darkcomet | 88d4d2554bb064ad0db74fd3fb97bff1325dbe751e4d21bda0ffc3d0bf5e3cd2

Analysis

max time kernel
145s
max time network
120s
platform
windows7_x64
resource
win7-20240903-en
resource tags

arch:x64arch:x86image:win7-20240903-enlocale:en-usos:windows7-x64system
submitted
24/02/2025, 11:48

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

gay.vmp.exe
Size

5.4MB
MD5

2d1fd41cbc1769d934cb3093e6f8063a
SHA1

72de3c4a9969415fcd973e6d9a4b0b19d892f4f2
SHA256

88d4d2554bb064ad0db74fd3fb97bff1325dbe751e4d21bda0ffc3d0bf5e3cd2
SHA512

636a62e8ee870bd6b076961f4d97db7eb8a3ece57d60cfbe2a65a0ece084d9157b8c985fba014d1dbfbc7d2bcebecdc58f9cbc9e1f8ca0c3a6c5592a8e7f23f5
SSDEEP

98304:2l2uqawox97EzdtHtaU6ZJi0RueilG11U0xDYxFUPFUJh610:2l2uqawESdtHtt6Z9Y811UX+P5C

Score

10^/10

darkcomet defense_evasion discovery persistence rat trojan vmprotect

Malware Config

Extracted

Family

darkcomet

Attributes

gencode
install
false
offline_keylogger
false
persistence
false

rc4.plain

Signatures

Darkcomet
DarkComet is a remote access trojan (RAT) developed by Jean-Pierre Lesueur.
trojan rat darkcomet
Darkcomet family
darkcomet

Modifies WinLogon for persistence 2 TTPs 64 IoCs

persistence

Winlogon Helper DLL

T1547.004

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe,C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe

Sets file to hidden 1 TTPs 64 IoCs

Modifies file attributes to stop it showing in Explorer etc.

defense_evasion

Hidden Files and Directories

T1564.001

pid	Process
3608	attrib.exe
5964	attrib.exe
5284	attrib.exe
8052	attrib.exe
10028	attrib.exe
11056	Process not Found
10924	Process not Found
11064	Process not Found
3976	attrib.exe
4988	attrib.exe
5160	attrib.exe
6408	attrib.exe
8184	attrib.exe
12164	Process not Found
1668	Process not Found
3680	attrib.exe
4736	attrib.exe
6440	attrib.exe
8064	attrib.exe
9180	attrib.exe
2320	attrib.exe
2724	attrib.exe
3720	attrib.exe
2088	attrib.exe
7572	attrib.exe
8708	attrib.exe
9268	attrib.exe
9676	attrib.exe
4592	attrib.exe
1792	attrib.exe
1620	attrib.exe
3116	attrib.exe
4140	attrib.exe
5144	attrib.exe
7356	attrib.exe
9212	attrib.exe
9832	attrib.exe
10416	Process not Found
11720	Process not Found
11676	Process not Found
2812	attrib.exe
3000	attrib.exe
2024	attrib.exe
2756	attrib.exe
4252	attrib.exe
8088	attrib.exe
7560	attrib.exe
10664	Process not Found
3232	attrib.exe
4268	attrib.exe
6056	attrib.exe
4592	attrib.exe
5604	attrib.exe
8184	attrib.exe
8992	attrib.exe
1612	attrib.exe
3216	attrib.exe
4280	attrib.exe
6932	attrib.exe
7820	attrib.exe
9824	attrib.exe
11672	Process not Found
2580	attrib.exe
2684	attrib.exe

Deletes itself 1 IoCs

pid	Process
2836	notepad.exe

Executes dropped EXE 64 IoCs

pid	Process
2564	msdcsc.exe
1648	msdcsc.exe
2212	msdcsc.exe
652	msdcsc.exe
448	msdcsc.exe
2496	msdcsc.exe
3012	msdcsc.exe
1748	msdcsc.exe
2944	msdcsc.exe
748	msdcsc.exe
2244	msdcsc.exe
524	msdcsc.exe
2032	msdcsc.exe
2620	msdcsc.exe
2328	msdcsc.exe
2088	msdcsc.exe
1528	msdcsc.exe
1632	msdcsc.exe
2172	msdcsc.exe
2512	msdcsc.exe
2388	msdcsc.exe
1424	msdcsc.exe
2244	msdcsc.exe
3136	msdcsc.exe
3544	msdcsc.exe
3952	msdcsc.exe
3240	msdcsc.exe
3684	msdcsc.exe
2388	msdcsc.exe
3576	msdcsc.exe
396	msdcsc.exe
3332	msdcsc.exe
3660	msdcsc.exe
3228	msdcsc.exe
3388	msdcsc.exe
3172	msdcsc.exe
3996	msdcsc.exe
3976	msdcsc.exe
4000	msdcsc.exe
4016	msdcsc.exe
3592	msdcsc.exe
3268	msdcsc.exe
3972	msdcsc.exe
4188	msdcsc.exe
4592	msdcsc.exe
4996	msdcsc.exe
4296	msdcsc.exe
4752	msdcsc.exe
4176	msdcsc.exe
4672	msdcsc.exe
4304	msdcsc.exe
4764	msdcsc.exe
4276	msdcsc.exe
4564	msdcsc.exe
4600	msdcsc.exe
4228	msdcsc.exe
5096	msdcsc.exe
4172	msdcsc.exe
4564	msdcsc.exe
4832	msdcsc.exe
4360	msdcsc.exe
4912	msdcsc.exe
5176	msdcsc.exe
5576	msdcsc.exe

Loads dropped DLL 64 IoCs

pid	Process
2192	gay.vmp.exe
2192	gay.vmp.exe
2564	msdcsc.exe
2564	msdcsc.exe
1648	msdcsc.exe
1648	msdcsc.exe
2212	msdcsc.exe
2212	msdcsc.exe
652	msdcsc.exe
652	msdcsc.exe
448	msdcsc.exe
448	msdcsc.exe
2496	msdcsc.exe
2496	msdcsc.exe
3012	msdcsc.exe
3012	msdcsc.exe
1748	msdcsc.exe
1748	msdcsc.exe
2944	msdcsc.exe
2944	msdcsc.exe
748	msdcsc.exe
748	msdcsc.exe
2244	msdcsc.exe
2244	msdcsc.exe
524	msdcsc.exe
524	msdcsc.exe
2032	msdcsc.exe
2032	msdcsc.exe
2620	msdcsc.exe
2620	msdcsc.exe
2328	msdcsc.exe
2328	msdcsc.exe
2088	msdcsc.exe
2088	msdcsc.exe
1528	msdcsc.exe
1528	msdcsc.exe
1632	msdcsc.exe
1632	msdcsc.exe
2172	msdcsc.exe
2172	msdcsc.exe
2512	msdcsc.exe
2512	msdcsc.exe
2388	msdcsc.exe
2388	msdcsc.exe
1424	msdcsc.exe
1424	msdcsc.exe
2244	msdcsc.exe
2244	msdcsc.exe
3136	msdcsc.exe
3136	msdcsc.exe
3544	msdcsc.exe
3544	msdcsc.exe
3952	msdcsc.exe
3952	msdcsc.exe
3240	msdcsc.exe
3240	msdcsc.exe
3684	msdcsc.exe
3684	msdcsc.exe
2388	msdcsc.exe
2388	msdcsc.exe
3576	msdcsc.exe
3576	msdcsc.exe
396	msdcsc.exe
396	msdcsc.exe

VMProtect packed file 7 IoCs

Detects executables packed with VMProtect commercial packer.

vmprotect

resource	yara_rule
behavioral1/memory/2192-1-0x0000000000400000-0x0000000000D43000-memory.dmp	vmprotect
behavioral1/memory/2192-45-0x0000000000400000-0x0000000000D43000-memory.dmp	vmprotect
behavioral1/memory/2192-44-0x0000000000400000-0x0000000000D43000-memory.dmp	vmprotect
behavioral1/memory/2192-42-0x0000000000400000-0x0000000000D43000-memory.dmp	vmprotect
behavioral1/memory/2192-49-0x0000000000400000-0x0000000000D43000-memory.dmp	vmprotect
behavioral1/files/0x0009000000018669-73.dat	vmprotect
behavioral1/memory/2192-197-0x0000000000400000-0x0000000000D43000-memory.dmp	vmprotect

Adds Run key to start application 2 TTPs 64 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	Process not Found
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-4177215427-74451935-3209572229-1000\Software\Microsoft\Windows\CurrentVersion\Run\updatesever = "C:\\Windows\\system32\\7560\\msdcsc.exe"	msdcsc.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File opened for modification	C:\Windows\SysWOW64\7560	attrib.exe
File opened for modification	C:\Windows\SysWOW64\7560\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\7560	attrib.exe
File opened for modification	C:\Windows\SysWOW64\7560\msdcsc.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\7560\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\7560	attrib.exe
File opened for modification	C:\Windows\SysWOW64\7560\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\7560	attrib.exe
File created	C:\Windows\SysWOW64\7560\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\7560\msdcsc.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\7560\	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\7560\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\7560	attrib.exe
File created	C:\Windows\SysWOW64\7560\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\7560	attrib.exe
File created	C:\Windows\SysWOW64\7560\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\7560\msdcsc.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\7560\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\7560\msdcsc.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\7560	attrib.exe
File opened for modification	C:\Windows\SysWOW64\7560\msdcsc.exe	attrib.exe
File created	C:\Windows\SysWOW64\7560\msdcsc.exe	msdcsc.exe
File created	C:\Windows\SysWOW64\7560\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\7560\msdcsc.exe	msdcsc.exe
File created	C:\Windows\SysWOW64\7560\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\7560\msdcsc.exe	msdcsc.exe
File created	C:\Windows\SysWOW64\7560\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\7560\msdcsc.exe	attrib.exe
File created	C:\Windows\SysWOW64\7560\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\7560	Process not Found
File opened for modification	C:\Windows\SysWOW64\7560\msdcsc.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\7560	attrib.exe
File opened for modification	C:\Windows\SysWOW64\7560\msdcsc.exe	attrib.exe
File created	C:\Windows\SysWOW64\7560\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\7560\msdcsc.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\7560\msdcsc.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\7560\msdcsc.exe	attrib.exe
File created	C:\Windows\SysWOW64\7560\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\7560\	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\7560\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\7560\msdcsc.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\7560	attrib.exe
File opened for modification	C:\Windows\SysWOW64\7560\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\7560\	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\7560	attrib.exe
File opened for modification	C:\Windows\SysWOW64\7560\	msdcsc.exe
File created	C:\Windows\SysWOW64\7560\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\7560\	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\7560	attrib.exe
File opened for modification	C:\Windows\SysWOW64\7560\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\7560\	Process not Found
File opened for modification	C:\Windows\SysWOW64\7560\	Process not Found
File opened for modification	C:\Windows\SysWOW64\7560\	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\7560	attrib.exe
File created	C:\Windows\SysWOW64\7560\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\7560\msdcsc.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\7560	attrib.exe
File opened for modification	C:\Windows\SysWOW64\7560\msdcsc.exe	Process not Found
File opened for modification	C:\Windows\SysWOW64\7560	attrib.exe
File opened for modification	C:\Windows\SysWOW64\7560\	Process not Found
File opened for modification	C:\Windows\SysWOW64\7560\msdcsc.exe	msdcsc.exe
File created	C:\Windows\SysWOW64\7560\msdcsc.exe	msdcsc.exe
File opened for modification	C:\Windows\SysWOW64\7560\	msdcsc.exe
File created	C:\Windows\SysWOW64\7560\msdcsc.exe	msdcsc.exe

Suspicious use of NtSetInformationThreadHideFromDebugger 64 IoCs

pid	Process
2192	gay.vmp.exe
2564	msdcsc.exe
1648	msdcsc.exe
2212	msdcsc.exe
652	msdcsc.exe
448	msdcsc.exe
2496	msdcsc.exe
3012	msdcsc.exe
1748	msdcsc.exe
2944	msdcsc.exe
748	msdcsc.exe
2244	msdcsc.exe
524	msdcsc.exe
2032	msdcsc.exe
2620	msdcsc.exe
2328	msdcsc.exe
2088	msdcsc.exe
1528	msdcsc.exe
1632	msdcsc.exe
2172	msdcsc.exe
2512	msdcsc.exe
2388	msdcsc.exe
1424	msdcsc.exe
2244	msdcsc.exe
3136	msdcsc.exe
3544	msdcsc.exe
3952	msdcsc.exe
3240	msdcsc.exe
3684	msdcsc.exe
2388	msdcsc.exe
3576	msdcsc.exe
396	msdcsc.exe
3332	msdcsc.exe
3660	msdcsc.exe
3228	msdcsc.exe
3388	msdcsc.exe
3172	msdcsc.exe
3996	msdcsc.exe
3976	msdcsc.exe
4000	msdcsc.exe
4016	msdcsc.exe
3592	msdcsc.exe
3268	msdcsc.exe
3972	msdcsc.exe
4188	msdcsc.exe
4592	msdcsc.exe
4996	msdcsc.exe
4296	msdcsc.exe
4752	msdcsc.exe
4176	msdcsc.exe
4672	msdcsc.exe
4304	msdcsc.exe
4764	msdcsc.exe
4276	msdcsc.exe
4564	msdcsc.exe
4600	msdcsc.exe
4228	msdcsc.exe
5096	msdcsc.exe
4172	msdcsc.exe
4564	msdcsc.exe
4832	msdcsc.exe
4360	msdcsc.exe
4912	msdcsc.exe
5176	msdcsc.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

System Location Discovery: System Language Discovery 1 TTPs 64 IoCs

Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

discovery

System Language Discovery

T1614.001

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	msdcsc.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	msdcsc.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	msdcsc.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	msdcsc.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	msdcsc.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	notepad.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	msdcsc.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	msdcsc.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	msdcsc.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	msdcsc.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	Process not Found
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	attrib.exe

Suspicious behavior: EnumeratesProcesses 64 IoCs

pid	Process
2192	gay.vmp.exe
2192	gay.vmp.exe
2564	msdcsc.exe
2564	msdcsc.exe
1648	msdcsc.exe
1648	msdcsc.exe
2212	msdcsc.exe
2212	msdcsc.exe
652	msdcsc.exe
652	msdcsc.exe
448	msdcsc.exe
448	msdcsc.exe
2496	msdcsc.exe
2496	msdcsc.exe
3012	msdcsc.exe
3012	msdcsc.exe
1748	msdcsc.exe
1748	msdcsc.exe
2944	msdcsc.exe
2944	msdcsc.exe
748	msdcsc.exe
748	msdcsc.exe
2244	msdcsc.exe
2244	msdcsc.exe
524	msdcsc.exe
524	msdcsc.exe
2032	msdcsc.exe
2032	msdcsc.exe
2620	msdcsc.exe
2620	msdcsc.exe
2620	msdcsc.exe
2328	msdcsc.exe
2328	msdcsc.exe
2328	msdcsc.exe
2328	msdcsc.exe
2088	msdcsc.exe
2088	msdcsc.exe
2088	msdcsc.exe
2088	msdcsc.exe
1528	msdcsc.exe
1528	msdcsc.exe
1528	msdcsc.exe
1528	msdcsc.exe
1632	msdcsc.exe
1632	msdcsc.exe
1632	msdcsc.exe
1632	msdcsc.exe
1632	msdcsc.exe
2172	msdcsc.exe
2172	msdcsc.exe
2172	msdcsc.exe
2172	msdcsc.exe
2172	msdcsc.exe
2172	msdcsc.exe
2512	msdcsc.exe
2512	msdcsc.exe
2512	msdcsc.exe
2512	msdcsc.exe
2512	msdcsc.exe
2512	msdcsc.exe
2388	msdcsc.exe
2388	msdcsc.exe
2388	msdcsc.exe
2388	msdcsc.exe

Suspicious use of AdjustPrivilegeToken 64 IoCs

description	pid	Process
Token: SeIncreaseQuotaPrivilege	2192	gay.vmp.exe
Token: SeSecurityPrivilege	2192	gay.vmp.exe
Token: SeTakeOwnershipPrivilege	2192	gay.vmp.exe
Token: SeLoadDriverPrivilege	2192	gay.vmp.exe
Token: SeSystemProfilePrivilege	2192	gay.vmp.exe
Token: SeSystemtimePrivilege	2192	gay.vmp.exe
Token: SeProfSingleProcessPrivilege	2192	gay.vmp.exe
Token: SeIncBasePriorityPrivilege	2192	gay.vmp.exe
Token: SeCreatePagefilePrivilege	2192	gay.vmp.exe
Token: SeBackupPrivilege	2192	gay.vmp.exe
Token: SeRestorePrivilege	2192	gay.vmp.exe
Token: SeShutdownPrivilege	2192	gay.vmp.exe
Token: SeDebugPrivilege	2192	gay.vmp.exe
Token: SeSystemEnvironmentPrivilege	2192	gay.vmp.exe
Token: SeChangeNotifyPrivilege	2192	gay.vmp.exe
Token: SeRemoteShutdownPrivilege	2192	gay.vmp.exe
Token: SeUndockPrivilege	2192	gay.vmp.exe
Token: SeManageVolumePrivilege	2192	gay.vmp.exe
Token: SeImpersonatePrivilege	2192	gay.vmp.exe
Token: SeCreateGlobalPrivilege	2192	gay.vmp.exe
Token: 33	2192	gay.vmp.exe
Token: 34	2192	gay.vmp.exe
Token: 35	2192	gay.vmp.exe
Token: SeIncreaseQuotaPrivilege	2564	msdcsc.exe
Token: SeSecurityPrivilege	2564	msdcsc.exe
Token: SeTakeOwnershipPrivilege	2564	msdcsc.exe
Token: SeLoadDriverPrivilege	2564	msdcsc.exe
Token: SeSystemProfilePrivilege	2564	msdcsc.exe
Token: SeSystemtimePrivilege	2564	msdcsc.exe
Token: SeProfSingleProcessPrivilege	2564	msdcsc.exe
Token: SeIncBasePriorityPrivilege	2564	msdcsc.exe
Token: SeCreatePagefilePrivilege	2564	msdcsc.exe
Token: SeBackupPrivilege	2564	msdcsc.exe
Token: SeRestorePrivilege	2564	msdcsc.exe
Token: SeShutdownPrivilege	2564	msdcsc.exe
Token: SeDebugPrivilege	2564	msdcsc.exe
Token: SeSystemEnvironmentPrivilege	2564	msdcsc.exe
Token: SeChangeNotifyPrivilege	2564	msdcsc.exe
Token: SeRemoteShutdownPrivilege	2564	msdcsc.exe
Token: SeUndockPrivilege	2564	msdcsc.exe
Token: SeManageVolumePrivilege	2564	msdcsc.exe
Token: SeImpersonatePrivilege	2564	msdcsc.exe
Token: SeCreateGlobalPrivilege	2564	msdcsc.exe
Token: 33	2564	msdcsc.exe
Token: 34	2564	msdcsc.exe
Token: 35	2564	msdcsc.exe
Token: SeIncreaseQuotaPrivilege	1648	msdcsc.exe
Token: SeSecurityPrivilege	1648	msdcsc.exe
Token: SeTakeOwnershipPrivilege	1648	msdcsc.exe
Token: SeLoadDriverPrivilege	1648	msdcsc.exe
Token: SeSystemProfilePrivilege	1648	msdcsc.exe
Token: SeSystemtimePrivilege	1648	msdcsc.exe
Token: SeProfSingleProcessPrivilege	1648	msdcsc.exe
Token: SeIncBasePriorityPrivilege	1648	msdcsc.exe
Token: SeCreatePagefilePrivilege	1648	msdcsc.exe
Token: SeBackupPrivilege	1648	msdcsc.exe
Token: SeRestorePrivilege	1648	msdcsc.exe
Token: SeShutdownPrivilege	1648	msdcsc.exe
Token: SeDebugPrivilege	1648	msdcsc.exe
Token: SeSystemEnvironmentPrivilege	1648	msdcsc.exe
Token: SeChangeNotifyPrivilege	1648	msdcsc.exe
Token: SeRemoteShutdownPrivilege	1648	msdcsc.exe
Token: SeUndockPrivilege	1648	msdcsc.exe
Token: SeManageVolumePrivilege	1648	msdcsc.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2192 wrote to memory of 2816	2192	gay.vmp.exe	31
PID 2192 wrote to memory of 2816	2192	gay.vmp.exe	31
PID 2192 wrote to memory of 2816	2192	gay.vmp.exe	31
PID 2192 wrote to memory of 2816	2192	gay.vmp.exe	31
PID 2192 wrote to memory of 2784	2192	gay.vmp.exe	33
PID 2192 wrote to memory of 2784	2192	gay.vmp.exe	33
PID 2192 wrote to memory of 2784	2192	gay.vmp.exe	33
PID 2192 wrote to memory of 2784	2192	gay.vmp.exe	33
PID 2192 wrote to memory of 2836	2192	gay.vmp.exe	34
PID 2192 wrote to memory of 2836	2192	gay.vmp.exe	34
PID 2192 wrote to memory of 2836	2192	gay.vmp.exe	34
PID 2192 wrote to memory of 2836	2192	gay.vmp.exe	34
PID 2192 wrote to memory of 2836	2192	gay.vmp.exe	34
PID 2192 wrote to memory of 2836	2192	gay.vmp.exe	34
PID 2192 wrote to memory of 2836	2192	gay.vmp.exe	34
PID 2192 wrote to memory of 2836	2192	gay.vmp.exe	34
PID 2192 wrote to memory of 2836	2192	gay.vmp.exe	34
PID 2192 wrote to memory of 2836	2192	gay.vmp.exe	34
PID 2192 wrote to memory of 2836	2192	gay.vmp.exe	34
PID 2192 wrote to memory of 2836	2192	gay.vmp.exe	34
PID 2192 wrote to memory of 2836	2192	gay.vmp.exe	34
PID 2192 wrote to memory of 2836	2192	gay.vmp.exe	34
PID 2192 wrote to memory of 2836	2192	gay.vmp.exe	34
PID 2192 wrote to memory of 2836	2192	gay.vmp.exe	34
PID 2192 wrote to memory of 2836	2192	gay.vmp.exe	34
PID 2192 wrote to memory of 2836	2192	gay.vmp.exe	34
PID 2816 wrote to memory of 2660	2816	cmd.exe	36
PID 2816 wrote to memory of 2660	2816	cmd.exe	36
PID 2816 wrote to memory of 2660	2816	cmd.exe	36
PID 2816 wrote to memory of 2660	2816	cmd.exe	36
PID 2784 wrote to memory of 2540	2784	cmd.exe	37
PID 2784 wrote to memory of 2540	2784	cmd.exe	37
PID 2784 wrote to memory of 2540	2784	cmd.exe	37
PID 2784 wrote to memory of 2540	2784	cmd.exe	37
PID 2192 wrote to memory of 2564	2192	gay.vmp.exe	38
PID 2192 wrote to memory of 2564	2192	gay.vmp.exe	38
PID 2192 wrote to memory of 2564	2192	gay.vmp.exe	38
PID 2192 wrote to memory of 2564	2192	gay.vmp.exe	38
PID 2564 wrote to memory of 1256	2564	msdcsc.exe	39
PID 2564 wrote to memory of 1256	2564	msdcsc.exe	39
PID 2564 wrote to memory of 1256	2564	msdcsc.exe	39
PID 2564 wrote to memory of 1256	2564	msdcsc.exe	39
PID 2564 wrote to memory of 1264	2564	msdcsc.exe	40
PID 2564 wrote to memory of 1264	2564	msdcsc.exe	40
PID 2564 wrote to memory of 1264	2564	msdcsc.exe	40
PID 2564 wrote to memory of 1264	2564	msdcsc.exe	40
PID 2564 wrote to memory of 2364	2564	msdcsc.exe	42
PID 2564 wrote to memory of 2364	2564	msdcsc.exe	42
PID 2564 wrote to memory of 2364	2564	msdcsc.exe	42
PID 2564 wrote to memory of 2364	2564	msdcsc.exe	42
PID 2564 wrote to memory of 2364	2564	msdcsc.exe	42
PID 2564 wrote to memory of 2364	2564	msdcsc.exe	42
PID 2564 wrote to memory of 2364	2564	msdcsc.exe	42
PID 2564 wrote to memory of 2364	2564	msdcsc.exe	42
PID 2564 wrote to memory of 2364	2564	msdcsc.exe	42
PID 2564 wrote to memory of 2364	2564	msdcsc.exe	42
PID 2564 wrote to memory of 2364	2564	msdcsc.exe	42
PID 2564 wrote to memory of 2364	2564	msdcsc.exe	42
PID 2564 wrote to memory of 2364	2564	msdcsc.exe	42
PID 2564 wrote to memory of 2364	2564	msdcsc.exe	42
PID 2564 wrote to memory of 2364	2564	msdcsc.exe	42
PID 2564 wrote to memory of 2364	2564	msdcsc.exe	42
PID 2564 wrote to memory of 2364	2564	msdcsc.exe	42
PID 2564 wrote to memory of 2364	2564	msdcsc.exe	42

Views/modifies file attributes 1 TTPs 64 IoCs

defense_evasion

Hidden Files and Directories

T1564.001

pid	Process
4668	attrib.exe
5724	attrib.exe
5612	attrib.exe
7108	attrib.exe
9044	attrib.exe
9284	attrib.exe
9736	attrib.exe
9408	attrib.exe
3532	attrib.exe
3776	attrib.exe
5168	attrib.exe
2632	attrib.exe
8800	attrib.exe
10904	Process not Found
9412	Process not Found
2604	attrib.exe
3380	attrib.exe
4252	attrib.exe
4736	attrib.exe
4772	attrib.exe
6120	attrib.exe
7452	attrib.exe
8088	attrib.exe
4644	attrib.exe
5276	attrib.exe
5716	attrib.exe
9472	attrib.exe
9156	attrib.exe
10324	attrib.exe
10724	attrib.exe
10468	Process not Found
4652	attrib.exe
3608	attrib.exe
5964	attrib.exe
4472	attrib.exe
10732	attrib.exe
11128	Process not Found
10812	Process not Found
10348	Process not Found
992	attrib.exe
4340	attrib.exe
5352	attrib.exe
6616	attrib.exe
8148	attrib.exe
1612	attrib.exe
6748	attrib.exe
7936	attrib.exe
9848	attrib.exe
10932	Process not Found
11416	Process not Found
3028	attrib.exe
4268	attrib.exe
7340	attrib.exe
7356	attrib.exe
10088	attrib.exe
10332	attrib.exe
10840	Process not Found
4980	attrib.exe
4744	attrib.exe
10888	Process not Found
10824	Process not Found
2756	attrib.exe
3152	attrib.exe
8760	attrib.exe

C:\Users\Admin\AppData\Local\Temp\gay.vmp.exe
"C:\Users\Admin\AppData\Local\Temp\gay.vmp.exe"
1⤵
- Loads dropped DLL
- Suspicious use of NtSetInformationThreadHideFromDebugger
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:2192
- C:\Windows\SysWOW64\cmd.exe
  "C:\Windows\System32\cmd.exe" /k attrib "C:\Users\Admin\AppData\Local\Temp\gay.vmp.exe" +s +h
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:2816
- - C:\Windows\SysWOW64\attrib.exe
    attrib "C:\Users\Admin\AppData\Local\Temp\gay.vmp.exe" +s +h
    3⤵
    PID:2660
- C:\Windows\SysWOW64\cmd.exe
  "C:\Windows\System32\cmd.exe" /k attrib "C:\Users\Admin\AppData\Local\Temp" +s +h
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:2784
- - C:\Windows\SysWOW64\attrib.exe
    attrib "C:\Users\Admin\AppData\Local\Temp" +s +h
    3⤵
    PID:2540
- C:\Windows\SysWOW64\notepad.exe
  notepad
  2⤵
  - Deletes itself
  PID:2836
- C:\Windows\SysWOW64\7560\msdcsc.exe
  "C:\Windows\system32\7560\msdcsc.exe"
  2⤵
  - Modifies WinLogon for persistence
  - Executes dropped EXE
  - Loads dropped DLL
  - Adds Run key to start application
  - Drops file in System32 directory
  - Suspicious use of NtSetInformationThreadHideFromDebugger
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:2564
- - C:\Windows\SysWOW64\cmd.exe
    "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
    3⤵
    PID:1256
  - - C:\Windows\SysWOW64\attrib.exe
      attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
      4⤵
      PID:332
- - C:\Windows\SysWOW64\cmd.exe
    "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
    3⤵
    - System Location Discovery: System Language Discovery
    PID:1264
  - - C:\Windows\SysWOW64\attrib.exe
      attrib "C:\Windows\SysWOW64\7560" +s +h
      4⤵
      PID:1816
- - C:\Windows\SysWOW64\notepad.exe
    notepad
    3⤵
    PID:2364
- - C:\Windows\SysWOW64\7560\msdcsc.exe
    "C:\Windows\system32\7560\msdcsc.exe"
    3⤵
    - Modifies WinLogon for persistence
    - Executes dropped EXE
    - Loads dropped DLL
    - Adds Run key to start application
    - Suspicious use of NtSetInformationThreadHideFromDebugger
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of AdjustPrivilegeToken
    PID:1648
  - - C:\Windows\SysWOW64\cmd.exe
      "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
      4⤵
      PID:940
    - - C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        5⤵
        
        PID:2068
  - - C:\Windows\SysWOW64\cmd.exe
      "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
      4⤵
      PID:2868
    - - C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        5⤵
        
        PID:1276
  - - C:\Windows\SysWOW64\notepad.exe
      notepad
      4⤵
      PID:1772
  - - C:\Windows\SysWOW64\7560\msdcsc.exe
      "C:\Windows\system32\7560\msdcsc.exe"
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious use of NtSetInformationThreadHideFromDebugger
      System Location Discovery: System Language Discovery
      Suspicious behavior: EnumeratesProcesses
      PID:2212
    - - C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        5⤵
        
        PID:2080
      - C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        6⤵
        Sets file to hidden
        
        PID:2580
    - - C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:1404
      - C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        6⤵
        
        PID:2572
    - - C:\Windows\SysWOW64\notepad.exe
        
        notepad
        5⤵
        
        PID:2964
    - - C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        5⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of NtSetInformationThreadHideFromDebugger
        Suspicious behavior: EnumeratesProcesses
        
        PID:652
      - C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        6⤵
        
        PID:580
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        7⤵
        Sets file to hidden
        
        PID:2812
      - C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        6⤵
        
        PID:532
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        7⤵
        
        PID:1132
      - C:\Windows\SysWOW64\notepad.exe
        
        notepad
        6⤵
        
        PID:1708
      - C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        6⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Suspicious use of NtSetInformationThreadHideFromDebugger
        Suspicious behavior: EnumeratesProcesses
        
        PID:448
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        7⤵
        
        PID:2912
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        8⤵
        Views/modifies file attributes
        
        PID:2604
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        7⤵
        
        PID:2236
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        8⤵
        
        PID:1688
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        7⤵
        
        PID:2300
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        7⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of NtSetInformationThreadHideFromDebugger
        Suspicious behavior: EnumeratesProcesses
        
        PID:2496
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        8⤵
        
        PID:2704
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        9⤵
        
        PID:2972
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        8⤵
        
        PID:2752
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        9⤵
        
        PID:2624
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        8⤵
        
        PID:3024
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        8⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of NtSetInformationThreadHideFromDebugger
        Suspicious behavior: EnumeratesProcesses
        
        PID:3012
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        9⤵
        
        PID:1268
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        10⤵
        
        PID:2416
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        9⤵
        
        PID:1764
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        10⤵
        
        PID:1736
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        9⤵
        
        PID:2548
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        9⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of NtSetInformationThreadHideFromDebugger
        System Location Discovery: System Language Discovery
        Suspicious behavior: EnumeratesProcesses
        
        PID:1748
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        10⤵
        
        PID:2996
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        11⤵
        Sets file to hidden
        Drops file in System32 directory
        
        PID:2320
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        10⤵
        
        PID:564
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        11⤵
        System Location Discovery: System Language Discovery
        
        PID:1700
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        10⤵
        
        PID:652
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        10⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of NtSetInformationThreadHideFromDebugger
        Suspicious behavior: EnumeratesProcesses
        
        PID:2944
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        11⤵
        
        PID:2988
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        12⤵
        System Location Discovery: System Language Discovery
        
        PID:1780
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        11⤵
        
        PID:1052
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        12⤵
        
        PID:2088
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        11⤵
        
        PID:1008
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        11⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious use of NtSetInformationThreadHideFromDebugger
        Suspicious behavior: EnumeratesProcesses
        
        PID:748
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        12⤵
        
        PID:2260
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        13⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:1612
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        12⤵
        
        PID:2140
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        13⤵
        
        PID:1620
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        12⤵
        
        PID:1524
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        12⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Suspicious use of NtSetInformationThreadHideFromDebugger
        Suspicious behavior: EnumeratesProcesses
        
        PID:2244
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        13⤵
        
        PID:2360
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        14⤵
        Sets file to hidden
        
        PID:3000
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        13⤵
        
        PID:1744
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        14⤵
        
        PID:2332
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        13⤵
        
        PID:448
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        13⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of NtSetInformationThreadHideFromDebugger
        Suspicious behavior: EnumeratesProcesses
        
        PID:524
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        14⤵
        
        PID:3008
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        15⤵
        Sets file to hidden
        
        PID:2024
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        14⤵
        
        PID:2068
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        15⤵
        
        PID:2480
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        14⤵
        
        PID:2716
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        14⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious use of NtSetInformationThreadHideFromDebugger
        Suspicious behavior: EnumeratesProcesses
        
        PID:2032
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        15⤵
        
        PID:1756
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        16⤵
        
        PID:2164
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        15⤵
        
        PID:1516
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        16⤵
        
        PID:2168
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        15⤵
        
        PID:1936
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        15⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious use of NtSetInformationThreadHideFromDebugger
        Suspicious behavior: EnumeratesProcesses
        
        PID:2620
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        16⤵
        
        PID:348
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        17⤵
        
        PID:292
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        16⤵
        
        PID:2044
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        17⤵
        Sets file to hidden
        System Location Discovery: System Language Discovery
        
        PID:2684
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        16⤵
        
        PID:2480
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        16⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of NtSetInformationThreadHideFromDebugger
        System Location Discovery: System Language Discovery
        Suspicious behavior: EnumeratesProcesses
        
        PID:2328
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        17⤵
        
        PID:2880
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        18⤵
        System Location Discovery: System Language Discovery
        
        PID:1724
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        17⤵
        
        PID:2688
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        18⤵
        Views/modifies file attributes
        
        PID:3028
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        17⤵
        
        PID:1512
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        17⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of NtSetInformationThreadHideFromDebugger
        Suspicious behavior: EnumeratesProcesses
        
        PID:2088
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        18⤵
        
        PID:1968
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        19⤵
        Drops file in System32 directory
        
        PID:2804
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        18⤵
        
        PID:1712
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        19⤵
        Sets file to hidden
        
        PID:1792
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        18⤵
        
        PID:3032
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        18⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of NtSetInformationThreadHideFromDebugger
        Suspicious behavior: EnumeratesProcesses
        
        PID:1528
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        19⤵
        
        PID:1540
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        20⤵
        Sets file to hidden
        
        PID:1620
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        19⤵
        
        PID:2660
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        20⤵
        Sets file to hidden
        
        PID:2724
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        19⤵
        
        PID:1032
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        19⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Suspicious use of NtSetInformationThreadHideFromDebugger
        Suspicious behavior: EnumeratesProcesses
        
        PID:1632
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        20⤵
        
        PID:2700
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        21⤵
        
        PID:2280
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        20⤵
        
        PID:2768
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        21⤵
        Sets file to hidden
        System Location Discovery: System Language Discovery
        Views/modifies file attributes
        
        PID:2756
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        20⤵
        
        PID:600
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        20⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        Suspicious use of NtSetInformationThreadHideFromDebugger
        Suspicious behavior: EnumeratesProcesses
        
        PID:2172
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        21⤵
        
        PID:292
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        22⤵
        
        PID:2320
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        21⤵
        
        PID:896
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        22⤵
        
        PID:992
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        21⤵
        
        PID:752
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        21⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of NtSetInformationThreadHideFromDebugger
        Suspicious behavior: EnumeratesProcesses
        
        PID:2512
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        22⤵
        
        PID:748
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        23⤵
        
        PID:2252
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        22⤵
        
        PID:3000
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        23⤵
        
        PID:1720
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        22⤵
        
        PID:2720
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        22⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Suspicious use of NtSetInformationThreadHideFromDebugger
        Suspicious behavior: EnumeratesProcesses
        
        PID:2388
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        23⤵
        
        PID:1588
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        24⤵
        
        PID:992
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        23⤵
        
        PID:1720
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        24⤵
        
        PID:2320
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        23⤵
        
        PID:1724
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        23⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:1424
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        24⤵
        
        PID:2196
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        25⤵
        
        PID:2256
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        24⤵
        
        PID:1616
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        25⤵
        Views/modifies file attributes
        
        PID:992
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        24⤵
        
        PID:2328
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        24⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:2244
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        25⤵
        
        PID:864
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        26⤵
        
        PID:3120
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        25⤵
        
        PID:2356
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        26⤵
        
        PID:3128
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        25⤵
        System Location Discovery: System Language Discovery
        
        PID:1704
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        25⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:3136
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        26⤵
        
        PID:3336
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        27⤵
        
        PID:3536
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        26⤵
        
        PID:3344
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        27⤵
        
        PID:3524
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        26⤵
        
        PID:3360
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        26⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:3544
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        27⤵
        
        PID:3740
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        28⤵
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:3936
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        27⤵
        
        PID:3748
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        28⤵
        
        PID:3928
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        27⤵
        
        PID:3764
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        27⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:3952
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        28⤵
        
        PID:2324
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        29⤵
        Sets file to hidden
        
        PID:3232
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        28⤵
        
        PID:2904
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        29⤵
        Sets file to hidden
        
        PID:3216
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        28⤵
        
        PID:2124
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        28⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:3240
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        29⤵
        
        PID:3468
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        30⤵
        
        PID:3648
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        29⤵
        
        PID:3496
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        30⤵
        
        PID:3680
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        29⤵
        
        PID:3540
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        29⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:3684
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        30⤵
        
        PID:3516
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        31⤵
        
        PID:2036
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        30⤵
        System Location Discovery: System Language Discovery
        
        PID:3320
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        31⤵
        
        PID:1664
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        30⤵
        
        PID:3508
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        30⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:2388
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        31⤵
        
        PID:3284
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        32⤵
        Sets file to hidden
        Drops file in System32 directory
        
        PID:3116
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        31⤵
        
        PID:3292
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        32⤵
        
        PID:3648
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        31⤵
        
        PID:3304
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        31⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:3576
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        32⤵
        
        PID:3828
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        33⤵
        
        PID:3964
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        32⤵
        
        PID:3836
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        33⤵
        
        PID:4084
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        32⤵
        
        PID:3852
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        32⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:396
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        33⤵
        
        PID:3724
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        34⤵
        Views/modifies file attributes
        
        PID:3532
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        33⤵
        
        PID:3732
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        34⤵
        
        PID:3328
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        33⤵
        
        PID:3544
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        33⤵
        Executes dropped EXE
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:3332
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        34⤵
        
        PID:3872
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        35⤵
        
        PID:3420
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        34⤵
        
        PID:3880
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        35⤵
        
        PID:3664
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        34⤵
        
        PID:3900
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        34⤵
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:3660
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        35⤵
        System Location Discovery: System Language Discovery
        
        PID:3432
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        36⤵
        Sets file to hidden
        Drops file in System32 directory
        
        PID:3680
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        35⤵
        
        PID:3440
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        36⤵
        Drops file in System32 directory
        
        PID:2308
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        35⤵
        
        PID:3464
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        35⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:3228
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        36⤵
        
        PID:3272
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        37⤵
        Views/modifies file attributes
        
        PID:3380
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        36⤵
        
        PID:3412
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        37⤵
        System Location Discovery: System Language Discovery
        
        PID:3356
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        36⤵
        
        PID:3240
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        36⤵
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:3388
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        37⤵
        
        PID:3452
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        38⤵
        Views/modifies file attributes
        
        PID:3152
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        37⤵
        
        PID:3332
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        38⤵
        
        PID:1424
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        37⤵
        
        PID:3696
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        37⤵
        Executes dropped EXE
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:3172
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        38⤵
        
        PID:3488
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        39⤵
        
        PID:3932
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        38⤵
        
        PID:2820
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        39⤵
        Sets file to hidden
        Drops file in System32 directory
        
        PID:3976
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        38⤵
        
        PID:2512
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        38⤵
        Executes dropped EXE
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:3996
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        39⤵
        
        PID:3380
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        40⤵
        
        PID:3784
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        39⤵
        
        PID:3676
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        40⤵
        Sets file to hidden
        
        PID:3720
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        39⤵
        System Location Discovery: System Language Discovery
        
        PID:3416
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        39⤵
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:3976
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        40⤵
        
        PID:1632
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        41⤵
        
        PID:3176
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        40⤵
        
        PID:4012
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        41⤵
        Views/modifies file attributes
        
        PID:3776
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        40⤵
        
        PID:3404
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        40⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:4000
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        41⤵
        
        PID:3684
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        42⤵
        
        PID:4020
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        41⤵
        
        PID:3532
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        42⤵
        
        PID:3388
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        41⤵
        
        PID:3812
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        41⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:4016
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        42⤵
        
        PID:1116
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        43⤵
        
        PID:3588
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        42⤵
        
        PID:3712
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        43⤵
        
        PID:3580
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        42⤵
        
        PID:3356
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        42⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:3592
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        43⤵
        
        PID:3580
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        44⤵
        Drops file in System32 directory
        
        PID:3736
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        43⤵
        
        PID:3588
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        44⤵
        Sets file to hidden
        
        PID:2088
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        43⤵
        
        PID:3476
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        43⤵
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:3268
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        44⤵
        
        PID:2744
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        45⤵
        
        PID:3976
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        44⤵
        
        PID:3804
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        45⤵
        
        PID:3132
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        44⤵
        
        PID:3396
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        44⤵
        Executes dropped EXE
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:3972
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        45⤵
        
        PID:396
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        46⤵
        
        PID:4176
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        45⤵
        
        PID:3176
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        46⤵
        Drops file in System32 directory
        
        PID:4168
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        45⤵
        
        PID:3992
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        45⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:4188
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        46⤵
        
        PID:4388
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        47⤵
        
        PID:4568
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        46⤵
        
        PID:4396
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        47⤵
        
        PID:4576
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        46⤵
        
        PID:4416
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        46⤵
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:4592
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        47⤵
        
        PID:4792
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        48⤵
        Sets file to hidden
        
        PID:4988
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        47⤵
        
        PID:4800
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        48⤵
        Views/modifies file attributes
        
        PID:4980
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        47⤵
        
        PID:4808
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        47⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:4996
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        48⤵
        
        PID:3168
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        49⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:4252
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        48⤵
        System Location Discovery: System Language Discovery
        
        PID:3180
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        49⤵
        Drops file in System32 directory
        
        PID:4288
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        48⤵
        
        PID:4108
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        48⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:4296
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        49⤵
        
        PID:4572
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        50⤵
        
        PID:4740
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        49⤵
        
        PID:4580
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        50⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:4736
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        49⤵
        
        PID:4164
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        49⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:4752
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        50⤵
        
        PID:4372
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        51⤵
        System Location Discovery: System Language Discovery
        
        PID:4168
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        50⤵
        
        PID:5008
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        51⤵
        Sets file to hidden
        
        PID:4140
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        50⤵
        
        PID:5028
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        50⤵
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:4176
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        51⤵
        
        PID:4460
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        52⤵
        Views/modifies file attributes
        
        PID:4644
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        51⤵
        
        PID:4476
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        52⤵
        Views/modifies file attributes
        
        PID:4652
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        51⤵
        
        PID:4312
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        51⤵
        Executes dropped EXE
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:4672
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        52⤵
        
        PID:4984
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        53⤵
        Drops file in System32 directory
        
        PID:4172
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        52⤵
        
        PID:4992
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        53⤵
        
        PID:3236
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        52⤵
        
        PID:4384
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        52⤵
        Executes dropped EXE
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:4304
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        53⤵
        
        PID:4544
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        54⤵
        System Location Discovery: System Language Discovery
        
        PID:4628
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        53⤵
        
        PID:4720
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        54⤵
        Views/modifies file attributes
        
        PID:4744
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        53⤵
        
        PID:4532
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        53⤵
        Executes dropped EXE
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:4764
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        54⤵
        
        PID:5000
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        55⤵
        
        PID:4264
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        54⤵
        
        PID:5048
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        55⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:4268
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        54⤵
        
        PID:5052
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        54⤵
        Executes dropped EXE
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:4276
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        55⤵
        
        PID:4612
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        56⤵
        
        PID:4920
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        55⤵
        
        PID:4620
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        56⤵
        
        PID:4916
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        55⤵
        
        PID:4648
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        55⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:4564
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        56⤵
        
        PID:4268
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        57⤵
        Sets file to hidden
        
        PID:4592
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        56⤵
        
        PID:4540
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        57⤵
        
        PID:4528
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        56⤵
        
        PID:4724
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        56⤵
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:4600
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        57⤵
        
        PID:4240
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        58⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:3608
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        57⤵
        System Location Discovery: System Language Discovery
        
        PID:5040
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        58⤵
        System Location Discovery: System Language Discovery
        
        PID:4332
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        57⤵
        
        PID:5072
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        57⤵
        Executes dropped EXE
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:4228
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        58⤵
        
        PID:4828
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        59⤵
        Views/modifies file attributes
        
        PID:4772
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        58⤵
        
        PID:4820
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        59⤵
        
        PID:4172
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        58⤵
        
        PID:4856
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        58⤵
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:5096
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        59⤵
        System Location Discovery: System Language Discovery
        
        PID:4088
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        60⤵
        
        PID:4664
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        59⤵
        
        PID:4208
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        60⤵
        
        PID:4772
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        59⤵
        
        PID:4744
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        59⤵
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:4172
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        60⤵
        
        PID:4180
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        61⤵
        Drops file in System32 directory
        
        PID:4968
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        60⤵
        System Location Discovery: System Language Discovery
        
        PID:4736
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        61⤵
        
        PID:4264
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        60⤵
        
        PID:4676
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        60⤵
        Executes dropped EXE
        Suspicious use of NtSetInformationThreadHideFromDebugger
        System Location Discovery: System Language Discovery
        
        PID:4564
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        61⤵
        
        PID:4920
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        62⤵
        Views/modifies file attributes
        
        PID:4340
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        61⤵
        
        PID:4104
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        62⤵
        
        PID:4288
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        61⤵
        
        PID:4916
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        61⤵
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:4832
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        62⤵
        
        PID:4368
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        63⤵
        
        PID:5112
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        62⤵
        
        PID:4500
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        63⤵
        
        PID:4320
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        62⤵
        
        PID:4596
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        62⤵
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:4360
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        63⤵
        
        PID:4056
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        64⤵
        
        PID:5108
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        63⤵
        
        PID:4756
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        64⤵
        
        PID:4968
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        63⤵
        
        PID:4672
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        63⤵
        Executes dropped EXE
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:4912
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        64⤵
        
        PID:4352
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        65⤵
        Sets file to hidden
        
        PID:5160
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        64⤵
        
        PID:4016
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        65⤵
        Views/modifies file attributes
        
        PID:5168
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        64⤵
        
        PID:2388
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        64⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of NtSetInformationThreadHideFromDebugger
        
        PID:5176
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        65⤵
        
        PID:5372
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        66⤵
        System Location Discovery: System Language Discovery
        
        PID:5544
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        65⤵
        
        PID:5388
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        66⤵
        
        PID:5568
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        65⤵
        
        PID:5404
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        65⤵
        Executes dropped EXE
        
        PID:5576
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        66⤵
        
        PID:5776
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        67⤵
        
        PID:5972
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        66⤵
        
        PID:5784
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        67⤵
        Sets file to hidden
        Drops file in System32 directory
        Views/modifies file attributes
        
        PID:5964
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        66⤵
        
        PID:5800
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        66⤵
        Modifies WinLogon for persistence
        
        PID:5980
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        67⤵
        
        PID:4152
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        68⤵
        Views/modifies file attributes
        
        PID:5276
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        67⤵
        
        PID:4680
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        68⤵
        
        PID:5268
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        67⤵
        
        PID:5108
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        67⤵
        Adds Run key to start application
        
        PID:5284
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        68⤵
        
        PID:5500
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        69⤵
        
        PID:5696
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        68⤵
        
        PID:5508
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        69⤵
        System Location Discovery: System Language Discovery
        
        PID:5684
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        68⤵
        
        PID:5528
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        68⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:5704
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        69⤵
        
        PID:5972
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        70⤵
        
        PID:5556
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        69⤵
        
        PID:6000
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        70⤵
        
        PID:5356
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        69⤵
        
        PID:6016
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        69⤵
        System Location Discovery: System Language Discovery
        
        PID:5176
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        70⤵
        
        PID:5312
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        71⤵
        
        PID:4684
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        70⤵
        
        PID:5320
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        71⤵
        Sets file to hidden
        
        PID:5144
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        70⤵
        
        PID:5344
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        70⤵
        
        PID:4536
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        71⤵
        
        PID:5864
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        72⤵
        Views/modifies file attributes
        
        PID:6120
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        71⤵
        
        PID:5872
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        72⤵
        
        PID:6108
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        71⤵
        
        PID:5888
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        71⤵
        
        PID:6128
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        72⤵
        
        PID:5276
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        73⤵
        
        PID:5544
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        72⤵
        
        PID:5296
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        73⤵
        Views/modifies file attributes
        
        PID:5352
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        72⤵
        
        PID:5764
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        72⤵
        
        PID:5708
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        73⤵
        
        PID:5848
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        74⤵
        Views/modifies file attributes
        
        PID:4472
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        73⤵
        
        PID:5900
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        74⤵
        
        PID:5304
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        73⤵
        
        PID:5912
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        73⤵
        
        PID:5180
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        74⤵
        
        PID:4360
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        75⤵
        Views/modifies file attributes
        
        PID:5716
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        74⤵
        
        PID:5412
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        75⤵
        
        PID:5696
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        74⤵
        
        PID:5428
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        74⤵
        Modifies WinLogon for persistence
        System Location Discovery: System Language Discovery
        
        PID:5724
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        75⤵
        
        PID:6108
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        76⤵
        
        PID:5340
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        75⤵
        
        PID:6140
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        76⤵
        Sets file to hidden
        
        PID:5284
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        75⤵
        
        PID:5176
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        75⤵
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:4668
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        76⤵
        
        PID:5732
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        77⤵
        Sets file to hidden
        Drops file in System32 directory
        
        PID:4592
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        76⤵
        
        PID:5740
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        77⤵
        Sets file to hidden
        
        PID:6056
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        76⤵
        
        PID:5828
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        76⤵
        
        PID:5692
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        77⤵
        
        PID:6132
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        78⤵
        
        PID:5856
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        77⤵
        System Location Discovery: System Language Discovery
        
        PID:5424
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        78⤵
        
        PID:5840
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        77⤵
        
        PID:5440
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        77⤵
        Modifies WinLogon for persistence
        
        PID:5136
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        78⤵
        
        PID:5160
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        79⤵
        
        PID:5612
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        78⤵
        
        PID:5168
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        79⤵
        
        PID:5600
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        78⤵
        
        PID:5332
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        78⤵
        Drops file in System32 directory
        
        PID:5716
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        79⤵
        
        PID:6112
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        80⤵
        
        PID:5600
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        79⤵
        
        PID:5288
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        80⤵
        
        PID:5592
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        79⤵
        
        PID:6064
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        79⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:5612
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        80⤵
        
        PID:5956
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        81⤵
        System Location Discovery: System Language Discovery
        
        PID:5600
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        80⤵
        
        PID:4772
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        81⤵
        System Location Discovery: System Language Discovery
        
        PID:5584
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        80⤵
        
        PID:4336
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        80⤵
        
        PID:5608
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        81⤵
        
        PID:6072
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        82⤵
        Views/modifies file attributes
        
        PID:2632
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        81⤵
        
        PID:4936
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        82⤵
        
        PID:6088
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        81⤵
        
        PID:1572
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        81⤵
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:6100
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        82⤵
        
        PID:1444
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        83⤵
        
        PID:5264
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        82⤵
        
        PID:2896
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        83⤵
        Views/modifies file attributes
        
        PID:4668
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        82⤵
        
        PID:5728
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        82⤵
        Modifies WinLogon for persistence
        Drops file in System32 directory
        
        PID:4896
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        83⤵
        
        PID:5212
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        84⤵
        
        PID:4832
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        83⤵
        
        PID:5484
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        84⤵
        
        PID:5476
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        83⤵
        
        PID:5264
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        83⤵
        
        PID:5712
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        84⤵
        
        PID:5796
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        85⤵
        Sets file to hidden
        
        PID:5604
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        84⤵
        
        PID:5556
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        85⤵
        
        PID:5580
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        84⤵
        
        PID:5252
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        84⤵
        
        PID:6056
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        85⤵
        
        PID:6228
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        86⤵
        
        PID:6424
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        85⤵
        
        PID:6236
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        86⤵
        Sets file to hidden
        
        PID:6408
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        85⤵
        
        PID:6256
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        85⤵
        
        PID:6432
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        86⤵
        
        PID:6632
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        87⤵
        
        PID:6828
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        86⤵
        
        PID:6640
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        87⤵
        
        PID:6820
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        86⤵
        
        PID:6656
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        86⤵
        Modifies WinLogon for persistence
        
        PID:6836
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        87⤵
        
        PID:7032
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        88⤵
        
        PID:6068
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        87⤵
        
        PID:7040
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        88⤵
        System Location Discovery: System Language Discovery
        
        PID:5600
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        87⤵
        
        PID:7056
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        87⤵
        Adds Run key to start application
        
        PID:5492
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        88⤵
        
        PID:6328
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        89⤵
        Sets file to hidden
        System Location Discovery: System Language Discovery
        
        PID:6440
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        88⤵
        
        PID:6336
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        89⤵
        System Location Discovery: System Language Discovery
        
        PID:6556
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        88⤵
        
        PID:6344
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        88⤵
        Modifies WinLogon for persistence
        
        PID:6564
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        89⤵
        
        PID:6776
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        90⤵
        
        PID:6964
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        89⤵
        System Location Discovery: System Language Discovery
        
        PID:6824
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        90⤵
        Drops file in System32 directory
        
        PID:6972
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        89⤵
        
        PID:6828
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        89⤵
        
        PID:6980
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        90⤵
        
        PID:688
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        91⤵
        
        PID:6612
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        90⤵
        
        PID:2632
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        91⤵
        
        PID:6816
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        90⤵
        
        PID:5280
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        90⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:6808
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        91⤵
        
        PID:5980
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        92⤵
        
        PID:6852
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        91⤵
        
        PID:5260
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        92⤵
        Sets file to hidden
        
        PID:4280
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        91⤵
        
        PID:5708
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        91⤵
        Adds Run key to start application
        
        PID:6860
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        92⤵
        
        PID:7152
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        93⤵
        
        PID:6176
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        92⤵
        
        PID:7136
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        93⤵
        Views/modifies file attributes
        
        PID:5724
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        92⤵
        
        PID:6544
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        92⤵
        Modifies WinLogon for persistence
        
        PID:4852
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        93⤵
        
        PID:6528
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        94⤵
        Drops file in System32 directory
        
        PID:6056
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        93⤵
        
        PID:6772
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        94⤵
        
        PID:2132
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        93⤵
        
        PID:6756
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        93⤵
        Adds Run key to start application
        
        PID:6868
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        94⤵
        
        PID:7140
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        95⤵
        
        PID:2380
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        94⤵
        
        PID:7160
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        95⤵
        
        PID:2136
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        94⤵
        
        PID:4496
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        94⤵
        
        PID:2396
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        95⤵
        
        PID:6496
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        96⤵
        Views/modifies file attributes
        
        PID:7108
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        95⤵
        
        PID:6504
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        96⤵
        Views/modifies file attributes
        
        PID:5612
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        95⤵
        
        PID:6568
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        95⤵
        Modifies WinLogon for persistence
        
        PID:7120
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        96⤵
        
        PID:1536
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        97⤵
        Views/modifies file attributes
        
        PID:6616
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        96⤵
        
        PID:5636
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        97⤵
        
        PID:2304
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        96⤵
        
        PID:6316
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        96⤵
        Adds Run key to start application
        
        PID:6404
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        97⤵
        
        PID:6696
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        98⤵
        
        PID:6972
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        97⤵
        
        PID:6704
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        98⤵
        
        PID:6964
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        97⤵
        
        PID:6716
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        97⤵
        Modifies WinLogon for persistence
        
        PID:7008
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        98⤵
        
        PID:6468
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        99⤵
        
        PID:6808
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        98⤵
        
        PID:6812
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        99⤵
        
        PID:6056
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        98⤵
        System Location Discovery: System Language Discovery
        
        PID:6068
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        98⤵
        
        PID:2272
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        99⤵
        
        PID:6868
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        100⤵
        
        PID:6364
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        99⤵
        
        PID:5684
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        100⤵
        
        PID:6376
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        99⤵
        
        PID:6992
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        99⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:6392
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        100⤵
        
        PID:6560
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        101⤵
        
        PID:6428
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        100⤵
        
        PID:6896
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        101⤵
        
        PID:6384
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        100⤵
        
        PID:6916
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        100⤵
        
        PID:4356
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        101⤵
        
        PID:7008
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        102⤵
        
        PID:6404
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        101⤵
        System Location Discovery: System Language Discovery
        
        PID:7104
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        102⤵
        Views/modifies file attributes
        
        PID:6748
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        101⤵
        
        PID:5124
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        101⤵
        
        PID:6564
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        102⤵
        
        PID:6176
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        103⤵
        
        PID:7108
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        102⤵
        
        PID:2872
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        103⤵
        
        PID:7112
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        102⤵
        
        PID:6304
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        102⤵
        Adds Run key to start application
        
        PID:2492
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        103⤵
        
        PID:2396
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        104⤵
        
        PID:6384
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        103⤵
        
        PID:6732
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        104⤵
        System Location Discovery: System Language Discovery
        
        PID:6376
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        103⤵
        
        PID:5612
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        103⤵
        Adds Run key to start application
        
        PID:6488
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        104⤵
        
        PID:6684
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        105⤵
        
        PID:6920
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        104⤵
        
        PID:6188
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        105⤵
        
        PID:6376
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        104⤵
        
        PID:7124
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        104⤵
        Adds Run key to start application
        
        PID:6652
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        105⤵
        
        PID:6864
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        106⤵
        
        PID:7012
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        105⤵
        
        PID:6760
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        106⤵
        Sets file to hidden
        
        PID:6932
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        105⤵
        
        PID:6204
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        105⤵
        Adds Run key to start application
        
        PID:2864
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        106⤵
        
        PID:1844
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        107⤵
        Drops file in System32 directory
        
        PID:7232
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        106⤵
        
        PID:1932
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        107⤵
        
        PID:7240
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        106⤵
        
        PID:1868
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        106⤵
        
        PID:7248
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        107⤵
        
        PID:7444
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        108⤵
        
        PID:7644
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        107⤵
        
        PID:7456
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        108⤵
        
        PID:7636
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        107⤵
        
        PID:7464
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        107⤵
        Modifies WinLogon for persistence
        
        PID:7652
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        108⤵
        
        PID:7848
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        109⤵
        
        PID:8044
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        108⤵
        
        PID:7856
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        109⤵
        
        PID:8036
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        108⤵
        
        PID:7872
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        108⤵
        
        PID:8052
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        109⤵
        
        PID:6488
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        110⤵
        Views/modifies file attributes
        
        PID:7340
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        109⤵
        
        PID:6572
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        110⤵
        System Location Discovery: System Language Discovery
        
        PID:7332
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        109⤵
        
        PID:900
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        109⤵
        
        PID:7348
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        110⤵
        System Location Discovery: System Language Discovery
        
        PID:7596
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        111⤵
        
        PID:7792
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        110⤵
        
        PID:7484
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        111⤵
        Drops file in System32 directory
        
        PID:7784
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        110⤵
        
        PID:7780
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        110⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:7800
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        111⤵
        
        PID:8080
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        112⤵
        
        PID:7192
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        111⤵
        
        PID:8096
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        112⤵
        
        PID:7180
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        111⤵
        
        PID:8112
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        111⤵
        
        PID:2800
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        112⤵
        
        PID:7400
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        113⤵
        
        PID:7692
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        112⤵
        
        PID:7420
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        113⤵
        
        PID:7700
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        112⤵
        
        PID:7428
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        112⤵
        
        PID:7708
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        113⤵
        
        PID:7956
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        114⤵
        
        PID:8124
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        113⤵
        
        PID:7964
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        114⤵
        Views/modifies file attributes
        
        PID:7452
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        113⤵
        
        PID:7980
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        113⤵
        Adds Run key to start application
        
        PID:7184
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        114⤵
        
        PID:7656
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        115⤵
        
        PID:7432
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        114⤵
        
        PID:7368
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        115⤵
        Sets file to hidden
        
        PID:8064
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        114⤵
        
        PID:7808
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        114⤵
        Modifies WinLogon for persistence
        
        PID:7800
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        115⤵
        
        PID:8040
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        116⤵
        
        PID:7244
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        115⤵
        
        PID:8076
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        116⤵
        
        PID:7352
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        115⤵
        
        PID:8128
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        115⤵
        Adds Run key to start application
        
        PID:7232
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        116⤵
        
        PID:8060
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        117⤵
        Sets file to hidden
        
        PID:8052
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        116⤵
        
        PID:5460
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        117⤵
        Sets file to hidden
        
        PID:7820
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        116⤵
        
        PID:7208
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        116⤵
        
        PID:7828
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        117⤵
        
        PID:7352
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        118⤵
        
        PID:7548
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        117⤵
        
        PID:7244
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        118⤵
        Sets file to hidden
        
        PID:7572
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        117⤵
        
        PID:7440
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        117⤵
        
        PID:7516
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        118⤵
        
        PID:7892
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        119⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:8088
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        118⤵
        
        PID:7908
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        119⤵
        
        PID:6440
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        118⤵
        
        PID:7976
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        118⤵
        
        PID:7184
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        119⤵
        
        PID:6736
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        120⤵
        
        PID:8160
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        119⤵
        
        PID:7732
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        120⤵
        
        PID:6888
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        119⤵
        
        PID:7744
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        119⤵
        
        PID:8108
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        120⤵
        
        PID:7508
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        121⤵
        
        PID:3036
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        120⤵
        
        PID:7512
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        121⤵
        Sets file to hidden
        
        PID:7560
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        120⤵
        
        PID:7572
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        120⤵
        Adds Run key to start application
        
        PID:7120
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        121⤵
        
        PID:7264
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        122⤵
        
        PID:8176
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        121⤵
        
        PID:6356
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        122⤵
        Drops file in System32 directory
        Views/modifies file attributes
        
        PID:7936
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        121⤵
        
        PID:7176
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        121⤵
        
        PID:7948
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        122⤵
        
        PID:7344
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        123⤵
        System Location Discovery: System Language Discovery
        Views/modifies file attributes
        
        PID:8148
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        122⤵
        
        PID:7432
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        123⤵
        Drops file in System32 directory
        
        PID:8144
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        122⤵
        
        PID:7524
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        122⤵
        Modifies WinLogon for persistence
        Drops file in System32 directory
        
        PID:7452
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        123⤵
        
        PID:7816
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        124⤵
        
        PID:8044
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        123⤵
        
        PID:7824
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        124⤵
        
        PID:7868
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        123⤵
        
        PID:7724
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        123⤵
        Drops file in System32 directory
        
        PID:6440
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        124⤵
        
        PID:7688
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        125⤵
        Sets file to hidden
        Views/modifies file attributes
        
        PID:7356
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        124⤵
        
        PID:7256
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        125⤵
        Sets file to hidden
        
        PID:8184
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        124⤵
        
        PID:7704
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        124⤵
        Adds Run key to start application
        
        PID:5724
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        125⤵
        
        PID:7408
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        126⤵
        
        PID:8184
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        125⤵
        
        PID:6384
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        126⤵
        
        PID:7532
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        125⤵
        
        PID:8160
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        125⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:8148
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        126⤵
        
        PID:8168
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        127⤵
        
        PID:8240
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        126⤵
        
        PID:7384
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        127⤵
        
        PID:8232
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        126⤵
        
        PID:7288
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        126⤵
        Adds Run key to start application
        
        PID:8252
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        127⤵
        
        PID:8448
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        128⤵
        
        PID:8644
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        127⤵
        
        PID:8456
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        128⤵
        
        PID:8636
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        127⤵
        
        PID:8472
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        127⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:8652
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        128⤵
        
        PID:8848
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        129⤵
        Views/modifies file attributes
        
        PID:9044
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        128⤵
        
        PID:8856
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        129⤵
        
        PID:9036
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        128⤵
        
        PID:8872
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        128⤵
        
        PID:9052
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        129⤵
        
        PID:7268
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        130⤵
        
        PID:8316
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        129⤵
        
        PID:6424
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        130⤵
        
        PID:8308
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        129⤵
        
        PID:1304
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        129⤵
        
        PID:8324
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        130⤵
        
        PID:8580
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        131⤵
        
        PID:8780
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        130⤵
        
        PID:8588
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        131⤵
        Views/modifies file attributes
        
        PID:8760
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        130⤵
        
        PID:8528
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        130⤵
        
        PID:8772
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        131⤵
        
        PID:9068
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        132⤵
        
        PID:8632
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        131⤵
        
        PID:9108
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        132⤵
        
        PID:8436
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        131⤵
        
        PID:9128
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        131⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:8184
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        132⤵
        
        PID:8360
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        133⤵
        
        PID:8212
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        132⤵
        
        PID:8368
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        133⤵
        System Location Discovery: System Language Discovery
        
        PID:7900
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        132⤵
        
        PID:8384
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        132⤵
        Adds Run key to start application
        
        PID:7896
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        133⤵
        
        PID:8904
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        134⤵
        
        PID:9196
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        133⤵
        
        PID:8920
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        134⤵
        Sets file to hidden
        
        PID:9212
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        133⤵
        
        PID:8924
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        133⤵
        Adds Run key to start application
        
        PID:7272
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        134⤵
        
        PID:9024
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        135⤵
        
        PID:9064
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        134⤵
        
        PID:9028
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        135⤵
        
        PID:8664
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        134⤵
        
        PID:8840
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        134⤵
        Modifies WinLogon for persistence
        Drops file in System32 directory
        
        PID:8252
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        135⤵
        
        PID:8988
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        136⤵
        
        PID:8732
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        135⤵
        
        PID:9100
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        136⤵
        
        PID:8568
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        135⤵
        
        PID:8956
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        135⤵
        Adds Run key to start application
        
        PID:8324
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        136⤵
        
        PID:8496
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        137⤵
        
        PID:8300
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        136⤵
        System Location Discovery: System Language Discovery
        
        PID:8508
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        137⤵
        
        PID:7556
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        136⤵
        
        PID:8524
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        136⤵
        
        PID:8792
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        137⤵
        
        PID:8628
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        138⤵
        Sets file to hidden
        
        PID:8184
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        137⤵
        
        PID:8976
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        138⤵
        System Location Discovery: System Language Discovery
        
        PID:8312
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        137⤵
        
        PID:8572
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        137⤵
        Modifies WinLogon for persistence
        
        PID:8396
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        138⤵
        
        PID:8604
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        139⤵
        
        PID:8328
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        138⤵
        
        PID:8296
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        139⤵
        Sets file to hidden
        
        PID:9180
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        138⤵
        
        PID:8244
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        138⤵
        
        PID:7784
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        139⤵
        
        PID:8748
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        140⤵
        
        PID:7896
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        139⤵
        System Location Discovery: System Language Discovery
        
        PID:8336
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        140⤵
        
        PID:9192
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        139⤵
        
        PID:8512
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        139⤵
        Drops file in System32 directory
        
        PID:8892
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        140⤵
        
        PID:2412
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        141⤵
        
        PID:8812
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        140⤵
        
        PID:8416
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        141⤵
        Sets file to hidden
        
        PID:8708
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        140⤵
        
        PID:7920
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        140⤵
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:8868
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        141⤵
        
        PID:7276
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        142⤵
        
        PID:6180
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        141⤵
        
        PID:7120
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        142⤵
        
        PID:9004
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        141⤵
        
        PID:8264
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        141⤵
        Drops file in System32 directory
        
        PID:8640
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        142⤵
        
        PID:5180
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        143⤵
        
        PID:8676
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        142⤵
        
        PID:8324
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        143⤵
        
        PID:8716
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        142⤵
        
        PID:7356
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        142⤵
        Modifies WinLogon for persistence
        
        PID:6404
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        143⤵
        
        PID:8252
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        144⤵
        
        PID:8224
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        143⤵
        System Location Discovery: System Language Discovery
        
        PID:7916
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        144⤵
        
        PID:8088
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        143⤵
        
        PID:7576
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        143⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:8792
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        144⤵
        
        PID:6180
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        145⤵
        Sets file to hidden
        
        PID:8992
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        144⤵
        
        PID:8796
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        145⤵
        
        PID:2840
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        144⤵
        System Location Discovery: System Language Discovery
        
        PID:8236
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        144⤵
        Drops file in System32 directory
        
        PID:8824
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        145⤵
        
        PID:9200
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        146⤵
        
        PID:9040
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        145⤵
        
        PID:8820
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        146⤵
        
        PID:8836
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        145⤵
        
        PID:8408
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        145⤵
        Modifies WinLogon for persistence
        
        PID:8428
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        146⤵
        
        PID:8652
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        147⤵
        Views/modifies file attributes
        
        PID:9284
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        146⤵
        
        PID:8704
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        147⤵
        Sets file to hidden
        
        PID:9268
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        146⤵
        
        PID:8676
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        146⤵
        Modifies WinLogon for persistence
        
        PID:9292
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        147⤵
        
        PID:9488
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        148⤵
        
        PID:9692
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        147⤵
        
        PID:9496
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        148⤵
        Sets file to hidden
        
        PID:9676
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        147⤵
        
        PID:9512
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        147⤵
        Modifies WinLogon for persistence
        
        PID:9684
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        148⤵
        
        PID:9896
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        149⤵
        
        PID:10092
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        148⤵
        
        PID:9904
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        149⤵
        
        PID:10084
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        148⤵
        
        PID:9920
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        148⤵
        Modifies WinLogon for persistence
        
        PID:10100
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        149⤵
        
        PID:9080
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        150⤵
        Drops file in System32 directory
        
        PID:9380
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        149⤵
        
        PID:9208
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        150⤵
        Drops file in System32 directory
        
        PID:9388
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        149⤵
        
        PID:9052
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        149⤵
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:9396
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        150⤵
        
        PID:9508
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        151⤵
        Sets file to hidden
        
        PID:9832
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        150⤵
        
        PID:9680
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        151⤵
        Drops file in System32 directory
        Views/modifies file attributes
        
        PID:9848
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        150⤵
        
        PID:8936
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        150⤵
        
        PID:9828
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        151⤵
        
        PID:9648
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        152⤵
        
        PID:9228
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        151⤵
        
        PID:9296
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        152⤵
        Sets file to hidden
        
        PID:9824
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        151⤵
        
        PID:10152
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        151⤵
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:9236
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        152⤵
        
        PID:9456
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        153⤵
        
        PID:9728
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        152⤵
        
        PID:9528
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        153⤵
        Views/modifies file attributes
        
        PID:9736
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        152⤵
        
        PID:9536
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        152⤵
        
        PID:9744
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        153⤵
        
        PID:10008
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        154⤵
        
        PID:8836
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        153⤵
        
        PID:10016
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        154⤵
        
        PID:8992
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        153⤵
        
        PID:10032
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        153⤵
        Modifies WinLogon for persistence
        Drops file in System32 directory
        
        PID:9224
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        154⤵
        System Location Discovery: System Language Discovery
        
        PID:9688
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        155⤵
        Views/modifies file attributes
        
        PID:8800
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        154⤵
        
        PID:9304
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        155⤵
        Views/modifies file attributes
        
        PID:9472
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        154⤵
        
        PID:9436
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        154⤵
        
        PID:9828
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        155⤵
        
        PID:9404
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        156⤵
        
        PID:9272
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        155⤵
        
        PID:10108
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        156⤵
        
        PID:9400
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        155⤵
        
        PID:10132
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        155⤵
        Modifies WinLogon for persistence
        
        PID:9284
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        156⤵
        
        PID:9608
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        157⤵
        
        PID:9868
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        156⤵
        
        PID:9616
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        157⤵
        Drops file in System32 directory
        
        PID:9852
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        156⤵
        
        PID:9692
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        156⤵
        
        PID:9872
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        157⤵
        
        PID:9288
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        158⤵
        
        PID:9416
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        157⤵
        
        PID:8412
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        158⤵
        
        PID:9576
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        157⤵
        
        PID:9880
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        157⤵
        
        PID:9424
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        158⤵
        
        PID:9956
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        159⤵
        
        PID:9156
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        158⤵
        
        PID:9964
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        159⤵
        
        PID:8896
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        158⤵
        
        PID:9980
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        158⤵
        Modifies WinLogon for persistence
        
        PID:8824
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        159⤵
        
        PID:9784
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        160⤵
        
        PID:9952
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        159⤵
        
        PID:8800
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        160⤵
        
        PID:10028
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        159⤵
        
        PID:9264
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        159⤵
        Drops file in System32 directory
        
        PID:8992
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        160⤵
        
        PID:9596
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        161⤵
        
        PID:10088
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        160⤵
        System Location Discovery: System Language Discovery
        
        PID:9284
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        161⤵
        Sets file to hidden
        
        PID:10028
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        160⤵
        
        PID:9300
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        160⤵
        
        PID:9952
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        161⤵
        
        PID:10076
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        162⤵
        
        PID:9824
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        161⤵
        
        PID:9580
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        162⤵
        
        PID:8824
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        161⤵
        
        PID:9476
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        161⤵
        
        PID:9628
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        162⤵
        
        PID:9376
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        163⤵
        Views/modifies file attributes
        
        PID:9156
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        162⤵
        
        PID:9836
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        163⤵
        
        PID:9400
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        162⤵
        
        PID:10224
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        162⤵
        Drops file in System32 directory
        
        PID:9560
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        163⤵
        
        PID:9588
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        164⤵
        Views/modifies file attributes
        
        PID:10088
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        163⤵
        
        PID:9232
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        164⤵
        
        PID:9868
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        163⤵
        System Location Discovery: System Language Discovery
        
        PID:9452
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        163⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:8204
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        164⤵
        
        PID:9848
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        165⤵
        
        PID:9892
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        164⤵
        System Location Discovery: System Language Discovery
        
        PID:8896
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        165⤵
        Drops file in System32 directory
        Views/modifies file attributes
        
        PID:9408
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        164⤵
        
        PID:8432
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        164⤵
        Adds Run key to start application
        
        PID:9796
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        165⤵
        
        PID:9320
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        166⤵
        
        PID:10080
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        165⤵
        
        PID:9344
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        166⤵
        System Location Discovery: System Language Discovery
        
        PID:9776
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        165⤵
        
        PID:8824
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        165⤵
        
        PID:10204
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        166⤵
        
        PID:9768
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        167⤵
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Views/modifies file attributes
        
        PID:10324
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        166⤵
        
        PID:9740
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        167⤵
        Drops file in System32 directory
        Views/modifies file attributes
        
        PID:10332
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        166⤵
        
        PID:9388
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        166⤵
        
        PID:10340
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        167⤵
        
        PID:10536
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        168⤵
        Views/modifies file attributes
        
        PID:10732
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        167⤵
        
        PID:10544
        
        C:\Windows\SysWOW64\attrib.exe
        
        attrib "C:\Windows\SysWOW64\7560" +s +h
        168⤵
        Views/modifies file attributes
        
        PID:10724
        
        C:\Windows\SysWOW64\notepad.exe
        
        notepad
        167⤵
        
        PID:10560
        
        C:\Windows\SysWOW64\7560\msdcsc.exe
        
        "C:\Windows\system32\7560\msdcsc.exe"
        167⤵
        Adds Run key to start application
        
        PID:10744
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560\msdcsc.exe" +s +h
        168⤵
        
        PID:10940
        
        C:\Windows\SysWOW64\cmd.exe
        
        "C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\7560" +s +h
        168⤵
        
        PID:10948

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-177328776-332938750-918360757649910505713441649752163973-1564252812-346921492"
1⤵
PID:2024

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1738961042-339760429-696584013-16278024604299004821096447947-1384524829-1657352107"
1⤵
PID:2332

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "13712868452117749788-807185792-1259105812-5945582001718929204-134023782814035769"
1⤵
PID:2252

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1533003162-2131775125-2059041425-2015388702176035839615183189821384572549-67191475"
1⤵
PID:4288

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1036041350-1940689245725491811028453894-1191975869-5512803364127484911003421359"
1⤵
PID:4968

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "2057086126-1805567125-1196005442-2049092031-191564829019110959168232622681574475470"
1⤵
PID:5356

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1959624561973880174-1249296041-600739599-1647337186-465369793-1432805278-1885940617"
1⤵
PID:4472

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "14786587961842236223-1753754628-915488609-133707482710221194161266635950910378880"
1⤵
PID:4668

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1991379216-203771475-6291538661462817025757157234-1771257537-582515156-1955053728"
1⤵
PID:5608

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1320609990827312459-1260836836-843779277-8640654171025604587400699271607012733"
1⤵
PID:2304

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1007229788967871047-1521500529-1567077540-1697183524211920884-1421542115-1273504584"
1⤵
PID:6808

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1705324509-1970918777-2116565984602677247-806774802057332656-363873123-992148413"
1⤵
PID:2380

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "985840464-327861588-15165837191625523874-1891718801748255216-8654175141599503699"
1⤵
PID:7636

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-2042134698-571370473-211075723618064940001649507002963396341-1373425511914316686"
1⤵
PID:2800

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-263956474-434390084-11958396091870192197-139208252821276328094974568861817065883"
1⤵
PID:7192

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1644938149-1178755712794942716-28244290913034856314862412499704828-53569668"
1⤵
PID:7708

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "481862084-2123359250-695678442-15586741241197912277-741958933-3922096151445447460"
1⤵
PID:7936

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "5988262186188180296383773591164745899-843673708-1199342505-1036970504284102902"
1⤵
PID:7560

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "6122488611571521192189550564795086269667309802016652210081983493426-1323665639"
1⤵
PID:6888

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-4113384321593900850-343982588161816849718603701261107265457-1576273306-602022138"
1⤵
PID:8732

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-2086533019-1146087270486513080-1273768949-496826189-34842568552553973791512025"
1⤵
PID:8328

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1261935754-927234101-1354528426429256784-374855782-1012509409-445627932574843137"
1⤵
PID:6404

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-16788541641744192905-120420753-132405264-19636051941069738565-1574583181-1621199839"
1⤵
PID:9728

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "17477513463118355741819100141-14233230721652737605-16490609424796019401102789697"
1⤵
PID:9576

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-10275629891786671288-15113959348995156953163170863849873533586361252375498"
1⤵
PID:9628

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Defense Evasion

Hide Artifacts

T1564

Hidden Files and Directories

T1564.001

Modify Registry

T1112

Credential Access

Discovery

System Information Discovery

T1082

System Location Discovery

T1614

System Language Discovery

T1614.001

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\SysWOW64\7560\msdcsc.exe

Filesize
5.4MB

MD5
2d1fd41cbc1769d934cb3093e6f8063a

SHA1
72de3c4a9969415fcd973e6d9a4b0b19d892f4f2

SHA256
88d4d2554bb064ad0db74fd3fb97bff1325dbe751e4d21bda0ffc3d0bf5e3cd2

SHA512
636a62e8ee870bd6b076961f4d97db7eb8a3ece57d60cfbe2a65a0ece084d9157b8c985fba014d1dbfbc7d2bcebecdc58f9cbc9e1f8ca0c3a6c5592a8e7f23f5

Download Submit
memory/2192-7-0x0000000000270000-0x0000000000271000-memory.dmp

Filesize
4KB

Download
memory/2192-39-0x0000000000360000-0x0000000000361000-memory.dmp

Filesize
4KB

Download
memory/2192-45-0x0000000000400000-0x0000000000D43000-memory.dmp

Filesize
9.3MB

Download
memory/2192-44-0x0000000000400000-0x0000000000D43000-memory.dmp

Filesize
9.3MB

Download
memory/2192-32-0x0000000000350000-0x0000000000351000-memory.dmp

Filesize
4KB

Download
memory/2192-29-0x00000000002C0000-0x00000000002C1000-memory.dmp

Filesize
4KB

Download
memory/2192-26-0x00000000002B0000-0x00000000002B1000-memory.dmp

Filesize
4KB

Download
memory/2192-24-0x00000000002B0000-0x00000000002B1000-memory.dmp

Filesize
4KB

Download
memory/2192-21-0x00000000002A0000-0x00000000002A1000-memory.dmp

Filesize
4KB

Download
memory/2192-19-0x00000000002A0000-0x00000000002A1000-memory.dmp

Filesize
4KB

Download
memory/2192-16-0x0000000000290000-0x0000000000291000-memory.dmp

Filesize
4KB

Download
memory/2192-14-0x0000000000290000-0x0000000000291000-memory.dmp

Filesize
4KB

Download
memory/2192-11-0x0000000000270000-0x0000000000271000-memory.dmp

Filesize
4KB

Download
memory/2192-9-0x0000000000270000-0x0000000000271000-memory.dmp

Filesize
4KB

Download
memory/2192-34-0x0000000000350000-0x0000000000351000-memory.dmp

Filesize
4KB

Download
memory/2192-0-0x00000000004A7000-0x00000000007DB000-memory.dmp

Filesize
3.2MB

Download
memory/2192-36-0x0000000000350000-0x0000000000351000-memory.dmp

Filesize
4KB

Download
memory/2192-2-0x0000000000260000-0x0000000000261000-memory.dmp

Filesize
4KB

Download
memory/2192-42-0x0000000000400000-0x0000000000D43000-memory.dmp

Filesize
9.3MB

Download
memory/2192-41-0x0000000000360000-0x0000000000361000-memory.dmp

Filesize
4KB

Download
memory/2192-6-0x0000000000260000-0x0000000000261000-memory.dmp

Filesize
4KB

Download
memory/2192-37-0x0000000000360000-0x0000000000361000-memory.dmp

Filesize
4KB

Download
memory/2192-4-0x0000000000260000-0x0000000000261000-memory.dmp

Filesize
4KB

Download
memory/2192-49-0x0000000000400000-0x0000000000D43000-memory.dmp

Filesize
9.3MB

Download
memory/2192-1-0x0000000000400000-0x0000000000D43000-memory.dmp

Filesize
9.3MB

Download
memory/2192-184-0x00000000004A7000-0x00000000007DB000-memory.dmp

Filesize
3.2MB

Download
memory/2192-31-0x00000000002C0000-0x00000000002C1000-memory.dmp

Filesize
4KB

Download
memory/2192-197-0x0000000000400000-0x0000000000D43000-memory.dmp

Filesize
9.3MB

Download
memory/2836-70-0x00000000001E0000-0x00000000001E1000-memory.dmp

Filesize
4KB

Download
memory/2836-50-0x0000000000080000-0x0000000000081000-memory.dmp

Filesize
4KB

Download