darkcomet | 5a6d29d55afa18fc6ff4818877f74ab7d5182887a51c6e23b755c552a8d3440d

Analysis

max time kernel
149s
max time network
119s
platform
windows7_x64
resource
win7-20240729-en
resource tags

arch:x64arch:x86image:win7-20240729-enlocale:en-usos:windows7-x64system
submitted
20/03/2025, 12:22

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Size

916KB
MD5

82d21484a9b96ff02e47ad1dfbe8a8bd
SHA1

7dd052f064c3ee8c6e74f4ac2e3469a41bc927a3
SHA256

5a6d29d55afa18fc6ff4818877f74ab7d5182887a51c6e23b755c552a8d3440d
SHA512

7bb1bdc4780b947612963060c2895c3f7d43ed9e1d37fb47fcc46d625c0ff53c2b7b0c9918b1b0410185575347749059a0031248b3fb85d8a6ec7ceb70908b1d
SSDEEP

24576:9dFJ/ObGa/I0RwV94fCK/cRgOnmq9g6J5/Nd:Xf/i/I0CX4pcOU7m6Jvd

Score

10^/10

darkcomet guest16 discovery persistence rat trojan

Malware Config

Extracted

Family

darkcomet

Botnet

Guest16

os-update.serveftp.com:37751

Mutex

DC_MUTEX-EVGT2S6

Attributes

InstallPath
config\restore\svchost.exe
gencode
F��/Gg#dltm4
install
true
offline_keylogger
true
password
2010R4t1337iHaVeFuN
persistence
true
reg_key
USB Mass-Storage Managment

rc4.plain

Extracted

Family

darkcomet

Attributes

gencode
install
false
offline_keylogger
false
persistence
false

rc4.plain

Signatures

Darkcomet
DarkComet is a remote access trojan (RAT) developed by Jean-Pierre Lesueur.
trojan rat darkcomet
Darkcomet family
darkcomet

Modifies WinLogon for persistence 2 TTPs 64 IoCs

persistence

Winlogon Helper DLL

T1547.004

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe

Drops file in Drivers directory 47 IoCs

description	ioc	Process
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File created	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File created	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe

Checks BIOS information in registry 2 TTPs 64 IoCs

BIOS information is often read in order to detect sandboxing environments.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe

Deletes itself 1 IoCs

pid	Process
2364	cmd.exe

Executes dropped EXE 64 IoCs

pid	Process
580	WMPLAYER.EXE
1904	svchost.exe
2112	WMPLAYER.EXE
2064	svchost.exe
2268	WMPLAYER.EXE
2236	svchost.exe
852	WMPLAYER.EXE
2472	svchost.exe
1964	svchost.exe
2312	svchost.exe
2708	WMPLAYER.EXE
2912	WMPLAYER.EXE
2360	WMPLAYER.EXE
2884	svchost.exe
2652	svchost.exe
2216	svchost.exe
1688	WMPLAYER.EXE
2380	WMPLAYER.EXE
1884	WMPLAYER.EXE
536	svchost.exe
2532	svchost.exe
1704	svchost.exe
2544	svchost.exe
1852	svchost.exe
2412	WMPLAYER.EXE
2824	WMPLAYER.EXE
2784	WMPLAYER.EXE
2692	WMPLAYER.EXE
1672	svchost.exe
1464	svchost.exe
2940	svchost.exe
3024	svchost.exe
2560	svchost.exe
1172	svchost.exe
2228	WMPLAYER.EXE
1948	WMPLAYER.EXE
1880	WMPLAYER.EXE
2088	WMPLAYER.EXE
1492	WMPLAYER.EXE
1584	svchost.exe
1436	svchost.exe
1444	svchost.exe
2084	svchost.exe
1756	svchost.exe
1340	svchost.exe
808	svchost.exe
2472	svchost.exe
1976	svchost.exe
2664	WMPLAYER.EXE
288	WMPLAYER.EXE
352	svchost.exe
2320	svchost.exe
1760	svchost.exe
2296	svchost.exe
1432	svchost.exe
1084	svchost.exe
1304	WMPLAYER.EXE
2840	WMPLAYER.EXE
1056	WMPLAYER.EXE
2788	WMPLAYER.EXE
1864	WMPLAYER.EXE
1668	WMPLAYER.EXE
108	WMPLAYER.EXE
1868	WMPLAYER.EXE

Loads dropped DLL 64 IoCs

pid	Process
2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
1904	svchost.exe
1904	svchost.exe
1904	svchost.exe
1904	svchost.exe
2064	svchost.exe
2064	svchost.exe
2064	svchost.exe
2064	svchost.exe
2236	svchost.exe
2236	svchost.exe
2268	WMPLAYER.EXE
2268	WMPLAYER.EXE
580	WMPLAYER.EXE
580	WMPLAYER.EXE
2236	svchost.exe
2236	svchost.exe
1964	svchost.exe
1964	svchost.exe
2472	svchost.exe
2472	svchost.exe
2312	svchost.exe
2312	svchost.exe
2472	svchost.exe
1964	svchost.exe
2472	svchost.exe
1964	svchost.exe
2312	svchost.exe
2312	svchost.exe
2884	svchost.exe
2884	svchost.exe
2652	svchost.exe
2652	svchost.exe
2216	svchost.exe
2216	svchost.exe
2652	svchost.exe
2652	svchost.exe
2912	WMPLAYER.EXE
2912	WMPLAYER.EXE
2884	svchost.exe
2884	svchost.exe
2112	WMPLAYER.EXE
2112	WMPLAYER.EXE
2216	svchost.exe
2216	svchost.exe
1852	svchost.exe
1704	svchost.exe
1852	svchost.exe
1704	svchost.exe
536	svchost.exe
536	svchost.exe
2544	svchost.exe
2544	svchost.exe
536	svchost.exe
536	svchost.exe
1704	svchost.exe
1704	svchost.exe
2544	svchost.exe
2544	svchost.exe
852	WMPLAYER.EXE
852	WMPLAYER.EXE

Adds Run key to start application 2 TTPs 64 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-2703099537-420551529-3771253338-1000\Software\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File opened for modification	C:\Windows\SysWOW64\config\restore\	WMPLAYER.EXE
File opened for modification	C:\Windows\SysWOW64\config\restore\	svchost.exe
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File opened for modification	C:\Windows\SysWOW64\config\restore\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File opened for modification	C:\Windows\SysWOW64\config\restore\	WMPLAYER.EXE
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\	svchost.exe
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\	WMPLAYER.EXE
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File opened for modification	C:\Windows\SysWOW64\config\restore\	WMPLAYER.EXE
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\	svchost.exe
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File opened for modification	C:\Windows\SysWOW64\config\restore\	svchost.exe
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Program crash 2 IoCs

pid	pid_target	Process	procid_target
2576	2560	WerFault.exe	110
2452	1756	WerFault.exe	140

System Location Discovery: System Language Discovery 1 TTPs 64 IoCs

Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

discovery

System Language Discovery

T1614.001

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe

System Network Configuration Discovery: Internet Connection Discovery 1 TTPs 43 IoCs

Adversaries may check for Internet connectivity on compromised systems.

discovery

Internet Connection Discovery

T1016.001

pid	Process
1956	PING.EXE
484	PING.EXE
2336	PING.EXE
2268	PING.EXE
2872	PING.EXE
2336	PING.EXE
1996	PING.EXE
2112	PING.EXE
2652	PING.EXE
2316	PING.EXE
448	PING.EXE
2376	PING.EXE
1940	PING.EXE
2996	PING.EXE
2316	PING.EXE
1288	PING.EXE
2448	PING.EXE
1380	PING.EXE
2784	PING.EXE
1456	PING.EXE
2208	PING.EXE
2616	PING.EXE
2336	PING.EXE
2052	PING.EXE
3012	PING.EXE
1708	PING.EXE
1592	PING.EXE
2392	PING.EXE
860	PING.EXE
2104	PING.EXE
2052	PING.EXE
2996	PING.EXE
448	PING.EXE
1124	PING.EXE
588	PING.EXE
1144	PING.EXE
1176	PING.EXE
2616	PING.EXE
1996	PING.EXE
2068	PING.EXE
1288	PING.EXE
2204	PING.EXE
284	PING.EXE

Checks processor information in registry 2 TTPs 64 IoCs

Processor information is often read in order to detect sandboxing environments.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	svchost.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	svchost.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	svchost.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	svchost.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	svchost.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	svchost.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	svchost.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	svchost.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	svchost.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	WMPLAYER.EXE

Enumerates system info in registry 2 TTPs 64 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe

Runs ping.exe 1 TTPs 43 IoCs

Remote System Discovery

T1018

pid	Process
1708	PING.EXE
284	PING.EXE
1144	PING.EXE
1288	PING.EXE
2392	PING.EXE
2448	PING.EXE
2616	PING.EXE
2204	PING.EXE
1124	PING.EXE
1996	PING.EXE
448	PING.EXE
2268	PING.EXE
1288	PING.EXE
2052	PING.EXE
2872	PING.EXE
860	PING.EXE
1996	PING.EXE
2616	PING.EXE
2996	PING.EXE
2652	PING.EXE
2996	PING.EXE
2316	PING.EXE
2104	PING.EXE
2068	PING.EXE
484	PING.EXE
3012	PING.EXE
2376	PING.EXE
1592	PING.EXE
2112	PING.EXE
588	PING.EXE
2316	PING.EXE
1380	PING.EXE
1456	PING.EXE
1956	PING.EXE
2336	PING.EXE
2336	PING.EXE
1176	PING.EXE
2784	PING.EXE
2208	PING.EXE
2052	PING.EXE
2336	PING.EXE
448	PING.EXE
1940	PING.EXE

Suspicious use of AdjustPrivilegeToken 64 IoCs

description	pid	Process
Token: SeIncreaseQuotaPrivilege	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeSecurityPrivilege	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeTakeOwnershipPrivilege	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeLoadDriverPrivilege	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeSystemProfilePrivilege	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeSystemtimePrivilege	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeProfSingleProcessPrivilege	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeIncBasePriorityPrivilege	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeCreatePagefilePrivilege	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeBackupPrivilege	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeRestorePrivilege	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeShutdownPrivilege	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeDebugPrivilege	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeSystemEnvironmentPrivilege	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeChangeNotifyPrivilege	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeRemoteShutdownPrivilege	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeUndockPrivilege	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeManageVolumePrivilege	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeImpersonatePrivilege	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeCreateGlobalPrivilege	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: 33	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: 34	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: 35	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeIncreaseQuotaPrivilege	580	WMPLAYER.EXE
Token: SeSecurityPrivilege	580	WMPLAYER.EXE
Token: SeTakeOwnershipPrivilege	580	WMPLAYER.EXE
Token: SeLoadDriverPrivilege	580	WMPLAYER.EXE
Token: SeSystemProfilePrivilege	580	WMPLAYER.EXE
Token: SeSystemtimePrivilege	580	WMPLAYER.EXE
Token: SeProfSingleProcessPrivilege	580	WMPLAYER.EXE
Token: SeIncBasePriorityPrivilege	580	WMPLAYER.EXE
Token: SeCreatePagefilePrivilege	580	WMPLAYER.EXE
Token: SeBackupPrivilege	580	WMPLAYER.EXE
Token: SeRestorePrivilege	580	WMPLAYER.EXE
Token: SeShutdownPrivilege	580	WMPLAYER.EXE
Token: SeDebugPrivilege	580	WMPLAYER.EXE
Token: SeSystemEnvironmentPrivilege	580	WMPLAYER.EXE
Token: SeChangeNotifyPrivilege	580	WMPLAYER.EXE
Token: SeRemoteShutdownPrivilege	580	WMPLAYER.EXE
Token: SeUndockPrivilege	580	WMPLAYER.EXE
Token: SeManageVolumePrivilege	580	WMPLAYER.EXE
Token: SeImpersonatePrivilege	580	WMPLAYER.EXE
Token: SeCreateGlobalPrivilege	580	WMPLAYER.EXE
Token: 33	580	WMPLAYER.EXE
Token: 34	580	WMPLAYER.EXE
Token: 35	580	WMPLAYER.EXE
Token: SeIncreaseQuotaPrivilege	1904	svchost.exe
Token: SeSecurityPrivilege	1904	svchost.exe
Token: SeTakeOwnershipPrivilege	1904	svchost.exe
Token: SeLoadDriverPrivilege	1904	svchost.exe
Token: SeSystemProfilePrivilege	1904	svchost.exe
Token: SeSystemtimePrivilege	1904	svchost.exe
Token: SeProfSingleProcessPrivilege	1904	svchost.exe
Token: SeIncBasePriorityPrivilege	1904	svchost.exe
Token: SeCreatePagefilePrivilege	1904	svchost.exe
Token: SeBackupPrivilege	1904	svchost.exe
Token: SeRestorePrivilege	1904	svchost.exe
Token: SeShutdownPrivilege	1904	svchost.exe
Token: SeDebugPrivilege	1904	svchost.exe
Token: SeSystemEnvironmentPrivilege	1904	svchost.exe
Token: SeChangeNotifyPrivilege	1904	svchost.exe
Token: SeRemoteShutdownPrivilege	1904	svchost.exe
Token: SeUndockPrivilege	1904	svchost.exe
Token: SeManageVolumePrivilege	1904	svchost.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2732 wrote to memory of 580	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe	30
PID 2732 wrote to memory of 580	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe	30
PID 2732 wrote to memory of 580	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe	30
PID 2732 wrote to memory of 580	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe	30
PID 2732 wrote to memory of 1904	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe	31
PID 2732 wrote to memory of 1904	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe	31
PID 2732 wrote to memory of 1904	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe	31
PID 2732 wrote to memory of 1904	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe	31
PID 2732 wrote to memory of 2364	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe	32
PID 2732 wrote to memory of 2364	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe	32
PID 2732 wrote to memory of 2364	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe	32
PID 2732 wrote to memory of 2364	2732	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe	32
PID 2364 wrote to memory of 2204	2364	cmd.exe	34
PID 2364 wrote to memory of 2204	2364	cmd.exe	34
PID 2364 wrote to memory of 2204	2364	cmd.exe	34
PID 2364 wrote to memory of 2204	2364	cmd.exe	34
PID 1904 wrote to memory of 2112	1904	svchost.exe	35
PID 1904 wrote to memory of 2112	1904	svchost.exe	35
PID 1904 wrote to memory of 2112	1904	svchost.exe	35
PID 1904 wrote to memory of 2112	1904	svchost.exe	35
PID 1904 wrote to memory of 2064	1904	svchost.exe	36
PID 1904 wrote to memory of 2064	1904	svchost.exe	36
PID 1904 wrote to memory of 2064	1904	svchost.exe	36
PID 1904 wrote to memory of 2064	1904	svchost.exe	36
PID 1904 wrote to memory of 2280	1904	svchost.exe	37
PID 1904 wrote to memory of 2280	1904	svchost.exe	37
PID 1904 wrote to memory of 2280	1904	svchost.exe	37
PID 1904 wrote to memory of 2280	1904	svchost.exe	37
PID 2280 wrote to memory of 1124	2280	cmd.exe	39
PID 2280 wrote to memory of 1124	2280	cmd.exe	39
PID 2280 wrote to memory of 1124	2280	cmd.exe	39
PID 2280 wrote to memory of 1124	2280	cmd.exe	39
PID 2064 wrote to memory of 2268	2064	svchost.exe	40
PID 2064 wrote to memory of 2268	2064	svchost.exe	40
PID 2064 wrote to memory of 2268	2064	svchost.exe	40
PID 2064 wrote to memory of 2268	2064	svchost.exe	40
PID 2064 wrote to memory of 2236	2064	svchost.exe	41
PID 2064 wrote to memory of 2236	2064	svchost.exe	41
PID 2064 wrote to memory of 2236	2064	svchost.exe	41
PID 2064 wrote to memory of 2236	2064	svchost.exe	41
PID 2064 wrote to memory of 2036	2064	svchost.exe	42
PID 2064 wrote to memory of 2036	2064	svchost.exe	42
PID 2064 wrote to memory of 2036	2064	svchost.exe	42
PID 2064 wrote to memory of 2036	2064	svchost.exe	42
PID 2036 wrote to memory of 2316	2036	cmd.exe	44
PID 2036 wrote to memory of 2316	2036	cmd.exe	44
PID 2036 wrote to memory of 2316	2036	cmd.exe	44
PID 2036 wrote to memory of 2316	2036	cmd.exe	44
PID 2236 wrote to memory of 852	2236	svchost.exe	45
PID 2236 wrote to memory of 852	2236	svchost.exe	45
PID 2236 wrote to memory of 852	2236	svchost.exe	45
PID 2236 wrote to memory of 852	2236	svchost.exe	45
PID 2268 wrote to memory of 2472	2268	WMPLAYER.EXE	46
PID 2268 wrote to memory of 2472	2268	WMPLAYER.EXE	46
PID 2268 wrote to memory of 2472	2268	WMPLAYER.EXE	46
PID 2268 wrote to memory of 2472	2268	WMPLAYER.EXE	46
PID 2268 wrote to memory of 2452	2268	WMPLAYER.EXE	47
PID 2268 wrote to memory of 2452	2268	WMPLAYER.EXE	47
PID 2268 wrote to memory of 2452	2268	WMPLAYER.EXE	47
PID 2268 wrote to memory of 2452	2268	WMPLAYER.EXE	47
PID 580 wrote to memory of 1964	580	WMPLAYER.EXE	49
PID 580 wrote to memory of 1964	580	WMPLAYER.EXE	49
PID 580 wrote to memory of 1964	580	WMPLAYER.EXE	49
PID 580 wrote to memory of 1964	580	WMPLAYER.EXE	49

C:\Users\Admin\AppData\Local\Temp\JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
"C:\Users\Admin\AppData\Local\Temp\JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe"
1⤵
- Modifies WinLogon for persistence
- Drops file in Drivers directory
- Checks BIOS information in registry
- Loads dropped DLL
- Enumerates system info in registry
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:2732
- C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
  "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
  2⤵
  - Modifies WinLogon for persistence
  - Drops file in Drivers directory
  - Checks BIOS information in registry
  - Executes dropped EXE
  - Loads dropped DLL
  - Adds Run key to start application
  - Drops file in System32 directory
  - System Location Discovery: System Language Discovery
  - Checks processor information in registry
  - Enumerates system info in registry
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:580
- - C:\Windows\SysWOW64\config\restore\svchost.exe
    "C:\Windows\system32\config\restore\svchost.exe"
    3⤵
    - Modifies WinLogon for persistence
    - Drops file in Drivers directory
    - Checks BIOS information in registry
    - Executes dropped EXE
    - Loads dropped DLL
    - Adds Run key to start application
    - Drops file in System32 directory
    - System Location Discovery: System Language Discovery
    - Checks processor information in registry
    - Enumerates system info in registry
    PID:1964
  - - C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
      "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
      4⤵
      Modifies WinLogon for persistence
      Drops file in Drivers directory
      Checks BIOS information in registry
      Executes dropped EXE
      Adds Run key to start application
      Drops file in System32 directory
      Checks processor information in registry
      PID:2708
    - - C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        5⤵
        Drops file in Drivers directory
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2472
      - C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        6⤵
        Modifies WinLogon for persistence
        Executes dropped EXE
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:2788
      - C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        6⤵
        Checks BIOS information in registry
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2440
      - C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        6⤵
        System Location Discovery: System Language Discovery
        
        PID:2872
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        7⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:3012
    - - C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        5⤵
        
        PID:1144
      - C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        6⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2104
  - - C:\Windows\SysWOW64\config\restore\svchost.exe
      "C:\Windows\system32\config\restore\svchost.exe"
      4⤵
      Modifies WinLogon for persistence
      Drops file in Drivers directory
      Checks BIOS information in registry
      Executes dropped EXE
      Loads dropped DLL
      Adds Run key to start application
      Drops file in System32 directory
      Checks processor information in registry
      Enumerates system info in registry
      PID:2884
    - - C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        5⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2380
      - C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        6⤵
        Drops file in Drivers directory
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:1976
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        7⤵
        Checks BIOS information in registry
        Adds Run key to start application
        Checks processor information in registry
        
        PID:1464
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        7⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:1172
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        7⤵
        
        PID:2140
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        8⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2616
      - C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        6⤵
        System Location Discovery: System Language Discovery
        
        PID:580
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        7⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:1996
    - - C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        5⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2532
      - C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        6⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:288
      - C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        6⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:2296
      - C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        6⤵
        
        PID:2768
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        7⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2052
    - - C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        5⤵
        
        PID:3068
      - C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        6⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2268
  - - C:\Windows\SysWOW64\cmd.exe
      cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
      4⤵
      System Location Discovery: System Language Discovery
      PID:1496
    - - C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        5⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2376
- - C:\Windows\SysWOW64\cmd.exe
    cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
    3⤵
    - System Location Discovery: System Language Discovery
    PID:2296
  - - C:\Windows\SysWOW64\PING.EXE
      ping 127.0.0.1 -n 2
      4⤵
      System Network Configuration Discovery: Internet Connection Discovery
      Runs ping.exe
      PID:1380
- C:\Windows\SysWOW64\config\restore\svchost.exe
  "C:\Windows\system32\config\restore\svchost.exe"
  2⤵
  - Modifies WinLogon for persistence
  - Drops file in Drivers directory
  - Checks BIOS information in registry
  - Executes dropped EXE
  - Loads dropped DLL
  - Adds Run key to start application
  - Drops file in System32 directory
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:1904
- - C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
    "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
    3⤵
    - Modifies WinLogon for persistence
    - Drops file in Drivers directory
    - Checks BIOS information in registry
    - Executes dropped EXE
    - Loads dropped DLL
    - Adds Run key to start application
    - Drops file in System32 directory
    - System Location Discovery: System Language Discovery
    - Checks processor information in registry
    - Enumerates system info in registry
    PID:2112
  - - C:\Windows\SysWOW64\config\restore\svchost.exe
      "C:\Windows\system32\config\restore\svchost.exe"
      4⤵
      Modifies WinLogon for persistence
      Drops file in Drivers directory
      Executes dropped EXE
      Loads dropped DLL
      Adds Run key to start application
      Drops file in System32 directory
      Enumerates system info in registry
      PID:2544
    - - C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        5⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Executes dropped EXE
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2692
      - C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        6⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1084
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        7⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1304
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        7⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        
        PID:2808
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        7⤵
        
        PID:1952
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        8⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2996
      - C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        6⤵
        System Location Discovery: System Language Discovery
        
        PID:2500
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        7⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:484
    - - C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        5⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        
        PID:2940
      - C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        6⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2004
      - C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        6⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:2976
      - C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        6⤵
        System Location Discovery: System Language Discovery
        
        PID:1744
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        7⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2112
    - - C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        5⤵
        
        PID:2548
      - C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        6⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:1144
  - - C:\Windows\SysWOW64\cmd.exe
      cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
      4⤵
      PID:1128
    - - C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        5⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2996
- - C:\Windows\SysWOW64\config\restore\svchost.exe
    "C:\Windows\system32\config\restore\svchost.exe"
    3⤵
    - Modifies WinLogon for persistence
    - Drops file in Drivers directory
    - Checks BIOS information in registry
    - Executes dropped EXE
    - Loads dropped DLL
    - Adds Run key to start application
    - Drops file in System32 directory
    - Enumerates system info in registry
    - Suspicious use of WriteProcessMemory
    PID:2064
  - - C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
      "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
      4⤵
      Drops file in Drivers directory
      Checks BIOS information in registry
      Executes dropped EXE
      Loads dropped DLL
      Adds Run key to start application
      Drops file in System32 directory
      Enumerates system info in registry
      Suspicious use of WriteProcessMemory
      PID:2268
    - - C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        5⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2472
      - C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        6⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:2360
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        7⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        
        PID:1172
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        8⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2228
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        8⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        
        PID:1584
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        9⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:2664
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        9⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:352
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        10⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1056
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        10⤵
        Checks BIOS information in registry
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        
        PID:2240
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        10⤵
        System Location Discovery: System Language Discovery
        
        PID:1016
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        11⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2052
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        9⤵
        System Location Discovery: System Language Discovery
        
        PID:2584
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        10⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2616
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        8⤵
        
        PID:1812
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        9⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:1592
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        7⤵
        
        PID:2628
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        8⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:1288
      - C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        6⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2652
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        7⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:1688
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        8⤵
        Drops file in Drivers directory
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:1340
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        9⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:108
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        9⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2772
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        9⤵
        
        PID:2488
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        10⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2336
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        8⤵
        System Location Discovery: System Language Discovery
        
        PID:2620
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        9⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2392
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        7⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:536
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        8⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:2784
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        9⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1760
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        9⤵
        System Location Discovery: System Language Discovery
        
        PID:1088
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        10⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:1288
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        8⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:1672
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        9⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:1492
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        9⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2084
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        10⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:1868
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        10⤵
        Modifies WinLogon for persistence
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:2108
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        10⤵
        System Location Discovery: System Language Discovery
        
        PID:1588
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        11⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2652
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        9⤵
        
        PID:2820
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        10⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2448
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        8⤵
        
        PID:2616
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        9⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:284
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        7⤵
        System Location Discovery: System Language Discovery
        
        PID:2196
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        8⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:1708
      - C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        6⤵
        System Location Discovery: System Language Discovery
        
        PID:3024
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        7⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:448
    - - C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:2452
      - C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        6⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:1996
  - - C:\Windows\SysWOW64\config\restore\svchost.exe
      "C:\Windows\system32\config\restore\svchost.exe"
      4⤵
      Modifies WinLogon for persistence
      Drops file in Drivers directory
      Checks BIOS information in registry
      Executes dropped EXE
      Loads dropped DLL
      Adds Run key to start application
      Drops file in System32 directory
      Enumerates system info in registry
      Suspicious use of WriteProcessMemory
      PID:2236
    - - C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        5⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:852
      - C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        6⤵
        Drops file in Drivers directory
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:3024
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        7⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:1948
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        7⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:1436
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        7⤵
        
        PID:3036
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        8⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:1956
      - C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        6⤵
        
        PID:1416
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        7⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2316
    - - C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        5⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        
        PID:2312
      - C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        6⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:2912
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        7⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:1704
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        8⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Executes dropped EXE
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2824
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        9⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Executes dropped EXE
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1432
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        10⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:2840
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        10⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:3016
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        10⤵
        
        PID:2684
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        11⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:1176
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        9⤵
        System Location Discovery: System Language Discovery
        
        PID:2072
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        10⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2336
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        8⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Executes dropped EXE
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:1464
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        9⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2088
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        9⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1756
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        10⤵
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:1668
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        10⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:1904
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 1756 -s 744
        10⤵
        Program crash
        
        PID:2452
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        9⤵
        
        PID:2676
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        10⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:860
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        8⤵
        
        PID:2472
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        9⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2208
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        7⤵
        System Location Discovery: System Language Discovery
        
        PID:2292
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        8⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:588
      - C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        6⤵
        Drops file in Drivers directory
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:2216
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        7⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1884
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        8⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:808
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        9⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1864
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        9⤵
        Checks BIOS information in registry
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:1432
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        9⤵
        System Location Discovery: System Language Discovery
        
        PID:2208
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        10⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:448
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        8⤵
        
        PID:2032
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        9⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2336
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        7⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Executes dropped EXE
        Loads dropped DLL
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1852
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        8⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2412
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        9⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2320
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        9⤵
        
        PID:1420
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        10⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2068
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        8⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        
        PID:2560
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        9⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Checks processor information in registry
        
        PID:1880
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        9⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1444
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 2560 -s 740
        9⤵
        Program crash
        
        PID:2576
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        8⤵
        
        PID:2108
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        9⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2872
        
        C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        7⤵
        
        PID:2120
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        8⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:1940
      - C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        6⤵
        
        PID:640
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        7⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:1456
    - - C:\Windows\SysWOW64\cmd.exe
        
        cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        5⤵
        
        PID:1444
      - C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        6⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2784
  - - C:\Windows\SysWOW64\cmd.exe
      cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
      4⤵
      Suspicious use of WriteProcessMemory
      PID:2036
    - - C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        5⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2316
- - C:\Windows\SysWOW64\cmd.exe
    cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:2280
  - - C:\Windows\SysWOW64\PING.EXE
      ping 127.0.0.1 -n 2
      4⤵
      System Network Configuration Discovery: Internet Connection Discovery
      Runs ping.exe
      PID:1124
- C:\Windows\SysWOW64\cmd.exe
  cmd /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
  2⤵
  - Deletes itself
  - System Location Discovery: System Language Discovery
  - Suspicious use of WriteProcessMemory
  PID:2364
- - C:\Windows\SysWOW64\PING.EXE
    ping 127.0.0.1 -n 2
    3⤵
    - System Location Discovery: System Language Discovery
    - System Network Configuration Discovery: Internet Connection Discovery
    - Runs ping.exe
    PID:2204

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Defense Evasion

Modify Registry

T1112

Credential Access

Discovery

Query Registry

T1012

Remote System Discovery

T1018

System Information Discovery

T1082

System Location Discovery

T1614

System Language Discovery

T1614.001

System Network Configuration Discovery

T1016

Internet Connection Discovery

T1016.001

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat

Filesize
81B

MD5
16af793c282da98f39b1c26f23c22c34

SHA1
175a3eaa35d05554c76582b5a1e38931992b83ac

SHA256
b1972633df6d17db76701aa01604514e34a730f0e88df8b17d9edaff19017b5d

SHA512
602fd1dc43ca0f123be69002b6cd8fa65d4dbc2643d78f31d2fed2d8946e570cf6ea6dfa8f05e7a8cb4bf0a4653a79475c71b7559539e3dbb29b58f0f69e79ad

Download Submit
C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat

Filesize
81B

MD5
78f856d95103a3d72678e375b074a9ad

SHA1
2bcde142a0b3fa62285802aabab14b20bf5e327f

SHA256
767349adbd9ed66ee2c1a3792c71d4b9ac4c96e78c1e0ec2b410378a1ebc163c

SHA512
c76892e205eabfa6366b561d8b8ac6ee79175eb915aafa0132907402f8c1d35646175dd04cd030f53e59bea1d86f14e3f37d8dd56649b826d7bbd6372e3c20dc

Download Submit
C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat

Filesize
119B

MD5
16f6e52a697e14d5a319adebcf0ad387

SHA1
ba0558de3fc67685d68217b46a2c6dab5f9e1b34

SHA256
61c3e2fd6a74187f2ce826250371358c007538f4f02cd3f4dd9df13d9acd10cf

SHA512
3b033aea52c70c8a2438d949504093b84fa9ce25429062a51425e0dccab84c20fd53ffe44d4519f5e2c4261da7fa782e51669f9d10da4a5b034024d81ddfdb00

Download Submit
C:\Windows\system32\drivers\etc\hosts

Filesize
1KB

MD5
c38e4bf2e91f81dae592bf448f7edd4d

SHA1
99498d591cf07c7bdb5ef73de26908971b631e3a

SHA256
5853685d91bdb35df83ad794fdebc4a3c9c950f6a5f5e8b09083926b8e121c47

SHA512
726292ede31620089f05d19537577a8bb5517cdcb7c207a1e146455ef5ff44bbeacdb56af5b8615b15c2b75cb1522695ce8397ec9eb76db7b69c850881efcf96

Download Submit
C:\Windows\system32\drivers\etc\hosts

Filesize
1KB

MD5
5261d5357c04ed292691069fc46a5bd4

SHA1
b51d31898ceee1cf83a962356bee57ddf1232503

SHA256
247a8fd3bcab239ecfce3ce84975ad6b501a426f0cd2acd75937fb7be00bb689

SHA512
ba9de6fefabd97b406a96df18c6b1c3be435f29c495544417c8447b5cc477b47374334431fce5b50e372b6b7d88e56bed1165bbbf911a4ec1cfacb576eeecfa1

Download Submit
C:\Windows\system32\drivers\etc\hosts

Filesize
1KB

MD5
ee99645831b02923239dead892421f58

SHA1
9cb112b5de42fe28581087dd3229bfcb284ce377

SHA256
918b19a5ecd2b5ec61877e2c64c0f1da6cc9e7f324dd70abf2a2707228ada4c1

SHA512
878f3a449eea8c7929f507eb9fcff97d69ea90e606c32bc5eb9da597e6206e325238f9c366eec813b6562aa62d79b862ba478a3f85bcde92ba24cba023110dc4

Download Submit
C:\Windows\system32\drivers\etc\hosts

Filesize
1KB

MD5
b3cbc1d4218a696814a8c1271501fd81

SHA1
b445230841f17a8d2092b1c873d161f590f2cd93

SHA256
d7b9d956313e10b4a271a78cfce3503376bb5bee49d1a3289e02a60d8437a4d4

SHA512
463d99a944061ff12c7343cde71bd7676c55926c736f695c25fc4c62a13aabd0c74d16957e54b5faa25d3e4b14b9b59dd4f783996c89bbef344252c10e1f1319

Download Submit
C:\Windows\system32\drivers\etc\hosts

Filesize
1019B

MD5
b17b59d62ffcd04ba9453b852c3ec33f

SHA1
ba0ce0dbb9ea085a083069deb120211108a78fe4

SHA256
7e4882ab62514da96de18485b9de7490b427b4320381829f4a2b1333d7a8ccf4

SHA512
23f08ab3d5c9a89741f8cf664bfc11ec9d9d9cd689508dab41781eb4e7cdcd9e5da269c7a53eb8cb97f9e50ca525961d77616180a7b2e19472c52f89b72cd9f2

Download Submit
\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE

Filesize
715KB

MD5
97abfefbeb481b79bad96b34af93a386

SHA1
236f09658d01da2c07d64408412c1d27295ee74d

SHA256
59e319b1ac09265709772f56ea6c2819f264dc1e6b2bdfb45a0fb59296af732a

SHA512
571d536e58c247fee7dd5e1c0422ffbda5d8e9aeee000b7a97576da14a9376de3705ad2c99115b075291bc74f412b03ad34649721839bceaa251e0ef420a2323

Download Submit
\Windows\SysWOW64\config\restore\svchost.exe

Filesize
916KB

MD5
82d21484a9b96ff02e47ad1dfbe8a8bd

SHA1
7dd052f064c3ee8c6e74f4ac2e3469a41bc927a3

SHA256
5a6d29d55afa18fc6ff4818877f74ab7d5182887a51c6e23b755c552a8d3440d

SHA512
7bb1bdc4780b947612963060c2895c3f7d43ed9e1d37fb47fcc46d625c0ff53c2b7b0c9918b1b0410185575347749059a0031248b3fb85d8a6ec7ceb70908b1d

Download Submit
memory/352-523-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/536-310-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/536-281-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/536-255-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/580-110-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/580-166-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/808-544-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/852-328-0x0000000004790000-0x0000000004958000-memory.dmp

Filesize
1.8MB

Download
memory/852-329-0x0000000004790000-0x0000000004958000-memory.dmp

Filesize
1.8MB

Download
memory/852-330-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/852-232-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/1084-532-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/1172-360-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/1340-543-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/1432-514-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/1436-504-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/1444-505-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/1492-503-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/1584-442-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/1672-311-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/1672-371-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/1688-408-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/1688-341-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/1704-309-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/1704-289-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/1756-542-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/1852-325-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/1852-279-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/1880-501-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/1884-409-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/1884-342-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/1904-108-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/1904-103-0x0000000007390000-0x0000000007558000-memory.dmp

Filesize
1.8MB

Download
memory/1948-489-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/1964-213-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2064-106-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2064-126-0x00000000073A0000-0x0000000007568000-memory.dmp

Filesize
1.8MB

Download
memory/2064-128-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2084-541-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2088-502-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/2112-268-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/2112-228-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/2112-131-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/2216-277-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2216-227-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2216-278-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2216-269-0x0000000007450000-0x0000000007618000-memory.dmp

Filesize
1.8MB

Download
memory/2228-500-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/2236-184-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2236-182-0x0000000005FA0000-0x0000000006168000-memory.dmp

Filesize
1.8MB

Download
memory/2236-167-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2236-174-0x0000000005FA0000-0x0000000006168000-memory.dmp

Filesize
1.8MB

Download
memory/2268-153-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/2312-185-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2312-226-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2360-288-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/2360-339-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/2380-420-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/2380-340-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/2412-421-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/2412-451-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/2472-214-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2472-154-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2472-187-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2532-370-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2532-290-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2532-254-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2544-326-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2544-280-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2560-433-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2652-243-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2652-216-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2692-488-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/2692-424-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/2708-418-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/2708-287-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/2732-21-0x0000000003790000-0x0000000003791000-memory.dmp

Filesize
4KB

Download
memory/2732-38-0x0000000002570000-0x0000000002571000-memory.dmp

Filesize
4KB

Download
memory/2732-47-0x0000000003780000-0x0000000003781000-memory.dmp

Filesize
4KB

Download
memory/2732-49-0x0000000003780000-0x0000000003781000-memory.dmp

Filesize
4KB

Download
memory/2732-50-0x0000000003790000-0x0000000003791000-memory.dmp

Filesize
4KB

Download
memory/2732-45-0x0000000003790000-0x0000000003791000-memory.dmp

Filesize
4KB

Download
memory/2732-1-0x00000000005D0000-0x0000000000630000-memory.dmp

Filesize
384KB

Download
memory/2732-48-0x0000000003780000-0x0000000003783000-memory.dmp

Filesize
12KB

Download
memory/2732-39-0x00000000005D0000-0x0000000000630000-memory.dmp

Filesize
384KB

Download
memory/2732-5-0x0000000000280000-0x0000000000281000-memory.dmp

Filesize
4KB

Download
memory/2732-9-0x0000000003790000-0x0000000003791000-memory.dmp

Filesize
4KB

Download
memory/2732-8-0x00000000003C0000-0x00000000003C1000-memory.dmp

Filesize
4KB

Download
memory/2732-40-0x0000000003780000-0x0000000003781000-memory.dmp

Filesize
4KB

Download
memory/2732-7-0x0000000000380000-0x0000000000381000-memory.dmp

Filesize
4KB

Download
memory/2732-41-0x0000000003780000-0x0000000003781000-memory.dmp

Filesize
4KB

Download
memory/2732-42-0x0000000003780000-0x0000000003781000-memory.dmp

Filesize
4KB

Download
memory/2732-43-0x0000000003790000-0x0000000003791000-memory.dmp

Filesize
4KB

Download
memory/2732-44-0x0000000003790000-0x0000000003791000-memory.dmp

Filesize
4KB

Download
memory/2732-23-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2732-24-0x0000000000640000-0x0000000000641000-memory.dmp

Filesize
4KB

Download
memory/2732-25-0x0000000000630000-0x0000000000631000-memory.dmp

Filesize
4KB

Download
memory/2732-26-0x0000000000690000-0x0000000000691000-memory.dmp

Filesize
4KB

Download
memory/2732-52-0x0000000000270000-0x0000000000271000-memory.dmp

Filesize
4KB

Download
memory/2732-27-0x0000000000660000-0x0000000000661000-memory.dmp

Filesize
4KB

Download
memory/2732-28-0x00000000003F0000-0x00000000003F1000-memory.dmp

Filesize
4KB

Download
memory/2732-29-0x00000000006A0000-0x00000000006A1000-memory.dmp

Filesize
4KB

Download
memory/2732-30-0x0000000003780000-0x0000000003781000-memory.dmp

Filesize
4KB

Download
memory/2732-31-0x0000000000710000-0x0000000000711000-memory.dmp

Filesize
4KB

Download
memory/2732-32-0x0000000000700000-0x0000000000701000-memory.dmp

Filesize
4KB

Download
memory/2732-6-0x00000000003D0000-0x00000000003D1000-memory.dmp

Filesize
4KB

Download
memory/2732-0-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2732-33-0x0000000002580000-0x0000000002581000-memory.dmp

Filesize
4KB

Download
memory/2732-34-0x0000000002550000-0x0000000002551000-memory.dmp

Filesize
4KB

Download
memory/2732-36-0x0000000000650000-0x0000000000651000-memory.dmp

Filesize
4KB

Download
memory/2732-46-0x0000000003780000-0x0000000003781000-memory.dmp

Filesize
4KB

Download
memory/2732-37-0x00000000006F0000-0x00000000006F1000-memory.dmp

Filesize
4KB

Download
memory/2732-35-0x0000000003790000-0x0000000003791000-memory.dmp

Filesize
4KB

Download
memory/2732-4-0x00000000003B0000-0x00000000003B1000-memory.dmp

Filesize
4KB

Download
memory/2732-14-0x0000000003790000-0x0000000003791000-memory.dmp

Filesize
4KB

Download
memory/2732-16-0x0000000003790000-0x0000000003791000-memory.dmp

Filesize
4KB

Download
memory/2732-17-0x0000000003790000-0x0000000003791000-memory.dmp

Filesize
4KB

Download
memory/2732-18-0x0000000003780000-0x0000000003781000-memory.dmp

Filesize
4KB

Download
memory/2732-51-0x0000000000250000-0x0000000000251000-memory.dmp

Filesize
4KB

Download
memory/2732-19-0x0000000003780000-0x0000000003781000-memory.dmp

Filesize
4KB

Download
memory/2732-3-0x0000000000290000-0x0000000000291000-memory.dmp

Filesize
4KB

Download
memory/2732-75-0x00000000074B0000-0x0000000007678000-memory.dmp

Filesize
1.8MB

Download
memory/2732-2-0x00000000002E0000-0x00000000002E1000-memory.dmp

Filesize
4KB

Download
memory/2732-20-0x0000000003780000-0x0000000003781000-memory.dmp

Filesize
4KB

Download
memory/2732-85-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2732-77-0x00000000074B0000-0x0000000007678000-memory.dmp

Filesize
1.8MB

Download
memory/2732-11-0x00000000003A0000-0x00000000003A1000-memory.dmp

Filesize
4KB

Download
memory/2732-22-0x0000000003790000-0x0000000003791000-memory.dmp

Filesize
4KB

Download
memory/2732-10-0x0000000003790000-0x0000000003791000-memory.dmp

Filesize
4KB

Download
memory/2732-12-0x0000000003790000-0x0000000003791000-memory.dmp

Filesize
4KB

Download
memory/2732-86-0x00000000005D0000-0x0000000000630000-memory.dmp

Filesize
384KB

Download
memory/2732-15-0x0000000003790000-0x0000000003791000-memory.dmp

Filesize
4KB

Download
memory/2732-13-0x0000000003790000-0x0000000003791000-memory.dmp

Filesize
4KB

Download
memory/2784-468-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/2784-423-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/2824-479-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/2824-422-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/2884-215-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2884-253-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2912-257-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/2912-258-0x0000000005FD0000-0x0000000006198000-memory.dmp

Filesize
1.8MB

Download
memory/2912-256-0x0000000005FD0000-0x0000000006198000-memory.dmp

Filesize
1.8MB

Download
memory/2940-432-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2940-327-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/3024-369-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download

Analysis

Sharing

General

Malware Config

Extracted

Extracted

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads