darkcomet | e29a83e908bde66bd99906ce561b1fbfd6314e142d352c45992b6eeda8b51d2b

Analysis

max time kernel
55s
max time network
18s
platform
windows7_x64
resource
win7-20241010-en
resource tags

arch:x64arch:x86image:win7-20241010-enlocale:en-usos:windows7-x64system
submitted
07/02/2025, 03:40

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
Size

812KB
MD5

b2959a4899dc0e03cec201fb33a6832b
SHA1

bb8fa80dfaf9590dfc8fc7fd05dce2ec6a04db65
SHA256

e29a83e908bde66bd99906ce561b1fbfd6314e142d352c45992b6eeda8b51d2b
SHA512

7a0175ae6ef2bfeca4c66e044457dbf2f6d30868bd4edcc5bc101f41fa2f2124aeb4e12ec1a77bf07df94bae6ffc059d40a8d3f05bc3a4c7369cdb55d7c4600d
SSDEEP

12288:5aAchpWsuVTv7ItY8XljyypHP7cOLBev03hlULsmWZ++09ZcKDVsgdA:UAEENIq8XwyVPQclDq/+WnpsS

Score

10^/10

darkcomet discovery persistence rat trojan

Malware Config

Signatures

Darkcomet
DarkComet is a remote access trojan (RAT) developed by Jean-Pierre Lesueur.
trojan rat darkcomet
Darkcomet family
darkcomet

Modifies WinLogon for persistence 2 TTPs 64 IoCs

persistence

Winlogon Helper DLL

T1547.004

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe,C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe

Checks BIOS information in registry 2 TTPs 64 IoCs

BIOS information is often read in order to detect sandboxing environments.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	wuaucltt.exe

Executes dropped EXE 64 IoCs

pid	Process
2772	wuaucltt.exe
2844	wuaucltt.exe
2852	wuaucltt.exe
2804	wuaucltt.exe
568	wuaucltt.exe
2056	wuaucltt.exe
1520	wuaucltt.exe
2504	wuaucltt.exe
2988	wuaucltt.exe
856	wuaucltt.exe
1908	wuaucltt.exe
2584	wuaucltt.exe
2128	wuaucltt.exe
2420	wuaucltt.exe
2392	wuaucltt.exe
1496	wuaucltt.exe
1820	wuaucltt.exe
932	wuaucltt.exe
1108	wuaucltt.exe
1752	wuaucltt.exe
1600	wuaucltt.exe
2880	wuaucltt.exe
844	wuaucltt.exe
2820	wuaucltt.exe
2228	wuaucltt.exe
1712	wuaucltt.exe
2736	wuaucltt.exe
2744	wuaucltt.exe
568	wuaucltt.exe
3024	wuaucltt.exe
1264	wuaucltt.exe
852	wuaucltt.exe
1272	wuaucltt.exe
1984	wuaucltt.exe
856	wuaucltt.exe
1720	wuaucltt.exe
2248	wuaucltt.exe
1624	wuaucltt.exe
2336	wuaucltt.exe
2420	wuaucltt.exe
880	wuaucltt.exe
1536	wuaucltt.exe
2476	wuaucltt.exe
2576	wuaucltt.exe
1676	wuaucltt.exe
1608	wuaucltt.exe
2116	wuaucltt.exe
1564	wuaucltt.exe
2348	wuaucltt.exe
2832	wuaucltt.exe
2820	wuaucltt.exe
2228	wuaucltt.exe
1712	wuaucltt.exe
2700	wuaucltt.exe
1620	wuaucltt.exe
2396	wuaucltt.exe
3024	wuaucltt.exe
2500	wuaucltt.exe
3060	wuaucltt.exe
1988	wuaucltt.exe
1640	wuaucltt.exe
856	wuaucltt.exe
2276	wuaucltt.exe
1808	wuaucltt.exe

Loads dropped DLL 64 IoCs

pid	Process
108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
2772	wuaucltt.exe
2772	wuaucltt.exe
2844	wuaucltt.exe
2844	wuaucltt.exe
2852	wuaucltt.exe
2852	wuaucltt.exe
2804	wuaucltt.exe
2804	wuaucltt.exe
568	wuaucltt.exe
568	wuaucltt.exe
2056	wuaucltt.exe
2056	wuaucltt.exe
1520	wuaucltt.exe
1520	wuaucltt.exe
2504	wuaucltt.exe
2504	wuaucltt.exe
2988	wuaucltt.exe
2988	wuaucltt.exe
856	wuaucltt.exe
856	wuaucltt.exe
1908	wuaucltt.exe
1908	wuaucltt.exe
2584	wuaucltt.exe
2584	wuaucltt.exe
2128	wuaucltt.exe
2128	wuaucltt.exe
2420	wuaucltt.exe
2420	wuaucltt.exe
2392	wuaucltt.exe
2392	wuaucltt.exe
1496	wuaucltt.exe
1496	wuaucltt.exe
1820	wuaucltt.exe
1820	wuaucltt.exe
932	wuaucltt.exe
932	wuaucltt.exe
1108	wuaucltt.exe
1108	wuaucltt.exe
1752	wuaucltt.exe
1752	wuaucltt.exe
1600	wuaucltt.exe
1600	wuaucltt.exe
2880	wuaucltt.exe
2880	wuaucltt.exe
844	wuaucltt.exe
844	wuaucltt.exe
2820	wuaucltt.exe
2820	wuaucltt.exe
2228	wuaucltt.exe
2228	wuaucltt.exe
1712	wuaucltt.exe
1712	wuaucltt.exe
2736	wuaucltt.exe
2736	wuaucltt.exe
2744	wuaucltt.exe
2744	wuaucltt.exe
568	wuaucltt.exe
568	wuaucltt.exe
3024	wuaucltt.exe
3024	wuaucltt.exe
1264	wuaucltt.exe
1264	wuaucltt.exe

Adds Run key to start application 2 TTPs 64 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-3692679935-4019334568-335155002-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\Windupdt\\wuaucltt.exe"	wuaucltt.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File created	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File created	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File created	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File created	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File created	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File created	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File created	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File created	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	wuaucltt.exe
File created	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	wuaucltt.exe
File created	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	wuaucltt.exe
File created	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	wuaucltt.exe
File created	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	wuaucltt.exe
File created	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	wuaucltt.exe
File created	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File created	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	wuaucltt.exe
File created	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File created	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File created	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File created	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File created	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	wuaucltt.exe
File created	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File created	C:\Windows\SysWOW64\Windupdt\wuaucltt.exe	wuaucltt.exe
File opened for modification	C:\Windows\SysWOW64\Windupdt\	wuaucltt.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

System Location Discovery: System Language Discovery 1 TTPs 64 IoCs

Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

discovery

System Language Discovery

T1614.001

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	wuaucltt.exe

Checks processor information in registry 2 TTPs 64 IoCs

Processor information is often read in order to detect sandboxing environments.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	wuaucltt.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	wuaucltt.exe

Enumerates system info in registry 2 TTPs 64 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	wuaucltt.exe

Suspicious use of AdjustPrivilegeToken 64 IoCs

description	pid	Process
Token: SeIncreaseQuotaPrivilege	108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
Token: SeSecurityPrivilege	108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
Token: SeTakeOwnershipPrivilege	108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
Token: SeLoadDriverPrivilege	108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
Token: SeSystemProfilePrivilege	108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
Token: SeSystemtimePrivilege	108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
Token: SeProfSingleProcessPrivilege	108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
Token: SeIncBasePriorityPrivilege	108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
Token: SeCreatePagefilePrivilege	108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
Token: SeBackupPrivilege	108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
Token: SeRestorePrivilege	108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
Token: SeShutdownPrivilege	108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
Token: SeDebugPrivilege	108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
Token: SeSystemEnvironmentPrivilege	108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
Token: SeChangeNotifyPrivilege	108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
Token: SeRemoteShutdownPrivilege	108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
Token: SeUndockPrivilege	108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
Token: SeManageVolumePrivilege	108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
Token: SeImpersonatePrivilege	108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
Token: SeCreateGlobalPrivilege	108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
Token: 33	108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
Token: 34	108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
Token: 35	108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
Token: SeIncreaseQuotaPrivilege	2772	wuaucltt.exe
Token: SeSecurityPrivilege	2772	wuaucltt.exe
Token: SeTakeOwnershipPrivilege	2772	wuaucltt.exe
Token: SeLoadDriverPrivilege	2772	wuaucltt.exe
Token: SeSystemProfilePrivilege	2772	wuaucltt.exe
Token: SeSystemtimePrivilege	2772	wuaucltt.exe
Token: SeProfSingleProcessPrivilege	2772	wuaucltt.exe
Token: SeIncBasePriorityPrivilege	2772	wuaucltt.exe
Token: SeCreatePagefilePrivilege	2772	wuaucltt.exe
Token: SeBackupPrivilege	2772	wuaucltt.exe
Token: SeRestorePrivilege	2772	wuaucltt.exe
Token: SeShutdownPrivilege	2772	wuaucltt.exe
Token: SeDebugPrivilege	2772	wuaucltt.exe
Token: SeSystemEnvironmentPrivilege	2772	wuaucltt.exe
Token: SeChangeNotifyPrivilege	2772	wuaucltt.exe
Token: SeRemoteShutdownPrivilege	2772	wuaucltt.exe
Token: SeUndockPrivilege	2772	wuaucltt.exe
Token: SeManageVolumePrivilege	2772	wuaucltt.exe
Token: SeImpersonatePrivilege	2772	wuaucltt.exe
Token: SeCreateGlobalPrivilege	2772	wuaucltt.exe
Token: 33	2772	wuaucltt.exe
Token: 34	2772	wuaucltt.exe
Token: 35	2772	wuaucltt.exe
Token: SeIncreaseQuotaPrivilege	2844	wuaucltt.exe
Token: SeSecurityPrivilege	2844	wuaucltt.exe
Token: SeTakeOwnershipPrivilege	2844	wuaucltt.exe
Token: SeLoadDriverPrivilege	2844	wuaucltt.exe
Token: SeSystemProfilePrivilege	2844	wuaucltt.exe
Token: SeSystemtimePrivilege	2844	wuaucltt.exe
Token: SeProfSingleProcessPrivilege	2844	wuaucltt.exe
Token: SeIncBasePriorityPrivilege	2844	wuaucltt.exe
Token: SeCreatePagefilePrivilege	2844	wuaucltt.exe
Token: SeBackupPrivilege	2844	wuaucltt.exe
Token: SeRestorePrivilege	2844	wuaucltt.exe
Token: SeShutdownPrivilege	2844	wuaucltt.exe
Token: SeDebugPrivilege	2844	wuaucltt.exe
Token: SeSystemEnvironmentPrivilege	2844	wuaucltt.exe
Token: SeChangeNotifyPrivilege	2844	wuaucltt.exe
Token: SeRemoteShutdownPrivilege	2844	wuaucltt.exe
Token: SeUndockPrivilege	2844	wuaucltt.exe
Token: SeManageVolumePrivilege	2844	wuaucltt.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 108 wrote to memory of 2772	108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe	29
PID 108 wrote to memory of 2772	108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe	29
PID 108 wrote to memory of 2772	108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe	29
PID 108 wrote to memory of 2772	108	JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe	29
PID 2772 wrote to memory of 2844	2772	wuaucltt.exe	30
PID 2772 wrote to memory of 2844	2772	wuaucltt.exe	30
PID 2772 wrote to memory of 2844	2772	wuaucltt.exe	30
PID 2772 wrote to memory of 2844	2772	wuaucltt.exe	30
PID 2844 wrote to memory of 2852	2844	wuaucltt.exe	31
PID 2844 wrote to memory of 2852	2844	wuaucltt.exe	31
PID 2844 wrote to memory of 2852	2844	wuaucltt.exe	31
PID 2844 wrote to memory of 2852	2844	wuaucltt.exe	31
PID 2852 wrote to memory of 2804	2852	wuaucltt.exe	32
PID 2852 wrote to memory of 2804	2852	wuaucltt.exe	32
PID 2852 wrote to memory of 2804	2852	wuaucltt.exe	32
PID 2852 wrote to memory of 2804	2852	wuaucltt.exe	32
PID 2804 wrote to memory of 568	2804	wuaucltt.exe	33
PID 2804 wrote to memory of 568	2804	wuaucltt.exe	33
PID 2804 wrote to memory of 568	2804	wuaucltt.exe	33
PID 2804 wrote to memory of 568	2804	wuaucltt.exe	33
PID 568 wrote to memory of 2056	568	wuaucltt.exe	34
PID 568 wrote to memory of 2056	568	wuaucltt.exe	34
PID 568 wrote to memory of 2056	568	wuaucltt.exe	34
PID 568 wrote to memory of 2056	568	wuaucltt.exe	34
PID 2056 wrote to memory of 1520	2056	wuaucltt.exe	35
PID 2056 wrote to memory of 1520	2056	wuaucltt.exe	35
PID 2056 wrote to memory of 1520	2056	wuaucltt.exe	35
PID 2056 wrote to memory of 1520	2056	wuaucltt.exe	35
PID 1520 wrote to memory of 2504	1520	wuaucltt.exe	36
PID 1520 wrote to memory of 2504	1520	wuaucltt.exe	36
PID 1520 wrote to memory of 2504	1520	wuaucltt.exe	36
PID 1520 wrote to memory of 2504	1520	wuaucltt.exe	36
PID 2504 wrote to memory of 2988	2504	wuaucltt.exe	37
PID 2504 wrote to memory of 2988	2504	wuaucltt.exe	37
PID 2504 wrote to memory of 2988	2504	wuaucltt.exe	37
PID 2504 wrote to memory of 2988	2504	wuaucltt.exe	37
PID 2988 wrote to memory of 856	2988	wuaucltt.exe	38
PID 2988 wrote to memory of 856	2988	wuaucltt.exe	38
PID 2988 wrote to memory of 856	2988	wuaucltt.exe	38
PID 2988 wrote to memory of 856	2988	wuaucltt.exe	38
PID 856 wrote to memory of 1908	856	wuaucltt.exe	39
PID 856 wrote to memory of 1908	856	wuaucltt.exe	39
PID 856 wrote to memory of 1908	856	wuaucltt.exe	39
PID 856 wrote to memory of 1908	856	wuaucltt.exe	39
PID 1908 wrote to memory of 2584	1908	wuaucltt.exe	40
PID 1908 wrote to memory of 2584	1908	wuaucltt.exe	40
PID 1908 wrote to memory of 2584	1908	wuaucltt.exe	40
PID 1908 wrote to memory of 2584	1908	wuaucltt.exe	40
PID 2584 wrote to memory of 2128	2584	wuaucltt.exe	41
PID 2584 wrote to memory of 2128	2584	wuaucltt.exe	41
PID 2584 wrote to memory of 2128	2584	wuaucltt.exe	41
PID 2584 wrote to memory of 2128	2584	wuaucltt.exe	41
PID 2128 wrote to memory of 2420	2128	wuaucltt.exe	68
PID 2128 wrote to memory of 2420	2128	wuaucltt.exe	68
PID 2128 wrote to memory of 2420	2128	wuaucltt.exe	68
PID 2128 wrote to memory of 2420	2128	wuaucltt.exe	68
PID 2420 wrote to memory of 2392	2420	wuaucltt.exe	43
PID 2420 wrote to memory of 2392	2420	wuaucltt.exe	43
PID 2420 wrote to memory of 2392	2420	wuaucltt.exe	43
PID 2420 wrote to memory of 2392	2420	wuaucltt.exe	43
PID 2392 wrote to memory of 1496	2392	wuaucltt.exe	44
PID 2392 wrote to memory of 1496	2392	wuaucltt.exe	44
PID 2392 wrote to memory of 1496	2392	wuaucltt.exe	44
PID 2392 wrote to memory of 1496	2392	wuaucltt.exe	44

C:\Users\Admin\AppData\Local\Temp\JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe
"C:\Users\Admin\AppData\Local\Temp\JaffaCakes118_b2959a4899dc0e03cec201fb33a6832b.exe"
1⤵
- Checks BIOS information in registry
- Loads dropped DLL
- Adds Run key to start application
- System Location Discovery: System Language Discovery
- Checks processor information in registry
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:108
- C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
  "C:\Windows\system32\Windupdt\wuaucltt.exe"
  2⤵
  - Modifies WinLogon for persistence
  - Checks BIOS information in registry
  - Executes dropped EXE
  - Loads dropped DLL
  - Adds Run key to start application
  - Drops file in System32 directory
  - System Location Discovery: System Language Discovery
  - Checks processor information in registry
  - Enumerates system info in registry
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:2772
- - C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
    "C:\Windows\system32\Windupdt\wuaucltt.exe"
    3⤵
    - Modifies WinLogon for persistence
    - Checks BIOS information in registry
    - Executes dropped EXE
    - Loads dropped DLL
    - Adds Run key to start application
    - Drops file in System32 directory
    - System Location Discovery: System Language Discovery
    - Checks processor information in registry
    - Enumerates system info in registry
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of WriteProcessMemory
    PID:2844
  - - C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
      "C:\Windows\system32\Windupdt\wuaucltt.exe"
      4⤵
      Modifies WinLogon for persistence
      Checks BIOS information in registry
      Executes dropped EXE
      Loads dropped DLL
      Adds Run key to start application
      Drops file in System32 directory
      System Location Discovery: System Language Discovery
      Checks processor information in registry
      Enumerates system info in registry
      Suspicious use of WriteProcessMemory
      PID:2852
    - - C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        5⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        Suspicious use of WriteProcessMemory
        
        PID:2804
      - C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        6⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        Suspicious use of WriteProcessMemory
        
        PID:568
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        7⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        Suspicious use of WriteProcessMemory
        
        PID:2056
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        8⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Suspicious use of WriteProcessMemory
        
        PID:1520
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        9⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        Suspicious use of WriteProcessMemory
        
        PID:2504
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        10⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        Suspicious use of WriteProcessMemory
        
        PID:2988
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        11⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        Suspicious use of WriteProcessMemory
        
        PID:856
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        12⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        Suspicious use of WriteProcessMemory
        
        PID:1908
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        13⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Checks processor information in registry
        Suspicious use of WriteProcessMemory
        
        PID:2584
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        14⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        Suspicious use of WriteProcessMemory
        
        PID:2128
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        15⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Suspicious use of WriteProcessMemory
        
        PID:2420
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        16⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        Suspicious use of WriteProcessMemory
        
        PID:2392
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        17⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1496
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        18⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1820
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        19⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:932
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        20⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1108
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        21⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1752
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        22⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        
        PID:1600
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        23⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:2880
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        24⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:844
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        25⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2820
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        26⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:2228
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        27⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1712
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        28⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2736
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        29⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2744
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        30⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:568
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        31⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:3024
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        32⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:1264
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        33⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:852
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        34⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1272
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        35⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:1984
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        36⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:856
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        37⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1720
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        38⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2248
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        39⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:1624
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        40⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2336
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        41⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:2420
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        42⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        
        PID:880
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        43⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:1536
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        44⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2476
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        45⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2576
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        46⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:1676
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        47⤵
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1608
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        48⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2116
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        49⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:1564
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        50⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2348
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        51⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2832
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        52⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:2820
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        53⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2228
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        54⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        
        PID:1712
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        55⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:2700
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        56⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1620
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        57⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2396
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        58⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:3024
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        59⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:2500
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        60⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:3060
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        61⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1988
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        62⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:1640
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        63⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:856
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        64⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2276
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        65⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        
        PID:1808
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        66⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:1624
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        67⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2496
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        68⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2580
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        69⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:1664
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        70⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:308
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        71⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:828
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        72⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:928
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        73⤵
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1420
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        74⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        
        PID:672
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        75⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2524
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        76⤵
        
        PID:2980
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        77⤵
        
        PID:2916
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        78⤵
        
        PID:2824
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        79⤵
        
        PID:2856
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        80⤵
        
        PID:2752
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        81⤵
        
        PID:2804
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        82⤵
        
        PID:1116
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        83⤵
        
        PID:3016
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        84⤵
        
        PID:2092
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        85⤵
        
        PID:1476
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        86⤵
        
        PID:2504
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        87⤵
        
        PID:544
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        88⤵
        
        PID:1832
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        89⤵
        
        PID:784
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        90⤵
        
        PID:2404
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        91⤵
        
        PID:2436
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        92⤵
        
        PID:1652
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        93⤵
        
        PID:2200
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        94⤵
        
        PID:1948
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        95⤵
        
        PID:1768
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        96⤵
        
        PID:588
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        97⤵
        
        PID:972
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        98⤵
        
        PID:2612
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        99⤵
        
        PID:2040
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        100⤵
        
        PID:2368
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        101⤵
        
        PID:2344
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        102⤵
        
        PID:2028
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        103⤵
        
        PID:1244
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        104⤵
        
        PID:2848
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        105⤵
        
        PID:844
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        106⤵
        
        PID:2684
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        107⤵
        
        PID:2920
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        108⤵
        
        PID:2236
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        109⤵
        
        PID:568
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        110⤵
        
        PID:948
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        111⤵
        
        PID:1472
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        112⤵
        
        PID:3020
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        113⤵
        
        PID:2500
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        114⤵
        
        PID:652
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        115⤵
        
        PID:1632
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        116⤵
        
        PID:808
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        117⤵
        
        PID:1468
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        118⤵
        
        PID:1128
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        119⤵
        
        PID:708
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        120⤵
        
        PID:2456
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        121⤵
        
        PID:1888
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        122⤵
        
        PID:2232
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        123⤵
        
        PID:2580
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        124⤵
        
        PID:2152
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        125⤵
        
        PID:2624
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        126⤵
        
        PID:2464
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        127⤵
        
        PID:2356
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        128⤵
        
        PID:2548
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        129⤵
        
        PID:2320
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        130⤵
        
        PID:2976
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        131⤵
        
        PID:2816
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        132⤵
        
        PID:2888
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        133⤵
        
        PID:2820
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        134⤵
        
        PID:2560
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        135⤵
        
        PID:2288
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        136⤵
        
        PID:2780
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        137⤵
        
        PID:1576
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        138⤵
        
        PID:1264
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        139⤵
        
        PID:236
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        140⤵
        
        PID:1252
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        141⤵
        
        PID:1976
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        142⤵
        
        PID:3028
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        143⤵
        
        PID:952
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        144⤵
        
        PID:1236
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        145⤵
        
        PID:2596
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        146⤵
        
        PID:1100
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        147⤵
        
        PID:2556
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        148⤵
        
        PID:1652
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        149⤵
        
        PID:2200
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        150⤵
        
        PID:1416
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        151⤵
        
        PID:1536
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        152⤵
        
        PID:2384
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        153⤵
        
        PID:2340
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        154⤵
        
        PID:2572
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        155⤵
        
        PID:1604
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        156⤵
        
        PID:108
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        157⤵
        
        PID:2960
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        158⤵
        
        PID:2144
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        159⤵
        
        PID:2224
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        160⤵
        
        PID:2716
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        161⤵
        
        PID:2764
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        162⤵
        
        PID:2812
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        163⤵
        
        PID:516
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        164⤵
        
        PID:2236
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        165⤵
        
        PID:2604
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        166⤵
        
        PID:1492
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        167⤵
        
        PID:3044
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        168⤵
        
        PID:236
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        169⤵
        
        PID:1472
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        170⤵
        
        PID:816
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        171⤵
        
        PID:3028
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        172⤵
        
        PID:1832
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        173⤵
        
        PID:1236
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        174⤵
        
        PID:2060
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        175⤵
        
        PID:288
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        176⤵
        
        PID:1168
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        177⤵
        
        PID:1968
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        178⤵
        
        PID:2212
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        179⤵
        
        PID:1460
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        180⤵
        
        PID:2484
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        181⤵
        
        PID:1960
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        182⤵
        
        PID:1420
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        183⤵
        
        PID:2464
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        184⤵
        
        PID:928
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        185⤵
        
        PID:2368
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        186⤵
        
        PID:1600
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        187⤵
        
        PID:1564
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        188⤵
        
        PID:2828
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        189⤵
        
        PID:2824
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        190⤵
        
        PID:2832
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        191⤵
        
        PID:2304
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        192⤵
        
        PID:2740
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        193⤵
        
        PID:3000
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        194⤵
        
        PID:2312
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        195⤵
        
        PID:3004
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        196⤵
        
        PID:2984
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        197⤵
        
        PID:1732
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        198⤵
        
        PID:584
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        199⤵
        
        PID:1640
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        200⤵
        
        PID:2252
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        201⤵
        
        PID:1776
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        202⤵
        
        PID:2128
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        203⤵
        
        PID:1540
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        204⤵
        
        PID:2240
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        205⤵
        
        PID:1624
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        206⤵
        
        PID:456
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        207⤵
        
        PID:2232
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        208⤵
        
        PID:1180
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        209⤵
        
        PID:2520
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        210⤵
        
        PID:2632
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        211⤵
        
        PID:972
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        212⤵
        
        PID:2064
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        213⤵
        
        PID:672
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        214⤵
        
        PID:2528
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        215⤵
        
        PID:3048
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        216⤵
        
        PID:1244
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        217⤵
        
        PID:2924
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        218⤵
        
        PID:2864
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        219⤵
        
        PID:844
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        220⤵
        
        PID:2744
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        221⤵
        
        PID:2868
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        222⤵
        
        PID:1576
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        223⤵
        
        PID:2648
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        224⤵
        
        PID:1628
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        225⤵
        
        PID:3040
        
        C:\Windows\SysWOW64\Windupdt\wuaucltt.exe
        
        "C:\Windows\system32\Windupdt\wuaucltt.exe"
        226⤵
        
        PID:1120

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Defense Evasion

Modify Registry

T1112

Credential Access

Discovery

Query Registry

T1012

System Information Discovery

T1082

System Location Discovery

T1614

System Language Discovery

T1614.001

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

\Windows\SysWOW64\Windupdt\wuaucltt.exe

Filesize
812KB

MD5
b2959a4899dc0e03cec201fb33a6832b

SHA1
bb8fa80dfaf9590dfc8fc7fd05dce2ec6a04db65

SHA256
e29a83e908bde66bd99906ce561b1fbfd6314e142d352c45992b6eeda8b51d2b

SHA512
7a0175ae6ef2bfeca4c66e044457dbf2f6d30868bd4edcc5bc101f41fa2f2124aeb4e12ec1a77bf07df94bae6ffc059d40a8d3f05bc3a4c7369cdb55d7c4600d

Download Submit
memory/108-11-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/108-0-0x00000000001E0000-0x00000000001E1000-memory.dmp

Filesize
4KB

Download
memory/568-34-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/568-101-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/844-95-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/852-104-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/856-134-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/856-107-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/856-57-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/880-113-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/932-90-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/1108-91-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/1264-103-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/1272-105-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/1496-83-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/1520-43-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/1536-114-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/1564-120-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/1600-93-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/1608-118-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/1620-127-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/1624-110-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/1640-133-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/1676-117-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/1712-98-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/1712-125-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/1720-108-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/1752-92-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/1820-88-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/1908-61-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/1984-106-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/1988-132-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2056-39-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2116-119-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2128-70-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2228-97-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2228-124-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2248-109-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2276-135-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2336-111-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2348-121-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2392-79-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2396-128-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2420-74-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2420-112-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2476-115-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2500-130-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2504-48-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2576-116-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2584-66-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2700-126-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2736-99-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2744-100-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2772-16-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2804-30-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2820-123-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2820-96-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2832-122-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2844-21-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2852-25-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2880-94-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/2988-52-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/3024-102-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/3024-129-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download
memory/3060-131-0x0000000000400000-0x00000000004D9000-memory.dmp

Filesize
868KB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads