darkcomet | b053a971958fe74b167b3016c5401bd748a618298e7056cc262d1614503c2d97

Analysis

max time kernel
149s
max time network
121s
platform
windows7_x64
resource
win7-20240903-en
resource tags

arch:x64arch:x86image:win7-20240903-enlocale:en-usos:windows7-x64system
submitted
26/02/2025, 23:57

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Size

844KB
MD5

296038823b99f5ab9a767bfe6d4d6b31
SHA1

e1fb5df79b3bc12dda55f84bf913a286276366ab
SHA256

b053a971958fe74b167b3016c5401bd748a618298e7056cc262d1614503c2d97
SHA512

bc1e7aa6b82c1dfa31775e75d7c03e94df79a34030b0d9c544c4c9a5d6feee91faf14f5bbfff795769cb588118dc142d7c8a8b3be82018b7d5e5d799816ade86
SSDEEP

12288:vpupUrY6k0uHKBpoIZo89TiO/1CNRZo7tjWdT0zU5/JjExxQ/ixNRhDnk:vpupUr00uqDpZJTiIajJYxa/ixNRhTk

Score

10^/10

darkcomet 4c discovery persistence rat trojan

Malware Config

Extracted

Family

darkcomet

Botnet

hvtnecyusy.servequake.com:1604

Mutex

DC_MUTEX-XGTVTGV

Attributes

InstallPath
winupdate.exe
gencode
3#�zeRq./lce
install
true
offline_keylogger
true
persistence
true
reg_key
winupdater

rc4.plain

Signatures

Darkcomet
DarkComet is a remote access trojan (RAT) developed by Jean-Pierre Lesueur.
trojan rat darkcomet
Darkcomet family
darkcomet

Modifies WinLogon for persistence 2 TTPs 64 IoCs

persistence

Winlogon Helper DLL

T1547.004

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe"	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe,C:\\Windows\\system32\\winupdate.exe"	winupdate.exe

Checks BIOS information in registry 2 TTPs 64 IoCs

BIOS information is often read in order to detect sandboxing environments.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	winupdate.exe

Executes dropped EXE 64 IoCs

pid	Process
2652	winupdate.exe
2576	winupdate.exe
2028	winupdate.exe
1972	winupdate.exe
1940	winupdate.exe
576	winupdate.exe
2912	winupdate.exe
1172	winupdate.exe
2328	winupdate.exe
284	winupdate.exe
1976	winupdate.exe
900	winupdate.exe
1876	winupdate.exe
2396	winupdate.exe
1944	winupdate.exe
816	winupdate.exe
952	winupdate.exe
2576	winupdate.exe
2852	winupdate.exe
2140	winupdate.exe
2500	winupdate.exe
2344	winupdate.exe
2876	winupdate.exe
2432	winupdate.exe
2716	winupdate.exe
2968	winupdate.exe
2372	winupdate.exe
1516	winupdate.exe
2880	winupdate.exe
2928	winupdate.exe
1944	winupdate.exe
1756	winupdate.exe
1752	winupdate.exe
2812	winupdate.exe
324	winupdate.exe
2408	winupdate.exe
2076	winupdate.exe
836	winupdate.exe
2392	winupdate.exe
1944	winupdate.exe
584	winupdate.exe
2508	winupdate.exe
760	winupdate.exe
2100	winupdate.exe
1592	winupdate.exe
1980	winupdate.exe
2512	winupdate.exe
1188	winupdate.exe
600	winupdate.exe
2148	winupdate.exe
1692	winupdate.exe
2268	winupdate.exe
1596	winupdate.exe
2440	winupdate.exe
1684	winupdate.exe
620	winupdate.exe
284	winupdate.exe
2304	winupdate.exe
780	winupdate.exe
1572	winupdate.exe
2408	winupdate.exe
2224	winupdate.exe
2184	winupdate.exe
2868	winupdate.exe

Loads dropped DLL 64 IoCs

pid	Process
2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
2652	winupdate.exe
2652	winupdate.exe
2652	winupdate.exe
2652	winupdate.exe
2576	winupdate.exe
2576	winupdate.exe
2576	winupdate.exe
2576	winupdate.exe
2028	winupdate.exe
2028	winupdate.exe
2028	winupdate.exe
2028	winupdate.exe
1972	winupdate.exe
1972	winupdate.exe
1972	winupdate.exe
1972	winupdate.exe
1940	winupdate.exe
1940	winupdate.exe
1940	winupdate.exe
1940	winupdate.exe
576	winupdate.exe
576	winupdate.exe
576	winupdate.exe
576	winupdate.exe
2912	winupdate.exe
2912	winupdate.exe
2912	winupdate.exe
2912	winupdate.exe
1172	winupdate.exe
1172	winupdate.exe
1172	winupdate.exe
1172	winupdate.exe
2328	winupdate.exe
2328	winupdate.exe
2328	winupdate.exe
2328	winupdate.exe
284	winupdate.exe
284	winupdate.exe
284	winupdate.exe
284	winupdate.exe
1976	winupdate.exe
1976	winupdate.exe
1976	winupdate.exe
1976	winupdate.exe
900	winupdate.exe
900	winupdate.exe
900	winupdate.exe
900	winupdate.exe
1876	winupdate.exe
1876	winupdate.exe
1876	winupdate.exe
1876	winupdate.exe
2396	winupdate.exe
2396	winupdate.exe
2396	winupdate.exe
2396	winupdate.exe
1944	winupdate.exe
1944	winupdate.exe
1944	winupdate.exe
1944	winupdate.exe
816	winupdate.exe
816	winupdate.exe
816	winupdate.exe

Adds Run key to start application 2 TTPs 64 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1488793075-819845221-1497111674-1000\Software\Microsoft\Windows\CurrentVersion\Run\winupdater = "C:\\Windows\\system32\\winupdate.exe"	winupdate.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File opened for modification	C:\Windows\SysWOW64\	winupdate.exe
File created	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File created	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File created	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File created	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File created	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\	winupdate.exe
File created	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\	winupdate.exe
File created	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File created	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File created	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File created	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File created	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\	winupdate.exe
File created	C:\Windows\SysWOW64\winupdate.exe	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
File created	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File created	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File created	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File created	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\	winupdate.exe
File created	C:\Windows\SysWOW64\winupdate.exe	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\	winupdate.exe
File opened for modification	C:\Windows\SysWOW64\	winupdate.exe

Suspicious use of SetThreadContext 64 IoCs

description	pid	Process	procid_target
PID 2592 set thread context of 2432	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe	31
PID 2652 set thread context of 1632	2652	winupdate.exe	34
PID 2576 set thread context of 1500	2576	winupdate.exe	37
PID 2028 set thread context of 752	2028	winupdate.exe	40
PID 1972 set thread context of 2688	1972	winupdate.exe	43
PID 1940 set thread context of 836	1940	winupdate.exe	46
PID 576 set thread context of 2788	576	winupdate.exe	49
PID 2912 set thread context of 2348	2912	winupdate.exe	52
PID 1172 set thread context of 2420	1172	winupdate.exe	55
PID 2328 set thread context of 2536	2328	winupdate.exe	58
PID 284 set thread context of 1600	284	winupdate.exe	61
PID 1976 set thread context of 2160	1976	winupdate.exe	64
PID 900 set thread context of 1340	900	winupdate.exe	67
PID 1876 set thread context of 2924	1876	winupdate.exe	70
PID 2396 set thread context of 2076	2396	winupdate.exe	73
PID 1944 set thread context of 2020	1944	winupdate.exe	76
PID 816 set thread context of 2680	816	winupdate.exe	79
PID 952 set thread context of 2508	952	winupdate.exe	82
PID 2576 set thread context of 1400	2576	winupdate.exe	85
PID 2852 set thread context of 2096	2852	winupdate.exe	88
PID 2140 set thread context of 1732	2140	winupdate.exe	91
PID 2500 set thread context of 960	2500	winupdate.exe	94
PID 2344 set thread context of 2668	2344	winupdate.exe	97
PID 2876 set thread context of 2592	2876	winupdate.exe	100
PID 2432 set thread context of 1736	2432	winupdate.exe	103
PID 2716 set thread context of 1768	2716	winupdate.exe	106
PID 2968 set thread context of 1160	2968	winupdate.exe	109
PID 2372 set thread context of 1692	2372	winupdate.exe	112
PID 1516 set thread context of 1376	1516	winupdate.exe	115
PID 2880 set thread context of 2992	2880	winupdate.exe	118
PID 2928 set thread context of 2332	2928	winupdate.exe	121
PID 1944 set thread context of 2876	1944	winupdate.exe	124
PID 1756 set thread context of 2080	1756	winupdate.exe	127
PID 1752 set thread context of 1672	1752	winupdate.exe	130
PID 2812 set thread context of 496	2812	winupdate.exe	133
PID 324 set thread context of 1856	324	winupdate.exe	136
PID 2408 set thread context of 2712	2408	winupdate.exe	139
PID 2076 set thread context of 576	2076	winupdate.exe	142
PID 836 set thread context of 1060	836	winupdate.exe	145
PID 2392 set thread context of 2764	2392	winupdate.exe	148
PID 1944 set thread context of 2544	1944	winupdate.exe	151
PID 584 set thread context of 1776	584	winupdate.exe	154
PID 2508 set thread context of 620	2508	winupdate.exe	157
PID 760 set thread context of 2264	760	winupdate.exe	160
PID 2100 set thread context of 2180	2100	winupdate.exe	163
PID 1592 set thread context of 1564	1592	winupdate.exe	166
PID 1980 set thread context of 1616	1980	winupdate.exe	169
PID 2512 set thread context of 2368	2512	winupdate.exe	172
PID 1188 set thread context of 1792	1188	winupdate.exe	175
PID 600 set thread context of 2652	600	winupdate.exe	178
PID 2148 set thread context of 692	2148	winupdate.exe	181
PID 1692 set thread context of 1148	1692	winupdate.exe	184
PID 2268 set thread context of 2988	2268	winupdate.exe	187
PID 1596 set thread context of 2400	1596	winupdate.exe	190
PID 2440 set thread context of 988	2440	winupdate.exe	193
PID 1684 set thread context of 1376	1684	winupdate.exe	196
PID 620 set thread context of 484	620	winupdate.exe	199
PID 284 set thread context of 908	284	winupdate.exe	202
PID 2304 set thread context of 2968	2304	winupdate.exe	205
PID 780 set thread context of 1720	780	winupdate.exe	208
PID 1572 set thread context of 2364	1572	winupdate.exe	211
PID 2408 set thread context of 764	2408	winupdate.exe	214
PID 2224 set thread context of 1512	2224	winupdate.exe	217
PID 2184 set thread context of 2940	2184	winupdate.exe	220

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Program crash 64 IoCs

pid	pid_target	Process	procid_target
1668	2432	WerFault.exe	31
2512	1632	WerFault.exe	34
812	1500	WerFault.exe	37
952	752	WerFault.exe	40
2116	2688	WerFault.exe	43
1232	836	WerFault.exe	46
1768	2788	WerFault.exe	49
816	2348	WerFault.exe	52
2760	2420	WerFault.exe	55
1796	2536	WerFault.exe	58
580	1600	WerFault.exe	61
2856	2160	WerFault.exe	64
2388	1340	WerFault.exe	67
1932	2924	WerFault.exe	70
2928	2076	WerFault.exe	73
2996	2020	WerFault.exe	76
3068	2680	WerFault.exe	79
1772	2508	WerFault.exe	82
2392	1400	WerFault.exe	85
2124	2096	WerFault.exe	88
956	1732	WerFault.exe	91
1016	960	WerFault.exe	94
296	2668	WerFault.exe	97
2864	2592	WerFault.exe	100
1236	1736	WerFault.exe	103
892	1768	WerFault.exe	106
760	1160	WerFault.exe	109
1940	1692	WerFault.exe	112
2220	1376	WerFault.exe	115
1932	2992	WerFault.exe	118
1048	2332	WerFault.exe	121
1728	2876	WerFault.exe	124
2700	2080	WerFault.exe	127
2488	1672	WerFault.exe	130
2112	496	WerFault.exe	133
2052	1856	WerFault.exe	136
1876	2712	WerFault.exe	139
1720	576	WerFault.exe	142
2396	1060	WerFault.exe	145
1600	2764	WerFault.exe	148
2152	2544	WerFault.exe	151
1628	1776	WerFault.exe	154
1236	620	WerFault.exe	157
748	2264	WerFault.exe	160
2408	2180	WerFault.exe	163
644	1564	WerFault.exe	166
1068	1616	WerFault.exe	169
756	2368	WerFault.exe	172
1944	1792	WerFault.exe	175
2964	2652	WerFault.exe	178
1036	692	WerFault.exe	181
2928	1148	WerFault.exe	184
1516	2988	WerFault.exe	187
2536	2400	WerFault.exe	190
2328	988	WerFault.exe	193
2776	1376	WerFault.exe	196
2852	484	WerFault.exe	199
2248	908	WerFault.exe	202
1560	2968	WerFault.exe	205
1076	1720	WerFault.exe	208
2604	2364	WerFault.exe	211
3044	764	WerFault.exe	214
2080	1512	WerFault.exe	217
816	2940	WerFault.exe	220

System Location Discovery: System Language Discovery 1 TTPs 64 IoCs

Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

discovery

System Language Discovery

T1614.001

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	explorer.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	winupdate.exe

Checks processor information in registry 2 TTPs 64 IoCs

Processor information is often read in order to detect sandboxing environments.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	winupdate.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winupdate.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winupdate.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winupdate.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winupdate.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winupdate.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winupdate.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winupdate.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winupdate.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winupdate.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	winupdate.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winupdate.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winupdate.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winupdate.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winupdate.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	winupdate.exe

Enumerates system info in registry 2 TTPs 64 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	winupdate.exe

Suspicious use of AdjustPrivilegeToken 64 IoCs

description	pid	Process
Token: SeIncreaseQuotaPrivilege	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Token: SeSecurityPrivilege	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Token: SeTakeOwnershipPrivilege	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Token: SeLoadDriverPrivilege	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Token: SeSystemProfilePrivilege	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Token: SeSystemtimePrivilege	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Token: SeProfSingleProcessPrivilege	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Token: SeIncBasePriorityPrivilege	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Token: SeCreatePagefilePrivilege	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Token: SeBackupPrivilege	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Token: SeRestorePrivilege	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Token: SeShutdownPrivilege	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Token: SeDebugPrivilege	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Token: SeSystemEnvironmentPrivilege	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Token: SeChangeNotifyPrivilege	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Token: SeRemoteShutdownPrivilege	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Token: SeUndockPrivilege	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Token: SeManageVolumePrivilege	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Token: SeImpersonatePrivilege	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Token: SeCreateGlobalPrivilege	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Token: 33	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Token: 34	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Token: 35	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
Token: SeIncreaseQuotaPrivilege	2652	winupdate.exe
Token: SeSecurityPrivilege	2652	winupdate.exe
Token: SeTakeOwnershipPrivilege	2652	winupdate.exe
Token: SeLoadDriverPrivilege	2652	winupdate.exe
Token: SeSystemProfilePrivilege	2652	winupdate.exe
Token: SeSystemtimePrivilege	2652	winupdate.exe
Token: SeProfSingleProcessPrivilege	2652	winupdate.exe
Token: SeIncBasePriorityPrivilege	2652	winupdate.exe
Token: SeCreatePagefilePrivilege	2652	winupdate.exe
Token: SeBackupPrivilege	2652	winupdate.exe
Token: SeRestorePrivilege	2652	winupdate.exe
Token: SeShutdownPrivilege	2652	winupdate.exe
Token: SeDebugPrivilege	2652	winupdate.exe
Token: SeSystemEnvironmentPrivilege	2652	winupdate.exe
Token: SeChangeNotifyPrivilege	2652	winupdate.exe
Token: SeRemoteShutdownPrivilege	2652	winupdate.exe
Token: SeUndockPrivilege	2652	winupdate.exe
Token: SeManageVolumePrivilege	2652	winupdate.exe
Token: SeImpersonatePrivilege	2652	winupdate.exe
Token: SeCreateGlobalPrivilege	2652	winupdate.exe
Token: 33	2652	winupdate.exe
Token: 34	2652	winupdate.exe
Token: 35	2652	winupdate.exe
Token: SeRestorePrivilege	2652	winupdate.exe
Token: SeBackupPrivilege	2652	winupdate.exe
Token: SeIncreaseQuotaPrivilege	2576	winupdate.exe
Token: SeSecurityPrivilege	2576	winupdate.exe
Token: SeTakeOwnershipPrivilege	2576	winupdate.exe
Token: SeLoadDriverPrivilege	2576	winupdate.exe
Token: SeSystemProfilePrivilege	2576	winupdate.exe
Token: SeSystemtimePrivilege	2576	winupdate.exe
Token: SeProfSingleProcessPrivilege	2576	winupdate.exe
Token: SeIncBasePriorityPrivilege	2576	winupdate.exe
Token: SeCreatePagefilePrivilege	2576	winupdate.exe
Token: SeBackupPrivilege	2576	winupdate.exe
Token: SeRestorePrivilege	2576	winupdate.exe
Token: SeShutdownPrivilege	2576	winupdate.exe
Token: SeDebugPrivilege	2576	winupdate.exe
Token: SeSystemEnvironmentPrivilege	2576	winupdate.exe
Token: SeChangeNotifyPrivilege	2576	winupdate.exe
Token: SeRemoteShutdownPrivilege	2576	winupdate.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2592 wrote to memory of 2432	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe	31
PID 2592 wrote to memory of 2432	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe	31
PID 2592 wrote to memory of 2432	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe	31
PID 2592 wrote to memory of 2432	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe	31
PID 2592 wrote to memory of 2432	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe	31
PID 2592 wrote to memory of 2432	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe	31
PID 2432 wrote to memory of 1668	2432	explorer.exe	32
PID 2432 wrote to memory of 1668	2432	explorer.exe	32
PID 2432 wrote to memory of 1668	2432	explorer.exe	32
PID 2432 wrote to memory of 1668	2432	explorer.exe	32
PID 2592 wrote to memory of 2652	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe	33
PID 2592 wrote to memory of 2652	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe	33
PID 2592 wrote to memory of 2652	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe	33
PID 2592 wrote to memory of 2652	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe	33
PID 2592 wrote to memory of 2652	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe	33
PID 2592 wrote to memory of 2652	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe	33
PID 2592 wrote to memory of 2652	2592	JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe	33
PID 2652 wrote to memory of 1632	2652	winupdate.exe	34
PID 2652 wrote to memory of 1632	2652	winupdate.exe	34
PID 2652 wrote to memory of 1632	2652	winupdate.exe	34
PID 2652 wrote to memory of 1632	2652	winupdate.exe	34
PID 2652 wrote to memory of 1632	2652	winupdate.exe	34
PID 2652 wrote to memory of 1632	2652	winupdate.exe	34
PID 2652 wrote to memory of 1632	2652	winupdate.exe	34
PID 2652 wrote to memory of 1632	2652	winupdate.exe	34
PID 2652 wrote to memory of 1632	2652	winupdate.exe	34
PID 1632 wrote to memory of 2512	1632	explorer.exe	35
PID 1632 wrote to memory of 2512	1632	explorer.exe	35
PID 1632 wrote to memory of 2512	1632	explorer.exe	35
PID 1632 wrote to memory of 2512	1632	explorer.exe	35
PID 1632 wrote to memory of 2512	1632	explorer.exe	35
PID 1632 wrote to memory of 2512	1632	explorer.exe	35
PID 1632 wrote to memory of 2512	1632	explorer.exe	35
PID 2652 wrote to memory of 2576	2652	winupdate.exe	36
PID 2652 wrote to memory of 2576	2652	winupdate.exe	36
PID 2652 wrote to memory of 2576	2652	winupdate.exe	36
PID 2652 wrote to memory of 2576	2652	winupdate.exe	36
PID 2652 wrote to memory of 2576	2652	winupdate.exe	36
PID 2652 wrote to memory of 2576	2652	winupdate.exe	36
PID 2652 wrote to memory of 2576	2652	winupdate.exe	36
PID 2576 wrote to memory of 1500	2576	winupdate.exe	37
PID 2576 wrote to memory of 1500	2576	winupdate.exe	37
PID 2576 wrote to memory of 1500	2576	winupdate.exe	37
PID 2576 wrote to memory of 1500	2576	winupdate.exe	37
PID 2576 wrote to memory of 1500	2576	winupdate.exe	37
PID 2576 wrote to memory of 1500	2576	winupdate.exe	37
PID 2576 wrote to memory of 1500	2576	winupdate.exe	37
PID 2576 wrote to memory of 1500	2576	winupdate.exe	37
PID 2576 wrote to memory of 1500	2576	winupdate.exe	37
PID 1500 wrote to memory of 812	1500	explorer.exe	38
PID 1500 wrote to memory of 812	1500	explorer.exe	38
PID 1500 wrote to memory of 812	1500	explorer.exe	38
PID 1500 wrote to memory of 812	1500	explorer.exe	38
PID 1500 wrote to memory of 812	1500	explorer.exe	38
PID 1500 wrote to memory of 812	1500	explorer.exe	38
PID 1500 wrote to memory of 812	1500	explorer.exe	38
PID 2576 wrote to memory of 2028	2576	winupdate.exe	39
PID 2576 wrote to memory of 2028	2576	winupdate.exe	39
PID 2576 wrote to memory of 2028	2576	winupdate.exe	39
PID 2576 wrote to memory of 2028	2576	winupdate.exe	39
PID 2576 wrote to memory of 2028	2576	winupdate.exe	39
PID 2576 wrote to memory of 2028	2576	winupdate.exe	39
PID 2576 wrote to memory of 2028	2576	winupdate.exe	39
PID 2028 wrote to memory of 752	2028	winupdate.exe	40

C:\Users\Admin\AppData\Local\Temp\JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe
"C:\Users\Admin\AppData\Local\Temp\JaffaCakes118_296038823b99f5ab9a767bfe6d4d6b31.exe"
1⤵
- Modifies WinLogon for persistence
- Checks BIOS information in registry
- Loads dropped DLL
- Drops file in System32 directory
- Suspicious use of SetThreadContext
- Checks processor information in registry
- Enumerates system info in registry
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:2592
- C:\Windows\SysWOW64\explorer.exe
  "C:\Windows\SysWOW64\explorer.exe"
  2⤵
  - System Location Discovery: System Language Discovery
  - Suspicious use of WriteProcessMemory
  PID:2432
- - C:\Windows\SysWOW64\WerFault.exe
    C:\Windows\SysWOW64\WerFault.exe -u -p 2432 -s 232
    3⤵
    - Program crash
    PID:1668
- C:\Windows\SysWOW64\winupdate.exe
  "C:\Windows\system32\winupdate.exe"
  2⤵
  - Modifies WinLogon for persistence
  - Executes dropped EXE
  - Loads dropped DLL
  - Drops file in System32 directory
  - Suspicious use of SetThreadContext
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:2652
- - C:\Windows\SysWOW64\explorer.exe
    "C:\Windows\SysWOW64\explorer.exe"
    3⤵
    - System Location Discovery: System Language Discovery
    - Suspicious use of WriteProcessMemory
    PID:1632
  - - C:\Windows\SysWOW64\WerFault.exe
      C:\Windows\SysWOW64\WerFault.exe -u -p 1632 -s 296
      4⤵
      Program crash
      PID:2512
- - C:\Windows\SysWOW64\winupdate.exe
    "C:\Windows\system32\winupdate.exe"
    3⤵
    - Checks BIOS information in registry
    - Executes dropped EXE
    - Loads dropped DLL
    - Adds Run key to start application
    - Drops file in System32 directory
    - Suspicious use of SetThreadContext
    - Checks processor information in registry
    - Enumerates system info in registry
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of WriteProcessMemory
    PID:2576
  - - C:\Windows\SysWOW64\explorer.exe
      "C:\Windows\SysWOW64\explorer.exe"
      4⤵
      Suspicious use of WriteProcessMemory
      PID:1500
    - - C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1500 -s 296
        5⤵
        Program crash
        
        PID:812
  - - C:\Windows\SysWOW64\winupdate.exe
      "C:\Windows\system32\winupdate.exe"
      4⤵
      Modifies WinLogon for persistence
      Executes dropped EXE
      Loads dropped DLL
      Drops file in System32 directory
      Suspicious use of SetThreadContext
      Checks processor information in registry
      Enumerates system info in registry
      Suspicious use of WriteProcessMemory
      PID:2028
    - - C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        5⤵
        
        PID:752
      - C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 752 -s 296
        6⤵
        Program crash
        
        PID:952
    - - C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        5⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        
        PID:1972
      - C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        6⤵
        
        PID:2688
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2688 -s 296
        7⤵
        Program crash
        
        PID:2116
      - C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        6⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        
        PID:1940
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        7⤵
        System Location Discovery: System Language Discovery
        
        PID:836
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 836 -s 296
        8⤵
        Program crash
        
        PID:1232
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        7⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        
        PID:576
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        8⤵
        
        PID:2788
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2788 -s 296
        9⤵
        Program crash
        
        PID:1768
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        8⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        Checks processor information in registry
        
        PID:2912
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        9⤵
        
        PID:2348
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2348 -s 296
        10⤵
        Program crash
        
        PID:816
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        9⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        Enumerates system info in registry
        
        PID:1172
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        10⤵
        System Location Discovery: System Language Discovery
        
        PID:2420
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2420 -s 296
        11⤵
        Program crash
        
        PID:2760
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        10⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        Enumerates system info in registry
        
        PID:2328
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        11⤵
        System Location Discovery: System Language Discovery
        
        PID:2536
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2536 -s 296
        12⤵
        Program crash
        
        PID:1796
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        11⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Suspicious use of SetThreadContext
        Enumerates system info in registry
        
        PID:284
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        12⤵
        
        PID:1600
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1600 -s 296
        13⤵
        Program crash
        
        PID:580
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        12⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        
        PID:1976
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        13⤵
        
        PID:2160
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2160 -s 296
        14⤵
        Program crash
        
        PID:2856
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        13⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        Enumerates system info in registry
        
        PID:900
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        14⤵
        
        PID:1340
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1340 -s 296
        15⤵
        Program crash
        
        PID:2388
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        14⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1876
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        15⤵
        
        PID:2924
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2924 -s 296
        16⤵
        Program crash
        
        PID:1932
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        15⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Suspicious use of SetThreadContext
        Checks processor information in registry
        
        PID:2396
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        16⤵
        
        PID:2076
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2076 -s 296
        17⤵
        Program crash
        
        PID:2928
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        16⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        
        PID:1944
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        17⤵
        System Location Discovery: System Language Discovery
        
        PID:2020
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2020 -s 296
        18⤵
        Program crash
        
        PID:2996
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        17⤵
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:816
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        18⤵
        System Location Discovery: System Language Discovery
        
        PID:2680
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2680 -s 296
        19⤵
        Program crash
        
        PID:3068
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        18⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:952
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        19⤵
        System Location Discovery: System Language Discovery
        
        PID:2508
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2508 -s 296
        20⤵
        Program crash
        
        PID:1772
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        19⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Checks processor information in registry
        
        PID:2576
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        20⤵
        
        PID:1400
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1400 -s 296
        21⤵
        Program crash
        
        PID:2392
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        20⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        Checks processor information in registry
        
        PID:2852
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        21⤵
        
        PID:2096
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2096 -s 296
        22⤵
        Program crash
        
        PID:2124
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        21⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        Checks processor information in registry
        
        PID:2140
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        22⤵
        System Location Discovery: System Language Discovery
        
        PID:1732
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1732 -s 296
        23⤵
        Program crash
        
        PID:956
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        22⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        
        PID:2500
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        23⤵
        
        PID:960
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 960 -s 296
        24⤵
        Program crash
        
        PID:1016
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        23⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:2344
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        24⤵
        
        PID:2668
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2668 -s 296
        25⤵
        Program crash
        
        PID:296
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        24⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        
        PID:2876
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        25⤵
        System Location Discovery: System Language Discovery
        
        PID:2592
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2592 -s 296
        26⤵
        Program crash
        
        PID:2864
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        25⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2432
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        26⤵
        
        PID:1736
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1736 -s 296
        27⤵
        Program crash
        
        PID:1236
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        26⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Checks processor information in registry
        
        PID:2716
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        27⤵
        
        PID:1768
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1768 -s 296
        28⤵
        Program crash
        
        PID:892
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        27⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        
        PID:2968
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        28⤵
        
        PID:1160
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1160 -s 296
        29⤵
        Program crash
        
        PID:760
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        28⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of SetThreadContext
        
        PID:2372
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        29⤵
        
        PID:1692
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1692 -s 296
        30⤵
        Program crash
        
        PID:1940
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        29⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Checks processor information in registry
        
        PID:1516
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        30⤵
        
        PID:1376
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1376 -s 296
        31⤵
        Program crash
        
        PID:2220
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        30⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        
        PID:2880
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        31⤵
        
        PID:2992
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2992 -s 296
        32⤵
        Program crash
        
        PID:1932
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        31⤵
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        Checks processor information in registry
        
        PID:2928
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        32⤵
        
        PID:2332
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2332 -s 296
        33⤵
        Program crash
        
        PID:1048
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        32⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        
        PID:1944
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        33⤵
        
        PID:2876
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2876 -s 296
        34⤵
        Program crash
        
        PID:1728
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        33⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        
        PID:1756
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        34⤵
        
        PID:2080
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2080 -s 296
        35⤵
        Program crash
        
        PID:2700
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        34⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        
        PID:1752
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        35⤵
        
        PID:1672
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1672 -s 296
        36⤵
        Program crash
        
        PID:2488
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        35⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        
        PID:2812
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        36⤵
        
        PID:496
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 496 -s 296
        37⤵
        Program crash
        
        PID:2112
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        36⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        
        PID:324
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        37⤵
        
        PID:1856
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1856 -s 296
        38⤵
        Program crash
        
        PID:2052
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        37⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of SetThreadContext
        
        PID:2408
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        38⤵
        
        PID:2712
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2712 -s 296
        39⤵
        Program crash
        
        PID:1876
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        38⤵
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of SetThreadContext
        Enumerates system info in registry
        
        PID:2076
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        39⤵
        
        PID:576
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 576 -s 296
        40⤵
        Program crash
        
        PID:1720
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        39⤵
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of SetThreadContext
        Enumerates system info in registry
        
        PID:836
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        40⤵
        System Location Discovery: System Language Discovery
        
        PID:1060
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1060 -s 296
        41⤵
        Program crash
        
        PID:2396
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        40⤵
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of SetThreadContext
        Checks processor information in registry
        
        PID:2392
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        41⤵
        
        PID:2764
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2764 -s 296
        42⤵
        Program crash
        
        PID:1600
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        41⤵
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        
        PID:1944
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        42⤵
        
        PID:2544
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2544 -s 296
        43⤵
        Program crash
        
        PID:2152
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        42⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:584
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        43⤵
        
        PID:1776
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1776 -s 296
        44⤵
        Program crash
        
        PID:1628
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        43⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of SetThreadContext
        
        PID:2508
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        44⤵
        System Location Discovery: System Language Discovery
        
        PID:620
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 620 -s 296
        45⤵
        Program crash
        
        PID:1236
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        44⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:760
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        45⤵
        
        PID:2264
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2264 -s 296
        46⤵
        Program crash
        
        PID:748
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        45⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        Enumerates system info in registry
        
        PID:2100
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        46⤵
        System Location Discovery: System Language Discovery
        
        PID:2180
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2180 -s 296
        47⤵
        Program crash
        
        PID:2408
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        46⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Enumerates system info in registry
        
        PID:1592
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        47⤵
        
        PID:1564
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1564 -s 296
        48⤵
        Program crash
        
        PID:644
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        47⤵
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of SetThreadContext
        Enumerates system info in registry
        
        PID:1980
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        48⤵
        
        PID:1616
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1616 -s 296
        49⤵
        Program crash
        
        PID:1068
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        48⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        Enumerates system info in registry
        
        PID:2512
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        49⤵
        
        PID:2368
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2368 -s 296
        50⤵
        Program crash
        
        PID:756
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        49⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        
        PID:1188
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        50⤵
        
        PID:1792
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1792 -s 296
        51⤵
        Program crash
        
        PID:1944
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        50⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:600
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        51⤵
        System Location Discovery: System Language Discovery
        
        PID:2652
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2652 -s 296
        52⤵
        Program crash
        
        PID:2964
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        51⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        
        PID:2148
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        52⤵
        
        PID:692
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 692 -s 296
        53⤵
        Program crash
        
        PID:1036
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        52⤵
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:1692
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        53⤵
        
        PID:1148
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1148 -s 296
        54⤵
        Program crash
        
        PID:2928
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        53⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Suspicious use of SetThreadContext
        
        PID:2268
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        54⤵
        
        PID:2988
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2988 -s 296
        55⤵
        Program crash
        
        PID:1516
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        54⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Checks processor information in registry
        
        PID:1596
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        55⤵
        
        PID:2400
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2400 -s 296
        56⤵
        Program crash
        
        PID:2536
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        55⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2440
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        56⤵
        
        PID:988
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 988 -s 296
        57⤵
        Program crash
        
        PID:2328
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        56⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of SetThreadContext
        
        PID:1684
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        57⤵
        
        PID:1376
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1376 -s 296
        58⤵
        Program crash
        
        PID:2776
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        57⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        Checks processor information in registry
        
        PID:620
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        58⤵
        
        PID:484
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 484 -s 296
        59⤵
        Program crash
        
        PID:2852
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        58⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of SetThreadContext
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:284
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        59⤵
        
        PID:908
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 908 -s 296
        60⤵
        Program crash
        
        PID:2248
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        59⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        Checks processor information in registry
        
        PID:2304
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        60⤵
        System Location Discovery: System Language Discovery
        
        PID:2968
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2968 -s 296
        61⤵
        Program crash
        
        PID:1560
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        60⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:780
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        61⤵
        
        PID:1720
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1720 -s 296
        62⤵
        Program crash
        
        PID:1076
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        61⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1572
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        62⤵
        
        PID:2364
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2364 -s 296
        63⤵
        Program crash
        
        PID:2604
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        62⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Suspicious use of SetThreadContext
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2408
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        63⤵
        
        PID:764
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 764 -s 296
        64⤵
        Program crash
        
        PID:3044
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        63⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Enumerates system info in registry
        
        PID:2224
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        64⤵
        
        PID:1512
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1512 -s 296
        65⤵
        Program crash
        
        PID:2080
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        64⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of SetThreadContext
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2184
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        65⤵
        
        PID:2940
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2940 -s 296
        66⤵
        Program crash
        
        PID:816
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        65⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Checks processor information in registry
        
        PID:2868
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        66⤵
        System Location Discovery: System Language Discovery
        
        PID:2960
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2960 -s 296
        67⤵
        
        PID:2020
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        66⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:308
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        67⤵
        
        PID:1856
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1856 -s 296
        68⤵
        
        PID:2388
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        67⤵
        Checks BIOS information in registry
        Drops file in System32 directory
        
        PID:2652
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        68⤵
        System Location Discovery: System Language Discovery
        
        PID:1772
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1772 -s 296
        69⤵
        
        PID:992
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        68⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1956
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        69⤵
        
        PID:2784
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2784 -s 296
        70⤵
        
        PID:1460
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        69⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        
        PID:1972
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        70⤵
        
        PID:2484
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2484 -s 296
        71⤵
        
        PID:1692
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        70⤵
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:1744
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        71⤵
        System Location Discovery: System Language Discovery
        
        PID:3028
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3028 -s 296
        72⤵
        
        PID:692
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        71⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:2076
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        72⤵
        
        PID:580
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 580 -s 296
        73⤵
        
        PID:2332
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        72⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:2660
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        73⤵
        
        PID:2440
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2440 -s 296
        74⤵
        
        PID:1336
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        73⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2432
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        74⤵
        
        PID:2528
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2528 -s 296
        75⤵
        
        PID:2908
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        74⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1032
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        75⤵
        
        PID:1376
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1376 -s 296
        76⤵
        
        PID:1068
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        75⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:2960
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        76⤵
        
        PID:876
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 876 -s 296
        77⤵
        
        PID:2488
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        76⤵
        Checks BIOS information in registry
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2244
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        77⤵
        System Location Discovery: System Language Discovery
        
        PID:3020
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3020 -s 296
        78⤵
        
        PID:748
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        77⤵
        Checks BIOS information in registry
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:2520
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        78⤵
        System Location Discovery: System Language Discovery
        
        PID:932
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 932 -s 296
        79⤵
        
        PID:1048
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        78⤵
        Checks BIOS information in registry
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:2044
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        79⤵
        
        PID:2364
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2364 -s 296
        80⤵
        
        PID:1744
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        79⤵
        Modifies WinLogon for persistence
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:1236
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        80⤵
        
        PID:692
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 692 -s 296
        81⤵
        
        PID:2768
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        80⤵
        Checks BIOS information in registry
        Drops file in System32 directory
        
        PID:2408
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        81⤵
        System Location Discovery: System Language Discovery
        
        PID:2624
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2624 -s 296
        82⤵
        
        PID:2716
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        81⤵
        Checks BIOS information in registry
        Drops file in System32 directory
        
        PID:3056
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        82⤵
        
        PID:2832
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2832 -s 296
        83⤵
        
        PID:2052
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        82⤵
        Checks processor information in registry
        
        PID:1324
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        83⤵
        
        PID:2144
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2144 -s 296
        84⤵
        
        PID:2928
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        83⤵
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        
        PID:2148
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        84⤵
        
        PID:1688
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1688 -s 296
        85⤵
        
        PID:1852
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        84⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:448
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        85⤵
        
        PID:876
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 876 -s 296
        86⤵
        
        PID:1716
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        85⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks processor information in registry
        
        PID:2196
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        86⤵
        System Location Discovery: System Language Discovery
        
        PID:2412
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2412 -s 296
        87⤵
        
        PID:1956
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        86⤵
        Modifies WinLogon for persistence
        System Location Discovery: System Language Discovery
        
        PID:3048
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        87⤵
        System Location Discovery: System Language Discovery
        
        PID:1936
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1936 -s 296
        88⤵
        
        PID:816
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        87⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1860
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        88⤵
        System Location Discovery: System Language Discovery
        
        PID:1172
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1172 -s 296
        89⤵
        
        PID:2320
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        88⤵
        Checks BIOS information in registry
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:692
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        89⤵
        
        PID:2348
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2348 -s 296
        90⤵
        
        PID:2556
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        89⤵
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:2884
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        90⤵
        
        PID:752
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 752 -s 296
        91⤵
        
        PID:2700
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        90⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:2180
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        91⤵
        
        PID:2580
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2580 -s 296
        92⤵
        
        PID:1768
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        91⤵
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:1244
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        92⤵
        
        PID:2984
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2984 -s 296
        93⤵
        
        PID:1060
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        92⤵
        Checks BIOS information in registry
        
        PID:1512
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        93⤵
        
        PID:2844
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2844 -s 296
        94⤵
        
        PID:2728
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        93⤵
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:1488
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        94⤵
        
        PID:2704
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2704 -s 296
        95⤵
        
        PID:1604
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        94⤵
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        
        PID:2740
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        95⤵
        
        PID:1404
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1404 -s 296
        96⤵
        
        PID:2760
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        95⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:2236
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        96⤵
        System Location Discovery: System Language Discovery
        
        PID:1820
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1820 -s 296
        97⤵
        
        PID:2128
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        96⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        
        PID:2108
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        97⤵
        
        PID:1236
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1236 -s 296
        98⤵
        
        PID:2596
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        97⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Drops file in System32 directory
        
        PID:1856
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        98⤵
        
        PID:2308
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2308 -s 296
        99⤵
        
        PID:2908
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        98⤵
        Enumerates system info in registry
        
        PID:2756
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        99⤵
        System Location Discovery: System Language Discovery
        
        PID:2604
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2604 -s 296
        100⤵
        
        PID:2008
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        99⤵
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:1664
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        100⤵
        System Location Discovery: System Language Discovery
        
        PID:1324
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1324 -s 296
        101⤵
        
        PID:2960
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        100⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:1292
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        101⤵
        
        PID:1672
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1672 -s 296
        102⤵
        
        PID:2924
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        101⤵
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1800
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        102⤵
        
        PID:2708
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2708 -s 296
        103⤵
        
        PID:2420
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        102⤵
        Checks BIOS information in registry
        Drops file in System32 directory
        Checks processor information in registry
        
        PID:2176
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        103⤵
        
        PID:1160
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1160 -s 296
        104⤵
        
        PID:2876
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        103⤵
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:1536
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        104⤵
        
        PID:556
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 556 -s 296
        105⤵
        
        PID:1620
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        104⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:2196
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        105⤵
        
        PID:2292
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2292 -s 296
        106⤵
        
        PID:1412
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        105⤵
        Modifies WinLogon for persistence
        
        PID:296
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        106⤵
        
        PID:2280
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2280 -s 296
        107⤵
        
        PID:1856
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        106⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2584
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        107⤵
        
        PID:2516
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2516 -s 296
        108⤵
        
        PID:1232
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        107⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        
        PID:484
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        108⤵
        
        PID:2320
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2320 -s 296
        109⤵
        
        PID:2380
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        108⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        
        PID:2756
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        109⤵
        
        PID:2508
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2508 -s 296
        110⤵
        
        PID:1100
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        109⤵
        Checks BIOS information in registry
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:2696
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        110⤵
        
        PID:1664
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1664 -s 296
        111⤵
        
        PID:1512
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        110⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1576
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        111⤵
        System Location Discovery: System Language Discovery
        
        PID:2372
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2372 -s 296
        112⤵
        
        PID:1588
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        111⤵
        Modifies WinLogon for persistence
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:2044
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        112⤵
        System Location Discovery: System Language Discovery
        
        PID:2056
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2056 -s 296
        113⤵
        
        PID:2416
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        112⤵
        Checks BIOS information in registry
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2828
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        113⤵
        
        PID:2820
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2820 -s 296
        114⤵
        
        PID:2108
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        113⤵
        Checks processor information in registry
        
        PID:2736
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        114⤵
        System Location Discovery: System Language Discovery
        
        PID:2528
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2528 -s 296
        115⤵
        
        PID:2576
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        114⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2092
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        115⤵
        
        PID:1524
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1524 -s 296
        116⤵
        
        PID:2908
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        115⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:2516
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        116⤵
        
        PID:932
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 932 -s 296
        117⤵
        
        PID:2772
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        116⤵
        Checks BIOS information in registry
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2240
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        117⤵
        
        PID:2364
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2364 -s 296
        118⤵
        
        PID:2552
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        117⤵
        Checks BIOS information in registry
        Adds Run key to start application
        
        PID:2432
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        118⤵
        
        PID:2568
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2568 -s 296
        119⤵
        
        PID:2072
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        118⤵
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        
        PID:1692
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        119⤵
        
        PID:2032
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2032 -s 296
        120⤵
        
        PID:2024
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        119⤵
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:3004
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        120⤵
        
        PID:2176
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2176 -s 296
        121⤵
        
        PID:2876
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        120⤵
        Adds Run key to start application
        Checks processor information in registry
        
        PID:3032
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        121⤵
        
        PID:580
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 580 -s 296
        122⤵
        
        PID:2992
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        121⤵
        Enumerates system info in registry
        
        PID:1544
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        122⤵
        
        PID:1040
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1040 -s 296
        123⤵
        
        PID:3052
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        122⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Drops file in System32 directory
        Checks processor information in registry
        
        PID:2828
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        123⤵
        
        PID:1376
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1376 -s 296
        124⤵
        
        PID:2308
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        123⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:2004
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        124⤵
        System Location Discovery: System Language Discovery
        
        PID:2608
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2608 -s 296
        125⤵
        
        PID:1252
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        124⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:2704
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        125⤵
        
        PID:2516
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2516 -s 296
        126⤵
        
        PID:2668
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        125⤵
        Checks BIOS information in registry
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2404
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        126⤵
        
        PID:3056
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3056 -s 296
        127⤵
        
        PID:3008
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        126⤵
        
        PID:1656
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        127⤵
        
        PID:2612
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2612 -s 296
        128⤵
        
        PID:1876
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        127⤵
        Enumerates system info in registry
        
        PID:928
        
        C:\Windows\SysWOW64\explorer.exe
        
        "C:\Windows\SysWOW64\explorer.exe"
        128⤵
        System Location Discovery: System Language Discovery
        
        PID:1160
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1160 -s 296
        129⤵
        
        PID:576
        
        C:\Windows\SysWOW64\winupdate.exe
        
        "C:\Windows\system32\winupdate.exe"
        128⤵
        System Location Discovery: System Language Discovery
        
        PID:2416

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Defense Evasion

Modify Registry

T1112

Credential Access

Discovery

Query Registry

T1012

System Information Discovery

T1082

System Location Discovery

T1614

System Language Discovery

T1614.001

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

\Windows\SysWOW64\winupdate.exe

Filesize
844KB

MD5
296038823b99f5ab9a767bfe6d4d6b31

SHA1
e1fb5df79b3bc12dda55f84bf913a286276366ab

SHA256
b053a971958fe74b167b3016c5401bd748a618298e7056cc262d1614503c2d97

SHA512
bc1e7aa6b82c1dfa31775e75d7c03e94df79a34030b0d9c544c4c9a5d6feee91faf14f5bbfff795769cb588118dc142d7c8a8b3be82018b7d5e5d799816ade86

Download Submit
memory/1632-37-0x0000000002BA0000-0x0000000002E21000-memory.dmp

Filesize
2.5MB

Download
memory/1632-31-0x000000007EFDE000-0x000000007EFDF000-memory.dmp

Filesize
4KB

Download
memory/1632-36-0x0000000000400000-0x00000000005AC000-memory.dmp

Filesize
1.7MB

Download
memory/1972-94-0x0000000000400000-0x00000000005AC000-memory.dmp

Filesize
1.7MB

Download
memory/2028-76-0x0000000000400000-0x00000000005AC000-memory.dmp

Filesize
1.7MB

Download
memory/2432-8-0x000000007EFDE000-0x000000007EFDF000-memory.dmp

Filesize
4KB

Download
memory/2432-14-0x0000000000A00000-0x0000000000C81000-memory.dmp

Filesize
2.5MB

Download
memory/2432-6-0x0000000000400000-0x00000000005AC000-memory.dmp

Filesize
1.7MB

Download
memory/2432-13-0x0000000000400000-0x00000000005AC000-memory.dmp

Filesize
1.7MB

Download
memory/2432-10-0x0000000000400000-0x00000000005AC000-memory.dmp

Filesize
1.7MB

Download
memory/2576-59-0x0000000000400000-0x00000000005AC000-memory.dmp

Filesize
1.7MB

Download
memory/2592-2-0x0000000000400000-0x00000000005AC000-memory.dmp

Filesize
1.7MB

Download
memory/2592-26-0x0000000000400000-0x00000000005AC000-memory.dmp

Filesize
1.7MB

Download
memory/2592-0-0x0000000000800000-0x00000000009AC000-memory.dmp

Filesize
1.7MB

Download
memory/2592-28-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/2592-1-0x0000000000400000-0x00000000004C8000-memory.dmp

Filesize
800KB

Download
memory/2652-27-0x00000000025F0000-0x000000000279C000-memory.dmp

Filesize
1.7MB

Download
memory/2652-41-0x0000000000400000-0x00000000005AC000-memory.dmp

Filesize
1.7MB

Download

Analysis

Sharing

General

Malware Config

Extracted

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads