        163⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:8280
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        164⤵
        
        PID:8328
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        165⤵
        
        PID:8404
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        164⤵
        
        PID:8336
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        165⤵
        
        PID:8428
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        164⤵
        
        PID:8384
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        165⤵
        
        PID:8440
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        166⤵
        
        PID:8520
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        165⤵
        
        PID:8448
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        166⤵
        
        PID:8512
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        165⤵
        Modifies WinLogon for persistence
        
        PID:8456
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        166⤵
        
        PID:8536
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        167⤵
        
        PID:8588
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        166⤵
        
        PID:8552
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        167⤵
        
        PID:8616
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        166⤵
        Drops file in System32 directory
        
        PID:8604
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        167⤵
        
        PID:8644
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        168⤵
        
        PID:8724
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        167⤵
        
        PID:8668
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        168⤵
        Sets file to hidden
        
        PID:8732
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        167⤵
        System Location Discovery: System Language Discovery
        
        PID:8692
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        168⤵
        
        PID:8752
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        169⤵
        
        PID:8820
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        168⤵
        
        PID:8768
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        169⤵
        
        PID:8840
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        168⤵
        
        PID:8788
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        169⤵
        
        PID:8848
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        170⤵
        
        PID:8924
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        169⤵
        
        PID:8864
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        170⤵
        Drops file in System32 directory
        
        PID:8932
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        169⤵
        
        PID:8884
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        170⤵
        
        PID:8948
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        171⤵
        
        PID:9048
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        170⤵
        
        PID:8956
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        171⤵
        
        PID:9104
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        170⤵
        Adds Run key to start application
        
        PID:8980
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        171⤵
        
        PID:9016
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        172⤵
        
        PID:9120
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        171⤵
        
        PID:9028
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        172⤵
        
        PID:9112
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        171⤵
        System Location Discovery: System Language Discovery
        
        PID:9056
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        172⤵
        
        PID:9140
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        173⤵
        
        PID:9192
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        172⤵
        
        PID:9148
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        173⤵
        
        PID:7820
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        172⤵
        
        PID:9208
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        173⤵
        
        PID:8236
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        174⤵
        System Location Discovery: System Language Discovery
        
        PID:8296
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        173⤵
        
        PID:6284
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        174⤵
        
        PID:8372
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        173⤵
        Adds Run key to start application
        
        PID:7476
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        174⤵
        
        PID:8320
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        175⤵
        
        PID:8388
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        174⤵
        
        PID:8396
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        175⤵
        Drops file in System32 directory
        
        PID:8456
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        174⤵
        
        PID:8428
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        175⤵
        
        PID:8516
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        176⤵
        
        PID:8836
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        175⤵
        
        PID:8524
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        176⤵
        
        PID:8900
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        175⤵
        
        PID:8548
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        176⤵
        
        PID:8620
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        177⤵
        
        PID:8812
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        176⤵
        
        PID:8624
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        177⤵
        
        PID:8880
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        176⤵
        Modifies WinLogon for persistence
        
        PID:8636
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        177⤵
        
        PID:8724
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        178⤵
        Sets file to hidden
        
        PID:9052
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        177⤵
        
        PID:8748
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        178⤵
        
        PID:9012
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        177⤵
        
        PID:8720
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        178⤵
        
        PID:8924
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        179⤵
        
        PID:9116
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        178⤵
        
        PID:8968
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        179⤵
        
        PID:9172
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        178⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:9104
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        179⤵
        
        PID:7468
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        180⤵
        
        PID:8420
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        179⤵
        
        PID:9128
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        180⤵
        Drops file in System32 directory
        
        PID:8652
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        179⤵
        
        PID:9056
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        180⤵
        
        PID:8316
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        181⤵
        System Location Discovery: System Language Discovery
        
        PID:8800
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        180⤵
        
        PID:8244
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        181⤵
        System Location Discovery: System Language Discovery
        
        PID:8840
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        180⤵
        Adds Run key to start application
        
        PID:9208
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        181⤵
        
        PID:8472
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        182⤵
        
        PID:8636
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        181⤵
        
        PID:8432
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        182⤵
        
        PID:8892
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        181⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:8612
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        182⤵
        
        PID:8836
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        183⤵
        Sets file to hidden
        System Location Discovery: System Language Discovery
        Views/modifies file attributes
        
        PID:8788
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        182⤵
        
        PID:8940
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        183⤵
        
        PID:8932
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        182⤵
        Adds Run key to start application
        
        PID:8740
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        183⤵
        
        PID:8208
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        184⤵
        
        PID:9112
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        183⤵
        
        PID:9132
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        184⤵
        
        PID:8020
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        183⤵
        Drops file in System32 directory
        
        PID:8260
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        184⤵
        
        PID:8280
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        185⤵
        Views/modifies file attributes
        
        PID:8456
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        184⤵
        
        PID:8428
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        185⤵
        
        PID:8584
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        184⤵
        
        PID:8352
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        185⤵
        System Location Discovery: System Language Discovery
        
        PID:8348
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        186⤵
        
        PID:8484
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        185⤵
        
        PID:8816
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        186⤵
        Views/modifies file attributes
        
        PID:9192
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        185⤵
        Modifies WinLogon for persistence
        
        PID:8652
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        186⤵
        
        PID:9060
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        187⤵
        
        PID:8584
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        186⤵
        
        PID:8420
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        187⤵
        
        PID:9112
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        186⤵
        Modifies WinLogon for persistence
        
        PID:8456
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        187⤵
        
        PID:8352
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        187⤵
        
        PID:9192
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        187⤵
        Adds Run key to start application
        
        PID:8892
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe" +s +h
        188⤵
        
        PID:8696
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl" +s +h
        188⤵
        
        PID:8200
        
        C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe
        
        "C:\Windows\system32\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe"
        188⤵
        
        PID:8020

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-713193727-7657093411939349948521767779270451217253425166-19632506361814804886"
1⤵
PID:1836

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-15586039511144857981-8672445151135121336208136384718755972502004442505835561549"
1⤵
PID:2920

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "16764621761769780789-1533278674917219665-12695575291026207251845420911983321237"
1⤵
PID:3024

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "194124583-1249581725-1023489571062667432-1231345310-5069172818710969101766530149"
1⤵
PID:2836

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-357693600-7433877911488180628-802672935-2128450110-161238643-912483555-1129808699"
1⤵
PID:1900

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-387210076-62537353318678557781869299910-1521804187-948455986-2099761024-1636643045"
1⤵
PID:1936

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1223179590-8163938324466868661902314349-627389033-10125270261247299855344889211"
1⤵
PID:820

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-2062671583-1274591548-212694851953259630-55390773442335458632203075-1368340963"
1⤵
PID:1012

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1032155036163572183410236214222019800843-266714032-514657412-2035867539387194569"
1⤵
PID:2784

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "762374866-775291261-3073050081614411354-740158677906179964889902808-2045391588"
1⤵
PID:1292

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "15446467551538702400115661088-34095827015639651771898019658-1691934311684129958"
1⤵
PID:828

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "11005530176768976371921785325-19445936-1707625557-96378867141438962-1835859840"
1⤵
PID:948

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1508646042-14199237956414774911604616953-1219349196-1110555955-931810770-1519665197"
1⤵
PID:2532

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1502423475-897061160-78868941217226290841832420994953753194-14530536874337430"
1⤵
PID:2308

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1814521591-7956457844340332525017356831549011354-17852829391768080918-513052514"
1⤵
PID:2216

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-868317731871357492176735111015320942741001573772-38286904717776619351815082587"
1⤵
PID:2124

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "95812500-1681195523-197227445-17154726711247135305-12046951521911535576-2124087327"
1⤵
PID:2984

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1817700912145711110220588568651934490791135159309-1175519824-3590110911037308331"
1⤵
PID:3084

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-7992149993325172611797953001-20140734151307307339249959053-1174312791597618808"
1⤵
PID:3284

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "901162297-3859326974722808831153502158-17438136121674438262-1529877461-865509744"
1⤵
PID:4020

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-569793174272112928-2062034766875332239139775596211639933441054193031-1945511387"
1⤵
PID:3416

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-256730990-9268952081556244201-14120611-1621764264-83176962520766203741128139137"
1⤵
PID:3716

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1249673803190441892-24340718-1289962699-575385120810811846620641249473622108"
1⤵
PID:3808

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "721616838-1885974639-67847974-2074191762993527725-1303275225-697988169-1026415494"
1⤵
PID:2024

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "749465668176127886-2017533938-664072556955112353-164839199915947188401802016664"
1⤵
PID:3408

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1013183293-1663247733-76762582911759792292114905416823628544-1248561513-1761425214"
1⤵
PID:3860

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "89289742815219984331700356013502392382129880290-2106806415-1853427671165962073"
1⤵
PID:3176

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1300753726-1449417158441710764829105828-620550933-4931046105422804881249677355"
1⤵
PID:3320

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "45727107-973589405325135625800098129-12960628657220609-470230697-2089317879"
1⤵
PID:4296

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1374974278494605570-1673310898-19766254031173061001-1749244968-1899921094-2101067265"
1⤵
PID:4420

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "165109059419209179841060238843-107501474616692386211055766-1255451146-63055673"
1⤵
PID:4600

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-69314588-15768706251993180871-8649116861163141439-1550879245-1023904826-1258598957"
1⤵
PID:5088

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1147308339676512341934378668405011725-15284853861285013482-391191531872722499"
1⤵
PID:4128

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1328943478931907298-21442174647329021831845573936-1813825588-17259298851577384535"
1⤵
PID:4316

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-970591958-1894950085-85607627040466688921204799401829019685-71661821276168030"
1⤵
PID:4412

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-12888939621168006330895887721852161507-1188634099-12059083141393862267633049227"
1⤵
PID:4448

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-12592964474469240702060950994-206302323759345167167899954072737711651730404"
1⤵
PID:4696

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "53214213820513680591413269515-493292695577433364-660686064-5093940-193506057"
1⤵
PID:4548

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1796048340-1431571061-1080688389-83998683-876315664-110860274010552110631367743044"
1⤵
PID:4808

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "794815393-1014937377-23235557521115063491015054852-15396612801082300438-213512549"
1⤵
PID:5076

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "149512031912386401251691683895-7213827211777515759-1131073622-1461741744-1079375755"
1⤵
PID:4152

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "2116155051-5526883171433707142300827032-1332547533126914492120035246855975822"
1⤵
PID:4024

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "17754451111016127632-6266779441428424111-1511744355-1919808504-3241318811765344974"
1⤵
PID:4972

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-401732589-1675078466821567837-268969984707130694-1034914477-16249595001958213760"
1⤵
PID:5208

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-851575112-214613791481531286313436851501799373950-1499310762942211258827840001"
1⤵
PID:5984

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-20922543541310261178-5153469351834514843198207492714912484881859495023-497635432"
1⤵
PID:5272

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1782904786-2760703943525099751002141446-17909884391630772632-1672588729-1013742121"
1⤵
PID:5776

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "361521332-52752834-1652155384-377940856340231992-2009812042-2139836236074234"
1⤵
PID:6028

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-4335231771923832744414239861784107951-727232811-3754888581800127119-1432989855"
1⤵
PID:5584

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-127059150522242184-1273009764-1751038744158045214052514014880050489218427498"
1⤵
PID:5580

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1006521961791734605-183858624020508983521972754018-504935046-1225806144-236776454"
1⤵
PID:6048

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1641591135-201008147679385989886522608-148267425-645570361974654759-1865444006"
1⤵
PID:5812

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1495027399-17687669791451449817-75115456860712413615047528032666726601531423154"
1⤵
PID:5608

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1906007870-742595176-1249623680-1509815633-785850790-1700764948-822437334-13628147"
1⤵
PID:5364

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "2045744597678634339-2116492821521196666-1793578104172161954510289688131865119834"
1⤵
PID:6220

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "754218253662542966768688282-1234152186-1523889417218198078-1984026899-257922872"
1⤵
PID:6472

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "4014207118129383883015381052072867845-19777154387807317912126784402-1472689635"
1⤵
PID:6516

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-164069118-8241446211210971714751945133356491552-391002516313441908-1851447306"
1⤵
PID:7132

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "396006257-12284877491031600570-1062352311-4299515591650268997-328713038915258245"
1⤵
PID:6184

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1037731368-14268494571039726272-1261882613-20365412802118821830-1550793401-1136826652"
1⤵
PID:6212

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "342732424-1690338278-13903232261202596376-33503650-1046385896-19173253201920206470"
1⤵
PID:6820

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "118900514-223113573-2020656785257170047-203279416452893569215808327221083615578"
1⤵
PID:6932

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-17212708372130550989444259566348403981718807327-1043352296-1324578974-362675432"
1⤵
PID:7020

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1201195323-1464176652-1326392943-17032740398521368891883754581-1155321524-465482115"
1⤵
PID:6492

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "6603689051887357504-6618608881434244192-663481311319465263-13561543961805668692"
1⤵
PID:6520

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "425343598-194406291500197067-1020375181333463089669548731-796862184469990354"
1⤵
PID:7064

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1316586101-737565869790717516-417697070-794331741783416783238953588-405663758"
1⤵
PID:6632

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-16488284120555280341927328392-44905295111734989071482814568-2082000112-493400587"
1⤵
PID:6504

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-16083340001252107317-661611522-6445935041066593480-652433952-443071762-1361379225"
1⤵
PID:7044

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1741635111772580676-1123844573-1069375136911449671-15647632311643419199371561721"
1⤵
PID:7300

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "77540755213520009561853321459584158601901808362860604381659743011506877016"
1⤵
PID:7708

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1628289124367962450-24653110216997523231112628407-993754387-1674192326-523232399"
1⤵
PID:8088

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1963929718470322612098724748-88072917928406290214645727051924364748693275565"
1⤵
PID:8108

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "20003333434366256781817884688-19551418956945764961958493454-21382761462075379443"
1⤵
PID:7436

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "797381562877110368-1945808866-1225394120-1989483879577200501725150938-1407100332"
1⤵
PID:7816

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "13279208121188803935-1910258833-807888590-1248649238860631877-1138525713-1755364881"
1⤵
PID:8096

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "291834968-11223929212014663805-952930849-7394596181230020112-1431003610-1411457443"
1⤵
PID:7392

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-918032592-8938011344597075971952519501960675218-1431401878-1384302298-979827144"
1⤵
PID:7588

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1957139835-1042925340-134855284416807177261853682975-2065611913-1255782210317063611"
1⤵
PID:7200

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "4614063120765701621041300550-760775622-7163140045106425262073944121136886799"
1⤵
PID:8092

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1616827764628772839-1966459130-178849069916210979421771195456279879340-2096822281"
1⤵
PID:7976

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-2083280867-9390072842135999843-129065658-14238238731479627591334835733-797688300"
1⤵
PID:7624

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-21214076831293480162208544849-17041921901881730609-1573755429777150789460781475"
1⤵
PID:8692

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "950942726-795874128-592826965138989600915552924571288556917429846039688728607"
1⤵
PID:8372

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-7400334101258583041-122570014-10923198921888934008-1755422214-1796528067-914616257"
1⤵
PID:7476

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-124516025498220687-200896912-305382233-450422778-282532629-111832803-1956140752"
1⤵
PID:9052

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1985966207-1990669075100356173-677035357566446064-715133659183711165-747303070"
1⤵
PID:9120

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1634277611041434029451095400-1080588527-111253687-119580542423186460-758598104"
1⤵
PID:8880

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-21381791561088607538-8900035361520999912-355495336574969804-1605395403-831954828"
1⤵
PID:9104

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-851809503935368627-1574454029-18816212936132931621934649140-2079113500364293439"
1⤵
PID:8388

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "718398296-1463170671-500133056-658087441134510288-6147762271654150422024059824"
1⤵
PID:8980

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-540831484422859719177476681596988490-1764003282-114783801412229501091958436187"
1⤵
PID:8588

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Defense Evasion

Hide Artifacts

T1564

Hidden Files and Directories

T1564.001

Modify Registry

T1112

Credential Access

Discovery

System Information Discovery

T1082

System Location Discovery

T1614

System Language Discovery

T1614.001

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\winlogon.exe-up.txt

Filesize
491KB

MD5
95e70392c49118abee81a78c7084a9be

SHA1
52cc607936d7cbb5611def9af363d1cbf560ee38

SHA256
72b129b64eaf8afdd9f5915eb6410c7a378d4110fb70a7fa5f69b1ceb12f2213

SHA512
8c4cfd608913090d506e1db34b90659080f938228164d39cad3559308b36c9223e4d39660fb698dc1c52b00afb73e37ea50d6747141b16246bf8f1379b72da0d

Download Submit
C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe-up.txt

Filesize
2KB

MD5
da7d9c5e38f9508d43440d34015631f4

SHA1
b593b3554a183aa0ba941f65ed4ea9ac97b28af2

SHA256
c49632b72c54a43ac6d046adc07bb345318999f524a9d606402f8b21c8974330

SHA512
561fbf9ce95ef7567b8a3804803c4a27d4bb794af540736682d870756fc18189a1cf555cab06e237abfe5e15231ba239eb845c5b86bb1a22d08aa66b7de25715

Download Submit
C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe-up.txt

Filesize
468KB

MD5
f94cd781d0558181f530417c027f758b

SHA1
4ad97584d038b7f2fa881985d947f1302386ba56

SHA256
bf9868d62377e9b7c2c6502c8f547e2547ed3ceb677f5c4ca16d1fa3de781ac0

SHA512
7a3ce8f88fdcb3130034f34a0f9ea340c252c705d80817de1f3e9c0a52bbd33148e06e4f8ca07e9255ab04c8c88691aa92771db637e6a2de886b70d4aa295ef6

Download Submit
C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe-up.txt

Filesize
527KB

MD5
5b7d22f9d0e1ae188276dd2e639416fd

SHA1
1c2689cd2eb65fccd2b52d75a5bea35b986c0b72

SHA256
940a47d496b541b4990c5bfd1520c2e1be6a2e2bdcdade9eed3f01d91fb1c765

SHA512
2d7c4e1cdd912776bb7acc2e1af591d9fe81eae6afaaf491004fdc11ac1517b315b5468a005f14d361877e1226579f4232d36ae5a70769be74fbd8c25ea6048d

Download Submit
C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe-up.txt

Filesize
453KB

MD5
1e2bc34754d03b52481529b6f1eba303

SHA1
49d4cf20c5e8cc7defd5c4e2d1ede1604f8ec5ba

SHA256
9ccf2019d372ba75dd46b531932b715e6b2e84370e1f324292e2e23fc796ab90

SHA512
b8828b050b69045715351ebca8ca6d586c92286d13eb5074093de9683835b05f26f141bf07484297098dd5bdee4f37f3398c1273e3e2e84e90179b61a1ac5fa5

Download Submit
C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe-up.txt

Filesize
192KB

MD5
9cf758c1ad1d0c2c778020f9d59ac0f7

SHA1
3681c2f941c4d2fd5ca5620a7e1c2ed675245f80

SHA256
86181559a21092b1a5b09089213b002d5c616605fdc546b891927d33cf4a4ea2

SHA512
33d4c043b474ac3b989f65b6f0e69754178eb56991d7903aa934991e19b1f66490b8e758b313e7a5cfa5343913a09e88f26ffcf5ec595f47a140db54abc0c23e

Download Submit
C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe-up.txt

Filesize
2KB

MD5
9dc4250bcf05594b26f6649a338f7d5d

SHA1
607c1ae56d574b273042c461a88eed029c4ec22b

SHA256
f5f69cd03479d9d032645798dfe87c52d82e6a48f78603393b5802d871d66538

SHA512
5b3f088dd59ef0cdb16d7e4602d3a47d48240876ed376ba05c71434647a25eae5f8c50ae02c5f0f4e5d26237f77b901ebc197254af9a740079d211c823f5e353

Download Submit
C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe-up.txt

Filesize
442KB

MD5
8ab1f2dcc8d7027415ad9686e078ab3c

SHA1
b114d234e3cad19f22200c3270e198780b4897c0

SHA256
84ce6c28d52db31d1d00cafecb90ff23eb1cc8c05ed535cb46c6cfe0e2d1d390

SHA512
e744c147757db8dd3a2d10fb4f78bc57b922b8a96986b972e5187d1f7d430c1a9d00897ddaa02926044765adea83c3d741a38d1d964b054c73b4b85f2500cf71

Download Submit
C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe-up.txt

Filesize
3KB

MD5
3636460e0e6ac74ece0fd2122c514019

SHA1
aa34b66b67b6980c6c5e2ae9d5f6790c4b4c0620

SHA256
278ff5c7e368251da8df8208479440dbb78560d6defcd4d4038b6632d2a46b1d

SHA512
470babbbe897d10af31b2f104e2d192f2e3a8395ae96b458fa75f6f582c70a70d2c908ea82e1896996e43ec3de296873ce7d990285e158e5748e5f931061e329

Download Submit
C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe-up.txt

Filesize
3KB

MD5
e5798b58a835997f35a17fbc2d1350fd

SHA1
c7408b8054ac45a966874d126656936e7b2a56b2

SHA256
bb694f894f39b22b276a2fda86159cec84da470ea7099438eb9a6d8e618c2b15

SHA512
b47f2b2192be60ae0e95e86b5bfafce31f69539818e129f079a33e2a42d4ccd74d2d6946a32a0843cb68c67aed5a728d2853292f76c17265b82f3e34236f2588

Download Submit
C:\Windows\SysWOW64\aqW6mlZhwxrl\aqW6mlZhwxrl\winlogon.exe-up.txt

Filesize
456KB

MD5
6a8a6b770cbb1ea1a158582e8746697d

SHA1
dd15f96b5f1f2d95a8c589c00f87a62047a8ed62

SHA256
e1c944309f417c27ebd4ed971c93ada061dee8e80b9ebc90d45ebf5e7ddf0e1a

SHA512
231e1cdc3e390586d0aaf67585a4fa1361c1aaa335393b7f549933fd1f6753bc27ad71216fc4c30f01a3476f3d61dec394e76f42a053e8b8e3a7fa551548e472

Download Submit
\Windows\SysWOW64\aqW6mlZhwxrl\winlogon.exe

Filesize
684KB

MD5
0190f7b16d0ee5d2b081e73203e17ce4

SHA1
feb0ded0bbbf5d20f75467fcc40c50394f5d3f0e

SHA256
6db036bca5f6e4bf557f27b9a03d0d884600b740db2fe5c3536428cfed894d98

SHA512
8574aeb44c2cfad7acfde9dfc557e1b2dbe3509811ae937c7f02295c681443f630c78055184ebc08656948c224c25f06cf0a6cffa922a865884d86ca33d9b451

Download Submit
memory/668-147-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/888-102-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/988-131-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/1112-153-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/1384-129-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/1420-85-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/1448-135-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/1624-109-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/1664-149-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/1692-52-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/1692-55-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/1836-64-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/1836-67-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2024-151-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2180-157-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2248-99-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2248-141-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2308-159-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2344-22-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2344-6-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2344-7-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2344-5-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2344-10-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2344-3-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2344-4-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2344-0-0x0000000000401000-0x0000000000403000-memory.dmp

Filesize
8KB

Download
memory/2344-1-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2344-2-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2364-91-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2424-138-0x0000000076F40000-0x000000007703A000-memory.dmp

Filesize
1000KB

Download
memory/2424-137-0x0000000076E20000-0x0000000076F3F000-memory.dmp

Filesize
1.1MB

Download
memory/2444-163-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2464-139-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2504-23-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2504-29-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2504-27-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2504-26-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2696-143-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2720-49-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2844-155-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2864-114-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2892-121-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2892-145-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2916-62-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2920-74-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/2980-133-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/3024-76-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download
memory/3024-80-0x0000000000400000-0x00000000004E4000-memory.dmp

Filesize
912KB

Download

Analysis

Sharing

General

Malware Config

Extracted

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads