darkcomet | 5a6d29d55afa18fc6ff4818877f74ab7d5182887a51c6e23b755c552a8d3440d

Analysis

max time kernel
149s
max time network
129s
platform
windows10-2004_x64
resource
win10v2004-20250314-en
resource tags

arch:x64arch:x86image:win10v2004-20250314-enlocale:en-usos:windows10-2004-x64system
submitted
20/03/2025, 12:22

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Size

916KB
MD5

82d21484a9b96ff02e47ad1dfbe8a8bd
SHA1

7dd052f064c3ee8c6e74f4ac2e3469a41bc927a3
SHA256

5a6d29d55afa18fc6ff4818877f74ab7d5182887a51c6e23b755c552a8d3440d
SHA512

7bb1bdc4780b947612963060c2895c3f7d43ed9e1d37fb47fcc46d625c0ff53c2b7b0c9918b1b0410185575347749059a0031248b3fb85d8a6ec7ceb70908b1d
SSDEEP

24576:9dFJ/ObGa/I0RwV94fCK/cRgOnmq9g6J5/Nd:Xf/i/I0CX4pcOU7m6Jvd

Score

10^/10

darkcomet guest16 discovery persistence rat trojan

Malware Config

Extracted

Family

darkcomet

Botnet

Guest16

os-update.serveftp.com:37751

Mutex

DC_MUTEX-EVGT2S6

Attributes

InstallPath
config\restore\svchost.exe
gencode
F��/Gg#dltm4
install
true
offline_keylogger
true
password
2010R4t1337iHaVeFuN
persistence
true
reg_key
USB Mass-Storage Managment

rc4.plain

Signatures

Darkcomet
DarkComet is a remote access trojan (RAT) developed by Jean-Pierre Lesueur.
trojan rat darkcomet
Darkcomet family
darkcomet

Modifies WinLogon for persistence 2 TTPs 64 IoCs

persistence

Winlogon Helper DLL

T1547.004

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe,C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe

Drops file in Drivers directory 55 IoCs

description	ioc	Process
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File created	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File created	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	svchost.exe
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE
File opened for modification	C:\Windows\system32\drivers\etc\hosts	WMPLAYER.EXE

Checks BIOS information in registry 2 TTPs 64 IoCs

BIOS information is often read in order to detect sandboxing environments.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosDate	svchost.exe

Checks computer location settings 2 TTPs 53 IoCs

Looks up country code configured in the registry, likely geofence.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	WMPLAYER.EXE
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	WMPLAYER.EXE
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	WMPLAYER.EXE
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	WMPLAYER.EXE
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	WMPLAYER.EXE
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	WMPLAYER.EXE
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	WMPLAYER.EXE
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	WMPLAYER.EXE
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	WMPLAYER.EXE
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	WMPLAYER.EXE
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	WMPLAYER.EXE
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	WMPLAYER.EXE
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	WMPLAYER.EXE
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	WMPLAYER.EXE
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	WMPLAYER.EXE
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	WMPLAYER.EXE
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	WMPLAYER.EXE
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	WMPLAYER.EXE
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	WMPLAYER.EXE
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	svchost.exe
Key value queried	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\Control Panel\International\Geo\Nation	WMPLAYER.EXE

Executes dropped EXE 64 IoCs

pid	Process
4616	WMPLAYER.EXE
5140	svchost.exe
5092	WMPLAYER.EXE
2496	svchost.exe
2280	svchost.exe
5824	WMPLAYER.EXE
5948	WMPLAYER.EXE
1596	svchost.exe
4264	svchost.exe
868	svchost.exe
5220	WMPLAYER.EXE
1800	WMPLAYER.EXE
2652	WMPLAYER.EXE
5632	svchost.exe
4120	svchost.exe
5248	svchost.exe
2360	svchost.exe
5996	svchost.exe
332	WMPLAYER.EXE
4424	WMPLAYER.EXE
5768	WMPLAYER.EXE
4412	WMPLAYER.EXE
4676	WMPLAYER.EXE
1612	svchost.exe
5436	svchost.exe
4712	svchost.exe
4076	svchost.exe
3552	svchost.exe
1212	svchost.exe
2728	svchost.exe
4756	svchost.exe
4792	WMPLAYER.EXE
2868	WMPLAYER.EXE
2028	WMPLAYER.EXE
5808	WMPLAYER.EXE
5672	WMPLAYER.EXE
3780	WMPLAYER.EXE
1932	WMPLAYER.EXE
6016	WMPLAYER.EXE
868	svchost.exe
5000	svchost.exe
5216	svchost.exe
5172	svchost.exe
384	svchost.exe
1068	svchost.exe
1368	svchost.exe
2384	svchost.exe
3684	svchost.exe
5820	svchost.exe
5904	svchost.exe
5456	svchost.exe
5408	svchost.exe
3180	WMPLAYER.EXE
2516	WMPLAYER.EXE
4728	WMPLAYER.EXE
3620	WMPLAYER.EXE
2232	WMPLAYER.EXE
3200	WMPLAYER.EXE
4608	WMPLAYER.EXE
3800	WMPLAYER.EXE
744	WMPLAYER.EXE
2492	WMPLAYER.EXE
4680	WMPLAYER.EXE
5812	WMPLAYER.EXE

Adds Run key to start application 2 TTPs 64 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	WMPLAYER.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-1062200478-553497403-3857448183-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\USB Mass-Storage Managment = "C:\\Windows\\system32\\config\\restore\\svchost.exe"	svchost.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File opened for modification	C:\Windows\SysWOW64\config\restore\	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File opened for modification	C:\Windows\SysWOW64\config\restore\	WMPLAYER.EXE
File opened for modification	C:\Windows\SysWOW64\config\restore\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\	svchost.exe
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\	WMPLAYER.EXE
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\	WMPLAYER.EXE
File opened for modification	C:\Windows\SysWOW64\config\restore\	WMPLAYER.EXE
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\config\restore\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\config\restore\svchost.exe	WMPLAYER.EXE

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Program crash 1 IoCs

pid	pid_target	Process	procid_target
1476	3684	WerFault.exe	199

System Location Discovery: System Language Discovery 1 TTPs 64 IoCs

Attempt gather information about the system language of a victim in order to infer the geographical location of that host.

discovery

System Language Discovery

T1614.001

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	svchost.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	PING.EXE
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\NLS\Language	cmd.exe

System Network Configuration Discovery: Internet Connection Discovery 1 TTPs 52 IoCs

Adversaries may check for Internet connectivity on compromised systems.

discovery

Internet Connection Discovery

T1016.001

pid	Process
2996	PING.EXE
1380	PING.EXE
1892	PING.EXE
3320	PING.EXE
928	PING.EXE
2452	PING.EXE
4852	PING.EXE
3772	PING.EXE
4388	PING.EXE
1068	PING.EXE
3880	PING.EXE
5652	PING.EXE
4644	PING.EXE
4044	PING.EXE
3840	PING.EXE
3080	PING.EXE
208	PING.EXE
2496	PING.EXE
4260	PING.EXE
876	PING.EXE
2932	PING.EXE
1656	PING.EXE
4304	PING.EXE
1224	PING.EXE
5612	PING.EXE
2028	PING.EXE
2852	PING.EXE
5036	PING.EXE
5244	PING.EXE
5792	PING.EXE
5028	PING.EXE
1688	PING.EXE
5628	PING.EXE
1416	PING.EXE
3300	PING.EXE
5264	PING.EXE
2944	PING.EXE
4324	PING.EXE
2612	PING.EXE
5620	PING.EXE
3436	PING.EXE
60	PING.EXE
3620	PING.EXE
6124	PING.EXE
2096	PING.EXE
4752	PING.EXE
4440	PING.EXE
3052	PING.EXE
5644	PING.EXE
4276	PING.EXE
4848	PING.EXE
3628	PING.EXE

Checks processor information in registry 2 TTPs 64 IoCs

Processor information is often read in order to detect sandboxing environments.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	svchost.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	svchost.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	svchost.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	svchost.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	svchost.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	svchost.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	svchost.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	svchost.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	svchost.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	svchost.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\VendorIdentifier	svchost.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	svchost.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	svchost.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	WMPLAYER.EXE
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	svchost.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier	svchost.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0	WMPLAYER.EXE

Enumerates system info in registry 2 TTPs 64 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	svchost.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\Identifier	WMPLAYER.EXE

Modifies registry class 53 IoCs

description	ioc	Process
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	WMPLAYER.EXE
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	WMPLAYER.EXE
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	WMPLAYER.EXE
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	WMPLAYER.EXE
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	WMPLAYER.EXE
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	WMPLAYER.EXE
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	WMPLAYER.EXE
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	WMPLAYER.EXE
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	WMPLAYER.EXE
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	WMPLAYER.EXE
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	WMPLAYER.EXE
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	WMPLAYER.EXE
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	WMPLAYER.EXE
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	WMPLAYER.EXE
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	WMPLAYER.EXE
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	WMPLAYER.EXE
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	WMPLAYER.EXE
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	WMPLAYER.EXE
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	svchost.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	WMPLAYER.EXE
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{1f3427c8-5c10-4210-aa03-2ee45287d668}\Instance\	WMPLAYER.EXE

Runs ping.exe 1 TTPs 52 IoCs

Remote System Discovery

T1018

pid	Process
2932	PING.EXE
5612	PING.EXE
4440	PING.EXE
4324	PING.EXE
3620	PING.EXE
3052	PING.EXE
208	PING.EXE
3880	PING.EXE
4260	PING.EXE
5652	PING.EXE
3840	PING.EXE
3080	PING.EXE
6124	PING.EXE
876	PING.EXE
4752	PING.EXE
2028	PING.EXE
2852	PING.EXE
5244	PING.EXE
3436	PING.EXE
5644	PING.EXE
1892	PING.EXE
1656	PING.EXE
3628	PING.EXE
4044	PING.EXE
2612	PING.EXE
1068	PING.EXE
4848	PING.EXE
5264	PING.EXE
4644	PING.EXE
4388	PING.EXE
60	PING.EXE
3320	PING.EXE
1688	PING.EXE
1224	PING.EXE
2096	PING.EXE
5036	PING.EXE
4304	PING.EXE
5628	PING.EXE
2496	PING.EXE
928	PING.EXE
2452	PING.EXE
4852	PING.EXE
3772	PING.EXE
1380	PING.EXE
5028	PING.EXE
1416	PING.EXE
3300	PING.EXE
2944	PING.EXE
5792	PING.EXE
2996	PING.EXE
4276	PING.EXE
5620	PING.EXE

Suspicious use of AdjustPrivilegeToken 64 IoCs

description	pid	Process
Token: SeIncreaseQuotaPrivilege	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeSecurityPrivilege	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeTakeOwnershipPrivilege	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeLoadDriverPrivilege	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeSystemProfilePrivilege	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeSystemtimePrivilege	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeProfSingleProcessPrivilege	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeIncBasePriorityPrivilege	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeCreatePagefilePrivilege	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeBackupPrivilege	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeRestorePrivilege	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeShutdownPrivilege	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeDebugPrivilege	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeSystemEnvironmentPrivilege	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeChangeNotifyPrivilege	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeRemoteShutdownPrivilege	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeUndockPrivilege	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeManageVolumePrivilege	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeImpersonatePrivilege	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeCreateGlobalPrivilege	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: 33	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: 34	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: 35	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: 36	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
Token: SeIncreaseQuotaPrivilege	4616	WMPLAYER.EXE
Token: SeSecurityPrivilege	4616	WMPLAYER.EXE
Token: SeTakeOwnershipPrivilege	4616	WMPLAYER.EXE
Token: SeLoadDriverPrivilege	4616	WMPLAYER.EXE
Token: SeSystemProfilePrivilege	4616	WMPLAYER.EXE
Token: SeSystemtimePrivilege	4616	WMPLAYER.EXE
Token: SeProfSingleProcessPrivilege	4616	WMPLAYER.EXE
Token: SeIncBasePriorityPrivilege	4616	WMPLAYER.EXE
Token: SeCreatePagefilePrivilege	4616	WMPLAYER.EXE
Token: SeBackupPrivilege	4616	WMPLAYER.EXE
Token: SeRestorePrivilege	4616	WMPLAYER.EXE
Token: SeShutdownPrivilege	4616	WMPLAYER.EXE
Token: SeDebugPrivilege	4616	WMPLAYER.EXE
Token: SeSystemEnvironmentPrivilege	4616	WMPLAYER.EXE
Token: SeChangeNotifyPrivilege	4616	WMPLAYER.EXE
Token: SeRemoteShutdownPrivilege	4616	WMPLAYER.EXE
Token: SeUndockPrivilege	4616	WMPLAYER.EXE
Token: SeManageVolumePrivilege	4616	WMPLAYER.EXE
Token: SeImpersonatePrivilege	4616	WMPLAYER.EXE
Token: SeCreateGlobalPrivilege	4616	WMPLAYER.EXE
Token: 33	4616	WMPLAYER.EXE
Token: 34	4616	WMPLAYER.EXE
Token: 35	4616	WMPLAYER.EXE
Token: 36	4616	WMPLAYER.EXE
Token: SeIncreaseQuotaPrivilege	5140	svchost.exe
Token: SeSecurityPrivilege	5140	svchost.exe
Token: SeTakeOwnershipPrivilege	5140	svchost.exe
Token: SeLoadDriverPrivilege	5140	svchost.exe
Token: SeSystemProfilePrivilege	5140	svchost.exe
Token: SeSystemtimePrivilege	5140	svchost.exe
Token: SeProfSingleProcessPrivilege	5140	svchost.exe
Token: SeIncBasePriorityPrivilege	5140	svchost.exe
Token: SeCreatePagefilePrivilege	5140	svchost.exe
Token: SeBackupPrivilege	5140	svchost.exe
Token: SeRestorePrivilege	5140	svchost.exe
Token: SeShutdownPrivilege	5140	svchost.exe
Token: SeDebugPrivilege	5140	svchost.exe
Token: SeSystemEnvironmentPrivilege	5140	svchost.exe
Token: SeChangeNotifyPrivilege	5140	svchost.exe
Token: SeRemoteShutdownPrivilege	5140	svchost.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 5784 wrote to memory of 4616	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe	88
PID 5784 wrote to memory of 4616	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe	88
PID 5784 wrote to memory of 4616	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe	88
PID 5784 wrote to memory of 5140	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe	89
PID 5784 wrote to memory of 5140	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe	89
PID 5784 wrote to memory of 5140	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe	89
PID 5784 wrote to memory of 5348	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe	90
PID 5784 wrote to memory of 5348	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe	90
PID 5784 wrote to memory of 5348	5784	JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe	90
PID 5348 wrote to memory of 4388	5348	cmd.exe	92
PID 5348 wrote to memory of 4388	5348	cmd.exe	92
PID 5348 wrote to memory of 4388	5348	cmd.exe	92
PID 5140 wrote to memory of 5092	5140	svchost.exe	93
PID 5140 wrote to memory of 5092	5140	svchost.exe	93
PID 5140 wrote to memory of 5092	5140	svchost.exe	93
PID 4616 wrote to memory of 2496	4616	WMPLAYER.EXE	94
PID 4616 wrote to memory of 2496	4616	WMPLAYER.EXE	94
PID 4616 wrote to memory of 2496	4616	WMPLAYER.EXE	94
PID 4616 wrote to memory of 3088	4616	WMPLAYER.EXE	95
PID 4616 wrote to memory of 3088	4616	WMPLAYER.EXE	95
PID 4616 wrote to memory of 3088	4616	WMPLAYER.EXE	95
PID 5140 wrote to memory of 2280	5140	svchost.exe	97
PID 5140 wrote to memory of 2280	5140	svchost.exe	97
PID 5140 wrote to memory of 2280	5140	svchost.exe	97
PID 5140 wrote to memory of 5992	5140	svchost.exe	98
PID 5140 wrote to memory of 5992	5140	svchost.exe	98
PID 5140 wrote to memory of 5992	5140	svchost.exe	98
PID 5992 wrote to memory of 3840	5992	cmd.exe	100
PID 5992 wrote to memory of 3840	5992	cmd.exe	100
PID 5992 wrote to memory of 3840	5992	cmd.exe	100
PID 3088 wrote to memory of 3436	3088	cmd.exe	101
PID 3088 wrote to memory of 3436	3088	cmd.exe	101
PID 3088 wrote to memory of 3436	3088	cmd.exe	101
PID 2280 wrote to memory of 5948	2280	svchost.exe	102
PID 2280 wrote to memory of 5948	2280	svchost.exe	102
PID 2280 wrote to memory of 5948	2280	svchost.exe	102
PID 2496 wrote to memory of 5824	2496	svchost.exe	103
PID 2496 wrote to memory of 5824	2496	svchost.exe	103
PID 2496 wrote to memory of 5824	2496	svchost.exe	103
PID 2496 wrote to memory of 1596	2496	svchost.exe	104
PID 2496 wrote to memory of 1596	2496	svchost.exe	104
PID 2496 wrote to memory of 1596	2496	svchost.exe	104
PID 2280 wrote to memory of 4264	2280	svchost.exe	105
PID 2280 wrote to memory of 4264	2280	svchost.exe	105
PID 2280 wrote to memory of 4264	2280	svchost.exe	105
PID 5092 wrote to memory of 868	5092	WMPLAYER.EXE	106
PID 5092 wrote to memory of 868	5092	WMPLAYER.EXE	106
PID 5092 wrote to memory of 868	5092	WMPLAYER.EXE	106
PID 2280 wrote to memory of 1568	2280	svchost.exe	107
PID 2280 wrote to memory of 1568	2280	svchost.exe	107
PID 2280 wrote to memory of 1568	2280	svchost.exe	107
PID 2496 wrote to memory of 3868	2496	svchost.exe	108
PID 2496 wrote to memory of 3868	2496	svchost.exe	108
PID 2496 wrote to memory of 3868	2496	svchost.exe	108
PID 5092 wrote to memory of 1052	5092	WMPLAYER.EXE	111
PID 5092 wrote to memory of 1052	5092	WMPLAYER.EXE	111
PID 5092 wrote to memory of 1052	5092	WMPLAYER.EXE	111
PID 1052 wrote to memory of 60	1052	cmd.exe	113
PID 1052 wrote to memory of 60	1052	cmd.exe	113
PID 1052 wrote to memory of 60	1052	cmd.exe	113
PID 3868 wrote to memory of 3320	3868	cmd.exe	114
PID 3868 wrote to memory of 3320	3868	cmd.exe	114
PID 3868 wrote to memory of 3320	3868	cmd.exe	114
PID 1568 wrote to memory of 3080	1568	cmd.exe	115

C:\Users\Admin\AppData\Local\Temp\JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe
"C:\Users\Admin\AppData\Local\Temp\JaffaCakes118_82d21484a9b96ff02e47ad1dfbe8a8bd.exe"
1⤵
- Modifies WinLogon for persistence
- Drops file in Drivers directory
- Checks BIOS information in registry
- Checks computer location settings
- Drops file in System32 directory
- System Location Discovery: System Language Discovery
- Enumerates system info in registry
- Modifies registry class
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:5784
- C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
  "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
  2⤵
  - Modifies WinLogon for persistence
  - Drops file in Drivers directory
  - Checks BIOS information in registry
  - Checks computer location settings
  - Executes dropped EXE
  - Checks processor information in registry
  - Enumerates system info in registry
  - Modifies registry class
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:4616
- - C:\Windows\SysWOW64\config\restore\svchost.exe
    "C:\Windows\system32\config\restore\svchost.exe"
    3⤵
    - Modifies WinLogon for persistence
    - Drops file in Drivers directory
    - Checks BIOS information in registry
    - Checks computer location settings
    - Executes dropped EXE
    - Adds Run key to start application
    - Modifies registry class
    - Suspicious use of WriteProcessMemory
    PID:2496
  - - C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
      "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
      4⤵
      Modifies WinLogon for persistence
      Drops file in Drivers directory
      Checks BIOS information in registry
      Checks computer location settings
      Executes dropped EXE
      Adds Run key to start application
      Enumerates system info in registry
      Modifies registry class
      PID:5824
    - - C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        5⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        Modifies registry class
        
        PID:4120
      - C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        6⤵
        Drops file in Drivers directory
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        Modifies registry class
        
        PID:4424
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        7⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        Modifies registry class
        
        PID:868
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        8⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:744
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        8⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:880
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        8⤵
        System Location Discovery: System Language Discovery
        
        PID:3204
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        9⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2612
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        7⤵
        
        PID:4304
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        8⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:6124
      - C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        6⤵
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Drops file in System32 directory
        Enumerates system info in registry
        Modifies registry class
        
        PID:4756
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        7⤵
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        Modifies registry class
        
        PID:5672
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        8⤵
        Checks BIOS information in registry
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        
        PID:5248
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        8⤵
        
        PID:5944
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        9⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:3772
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        7⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Modifies registry class
        
        PID:3684
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        8⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:4728
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        8⤵
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:532
        
        C:\Windows\SysWOW64\WerFault.exe
        
        C:\Windows\SysWOW64\WerFault.exe -u -p 3684 -s 1940
        8⤵
        Program crash
        
        PID:1476
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        7⤵
        
        PID:5416
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        8⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:5620
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        6⤵
        System Location Discovery: System Language Discovery
        
        PID:3992
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        7⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:208
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        5⤵
        
        PID:4028
      - C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        6⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:4304
  - - C:\Windows\SysWOW64\config\restore\svchost.exe
      "C:\Windows\system32\config\restore\svchost.exe"
      4⤵
      Modifies WinLogon for persistence
      Drops file in Drivers directory
      Checks BIOS information in registry
      Checks computer location settings
      Executes dropped EXE
      Adds Run key to start application
      Drops file in System32 directory
      Checks processor information in registry
      Enumerates system info in registry
      Modifies registry class
      PID:1596
    - - C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        5⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        Modifies registry class
        
        PID:2652
      - C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        6⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Modifies registry class
        
        PID:3552
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        7⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Checks processor information in registry
        Modifies registry class
        
        PID:2868
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        8⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        
        PID:5596
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        8⤵
        
        PID:4708
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        9⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2028
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        7⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        Modifies registry class
        
        PID:384
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        8⤵
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2232
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        8⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:5644
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        8⤵
        System Location Discovery: System Language Discovery
        
        PID:368
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        9⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:4440
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        7⤵
        
        PID:4912
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        8⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:4260
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        6⤵
        
        PID:3236
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        7⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:5628
    - - C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        5⤵
        Drops file in Drivers directory
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Modifies registry class
        
        PID:2360
      - C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        6⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        Modifies registry class
        
        PID:332
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        7⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Enumerates system info in registry
        Modifies registry class
        
        PID:5216
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        8⤵
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:3620
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        8⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:4036
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        8⤵
        System Location Discovery: System Language Discovery
        
        PID:4348
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        9⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:5264
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        7⤵
        System Location Discovery: System Language Discovery
        
        PID:1240
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        8⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:1416
      - C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        6⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Enumerates system info in registry
        Modifies registry class
        
        PID:1612
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        7⤵
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        Modifies registry class
        
        PID:3780
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        8⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks processor information in registry
        
        PID:5816
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        8⤵
        
        PID:2440
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        9⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:3628
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        7⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        Modifies registry class
        
        PID:5904
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        8⤵
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        
        PID:4680
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        8⤵
        Modifies WinLogon for persistence
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:5044
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        8⤵
        
        PID:4488
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        9⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2452
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        7⤵
        
        PID:3948
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        8⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:928
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        6⤵
        
        PID:1656
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        7⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:5028
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:3684
      - C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        6⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:1068
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
      4⤵
      Suspicious use of WriteProcessMemory
      PID:3868
    - - C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        5⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:3320
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:3088
  - - C:\Windows\SysWOW64\PING.EXE
      ping 127.0.0.1 -n 2
      4⤵
      System Network Configuration Discovery: Internet Connection Discovery
      Runs ping.exe
      PID:3436
- C:\Windows\SysWOW64\config\restore\svchost.exe
  "C:\Windows\system32\config\restore\svchost.exe"
  2⤵
  - Drops file in Drivers directory
  - Checks BIOS information in registry
  - Checks computer location settings
  - Executes dropped EXE
  - Adds Run key to start application
  - Drops file in System32 directory
  - Enumerates system info in registry
  - Modifies registry class
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:5140
- - C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
    "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
    3⤵
    - Modifies WinLogon for persistence
    - Drops file in Drivers directory
    - Checks BIOS information in registry
    - Checks computer location settings
    - Executes dropped EXE
    - Adds Run key to start application
    - Drops file in System32 directory
    - Checks processor information in registry
    - Enumerates system info in registry
    - Modifies registry class
    - Suspicious use of WriteProcessMemory
    PID:5092
  - - C:\Windows\SysWOW64\config\restore\svchost.exe
      "C:\Windows\system32\config\restore\svchost.exe"
      4⤵
      Modifies WinLogon for persistence
      Drops file in Drivers directory
      Checks BIOS information in registry
      Checks computer location settings
      Executes dropped EXE
      Adds Run key to start application
      Drops file in System32 directory
      Checks processor information in registry
      Enumerates system info in registry
      Modifies registry class
      PID:868
    - - C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        5⤵
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Checks processor information in registry
        Enumerates system info in registry
        Modifies registry class
        
        PID:1800
      - C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        6⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Modifies registry class
        
        PID:4076
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        7⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks computer location settings
        Executes dropped EXE
        Drops file in System32 directory
        Enumerates system info in registry
        Modifies registry class
        
        PID:5808
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        8⤵
        Checks BIOS information in registry
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:4756
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        8⤵
        
        PID:5984
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        9⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:5244
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        7⤵
        Drops file in Drivers directory
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        Modifies registry class
        
        PID:5820
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        8⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:4608
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        8⤵
        Modifies WinLogon for persistence
        Enumerates system info in registry
        
        PID:5048
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        8⤵
        
        PID:3640
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        9⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:4852
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        7⤵
        System Location Discovery: System Language Discovery
        
        PID:4720
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        8⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:5652
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        6⤵
        System Location Discovery: System Language Discovery
        
        PID:3604
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        7⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:4276
    - - C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        5⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Modifies registry class
        
        PID:5248
      - C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        6⤵
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        Modifies registry class
        
        PID:4676
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        7⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Enumerates system info in registry
        Modifies registry class
        
        PID:5000
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        8⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:3180
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        8⤵
        Drops file in System32 directory
        Checks processor information in registry
        
        PID:4884
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        8⤵
        
        PID:5308
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        9⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2852
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        7⤵
        
        PID:636
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        8⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:4848
      - C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        6⤵
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        Modifies registry class
        
        PID:4712
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        7⤵
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        Modifies registry class
        
        PID:6016
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        8⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        
        PID:4452
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        8⤵
        
        PID:904
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        9⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:4044
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        7⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        Modifies registry class
        
        PID:5408
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        8⤵
        Executes dropped EXE
        Adds Run key to start application
        Enumerates system info in registry
        
        PID:3800
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        8⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        
        PID:3220
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        8⤵
        
        PID:4624
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        9⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2944
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        7⤵
        System Location Discovery: System Language Discovery
        
        PID:1276
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        8⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2932
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        6⤵
        
        PID:4136
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        7⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:1688
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        5⤵
        System Location Discovery: System Language Discovery
        
        PID:6004
      - C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        6⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:3052
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
      4⤵
      Suspicious use of WriteProcessMemory
      PID:1052
    - - C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        5⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:60
- - C:\Windows\SysWOW64\config\restore\svchost.exe
    "C:\Windows\system32\config\restore\svchost.exe"
    3⤵
    - Drops file in Drivers directory
    - Checks BIOS information in registry
    - Checks computer location settings
    - Executes dropped EXE
    - Adds Run key to start application
    - Drops file in System32 directory
    - Modifies registry class
    - Suspicious use of WriteProcessMemory
    PID:2280
  - - C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
      "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
      4⤵
      Modifies WinLogon for persistence
      Drops file in Drivers directory
      Checks BIOS information in registry
      Checks computer location settings
      Executes dropped EXE
      Adds Run key to start application
      Drops file in System32 directory
      Enumerates system info in registry
      Modifies registry class
      PID:5948
    - - C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        5⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Checks processor information in registry
        Enumerates system info in registry
        Modifies registry class
        
        PID:5632
      - C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        6⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:4412
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        7⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        Modifies registry class
        
        PID:5172
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        8⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:5020
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        8⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:5572
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        8⤵
        System Location Discovery: System Language Discovery
        
        PID:4616
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        9⤵
        
        PID:1400
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        9⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:1380
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        7⤵
        
        PID:5640
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        8⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:1224
      - C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        6⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks computer location settings
        Executes dropped EXE
        Checks processor information in registry
        Modifies registry class
        
        PID:1212
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        7⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        Modifies registry class
        
        PID:2028
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        8⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:4588
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        8⤵
        
        PID:1900
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        9⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:4644
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        7⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Enumerates system info in registry
        Modifies registry class
        
        PID:2384
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        8⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:5812
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        8⤵
        Checks BIOS information in registry
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:4076
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        8⤵
        
        PID:2972
        
        C:\Windows\System32\Conhost.exe
        
        \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
        9⤵
        
        PID:2932
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        9⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:4752
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        7⤵
        System Location Discovery: System Language Discovery
        
        PID:2572
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        8⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:3300
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        6⤵
        
        PID:4400
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        7⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:3880
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        5⤵
        
        PID:1348
      - C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        6⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:3620
  - - C:\Windows\SysWOW64\config\restore\svchost.exe
      "C:\Windows\system32\config\restore\svchost.exe"
      4⤵
      Modifies WinLogon for persistence
      Drops file in Drivers directory
      Checks BIOS information in registry
      Checks computer location settings
      Executes dropped EXE
      Adds Run key to start application
      System Location Discovery: System Language Discovery
      Enumerates system info in registry
      Modifies registry class
      PID:4264
    - - C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        5⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        Modifies registry class
        
        PID:5220
      - C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        6⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks computer location settings
        Executes dropped EXE
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        Modifies registry class
        
        PID:5436
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        7⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        Modifies registry class
        
        PID:1932
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        8⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        
        PID:4464
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        8⤵
        
        PID:2768
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        9⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2996
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        7⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Modifies registry class
        
        PID:5456
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        8⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:3200
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        8⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:2128
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        8⤵
        
        PID:1520
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        9⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:5792
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        7⤵
        
        PID:2972
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        8⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:876
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        6⤵
        
        PID:3876
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        7⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:1892
    - - C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        5⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Checks processor information in registry
        Enumerates system info in registry
        Modifies registry class
        
        PID:5996
      - C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        6⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        Modifies registry class
        
        PID:5768
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        7⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        Modifies registry class
        
        PID:1068
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        8⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Executes dropped EXE
        Adds Run key to start application
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        
        PID:2492
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        8⤵
        Modifies WinLogon for persistence
        Adds Run key to start application
        Drops file in System32 directory
        Enumerates system info in registry
        
        PID:3532
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        8⤵
        
        PID:3692
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        9⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:5612
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        7⤵
        
        PID:1400
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        8⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2096
      - C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        6⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        Modifies registry class
        
        PID:2728
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        7⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        System Location Discovery: System Language Discovery
        Enumerates system info in registry
        Modifies registry class
        
        PID:4792
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        8⤵
        Checks BIOS information in registry
        Adds Run key to start application
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1568
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        8⤵
        
        PID:2148
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        9⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:4324
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        7⤵
        Modifies WinLogon for persistence
        Drops file in Drivers directory
        Checks BIOS information in registry
        Checks computer location settings
        Executes dropped EXE
        System Location Discovery: System Language Discovery
        Checks processor information in registry
        Enumerates system info in registry
        Modifies registry class
        
        PID:1368
        
        C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE
        
        "C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE"
        8⤵
        Executes dropped EXE
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:2516
        
        C:\Windows\SysWOW64\config\restore\svchost.exe
        
        "C:\Windows\system32\config\restore\svchost.exe"
        8⤵
        Modifies WinLogon for persistence
        Checks BIOS information in registry
        Adds Run key to start application
        Drops file in System32 directory
        Checks processor information in registry
        Enumerates system info in registry
        
        PID:1768
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        8⤵
        System Location Discovery: System Language Discovery
        
        PID:928
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        9⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:5036
        
        C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        7⤵
        
        PID:4464
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        8⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:1656
      - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        6⤵
        
        PID:2708
        
        C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        7⤵
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:2496
    - - C:\Windows\SysWOW64\cmd.exe
        
        C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
        5⤵
        
        PID:5640
      - C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        6⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:5644
  - - C:\Windows\SysWOW64\cmd.exe
      C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
      4⤵
      Suspicious use of WriteProcessMemory
      PID:1568
    - - C:\Windows\SysWOW64\PING.EXE
        
        ping 127.0.0.1 -n 2
        5⤵
        System Location Discovery: System Language Discovery
        System Network Configuration Discovery: Internet Connection Discovery
        Runs ping.exe
        
        PID:3080
- - C:\Windows\SysWOW64\cmd.exe
    C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
    3⤵
    - Suspicious use of WriteProcessMemory
    PID:5992
  - - C:\Windows\SysWOW64\PING.EXE
      ping 127.0.0.1 -n 2
      4⤵
      System Network Configuration Discovery: Internet Connection Discovery
      Runs ping.exe
      PID:3840
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat" "
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:5348
- - C:\Windows\SysWOW64\PING.EXE
    ping 127.0.0.1 -n 2
    3⤵
    - System Network Configuration Discovery: Internet Connection Discovery
    - Runs ping.exe
    PID:4388

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 420 -p 3684 -ip 3684
1⤵
PID:2776

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Defense Evasion

Modify Registry

T1112

Credential Access

Discovery

Query Registry

T1012

Remote System Discovery

T1018

System Information Discovery

T1082

System Location Discovery

T1614

System Language Discovery

T1614.001

System Network Configuration Discovery

T1016

Internet Connection Discovery

T1016.001

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Users\Admin\AppData\Local\Temp\WMPLAYER.EXE

Filesize
715KB

MD5
97abfefbeb481b79bad96b34af93a386

SHA1
236f09658d01da2c07d64408412c1d27295ee74d

SHA256
59e319b1ac09265709772f56ea6c2819f264dc1e6b2bdfb45a0fb59296af732a

SHA512
571d536e58c247fee7dd5e1c0422ffbda5d8e9aeee000b7a97576da14a9376de3705ad2c99115b075291bc74f412b03ad34649721839bceaa251e0ef420a2323

Download Submit
C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat

Filesize
119B

MD5
16f6e52a697e14d5a319adebcf0ad387

SHA1
ba0558de3fc67685d68217b46a2c6dab5f9e1b34

SHA256
61c3e2fd6a74187f2ce826250371358c007538f4f02cd3f4dd9df13d9acd10cf

SHA512
3b033aea52c70c8a2438d949504093b84fa9ce25429062a51425e0dccab84c20fd53ffe44d4519f5e2c4261da7fa782e51669f9d10da4a5b034024d81ddfdb00

Download Submit
C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat

Filesize
81B

MD5
16af793c282da98f39b1c26f23c22c34

SHA1
175a3eaa35d05554c76582b5a1e38931992b83ac

SHA256
b1972633df6d17db76701aa01604514e34a730f0e88df8b17d9edaff19017b5d

SHA512
602fd1dc43ca0f123be69002b6cd8fa65d4dbc2643d78f31d2fed2d8946e570cf6ea6dfa8f05e7a8cb4bf0a4653a79475c71b7559539e3dbb29b58f0f69e79ad

Download Submit
C:\Users\Admin\AppData\Local\Temp\_dcsc_.bat

Filesize
81B

MD5
78f856d95103a3d72678e375b074a9ad

SHA1
2bcde142a0b3fa62285802aabab14b20bf5e327f

SHA256
767349adbd9ed66ee2c1a3792c71d4b9ac4c96e78c1e0ec2b410378a1ebc163c

SHA512
c76892e205eabfa6366b561d8b8ac6ee79175eb915aafa0132907402f8c1d35646175dd04cd030f53e59bea1d86f14e3f37d8dd56649b826d7bbd6372e3c20dc

Download Submit
C:\Windows\SysWOW64\config\restore\svchost.exe

Filesize
916KB

MD5
82d21484a9b96ff02e47ad1dfbe8a8bd

SHA1
7dd052f064c3ee8c6e74f4ac2e3469a41bc927a3

SHA256
5a6d29d55afa18fc6ff4818877f74ab7d5182887a51c6e23b755c552a8d3440d

SHA512
7bb1bdc4780b947612963060c2895c3f7d43ed9e1d37fb47fcc46d625c0ff53c2b7b0c9918b1b0410185575347749059a0031248b3fb85d8a6ec7ceb70908b1d

Download Submit
C:\Windows\System32\drivers\etc\hosts

Filesize
1KB

MD5
b59ebf23502d726fe4a7a9578c5a5250

SHA1
7174d67c17156bcdf4e35e074d03b7ddeaed3645

SHA256
355c468238826fba42a4edc35ecded0093cfe494d9577c295f57c09fa372aac4

SHA512
09cfaf17276e0039146e8b575c7c3fa54ed0be8509a8a1a1ddd6bbf215b7792e4a202d6f0e89fd43433a16098e285173ddbe4e114a267ae3dd9936d70f45a6d5

Download Submit
C:\Windows\System32\drivers\etc\hosts

Filesize
1KB

MD5
f3e15b2c185a566709391ea3b3e850dc

SHA1
04c61fab87a83652dd172aa1ea32a38657256165

SHA256
eccc3727feab42c77db0e830e634fc6aceca4e96e14722b682aa07d9b77ba0e8

SHA512
6ba088bdb7d90ad850288869615322262edda6f7a33e18f8521626503310b7e33ef6d98dea1f1abf5ff58c936fcc70c01f36d0faa7610b8e0aee697831f0abc1

Download Submit
C:\Windows\system32\drivers\etc\hosts

Filesize
1KB

MD5
924a92cb13e489f2447ed6e78f69273e

SHA1
e85f0fcd6123fe8c126cc04aa3a0277a61545497

SHA256
254edb5bf16f8768bfa2a5ab5ed26b0169ca6b8900fc6ae14fd8e7fde5a9717b

SHA512
c1eaa6199815b4565375ee382f50a6c81d95a8d118ecae16480748d94b12f9014d7836ed1672376010965b79381baab14184cfd21c9d9d8d65fa5a32240a65cd

Download Submit
C:\Windows\system32\drivers\etc\hosts

Filesize
1KB

MD5
2feb0b9b62c8bb2c83294067c051d761

SHA1
33b5d7618071198e1a7ebf5eb0e4a2759671161b

SHA256
7bec8350bcd59a80ec3bd017ac1f5d5bd6dbd9609361ec13425aa803c54ded37

SHA512
6272b4656c7fcf0aec2bc352b9787aa1528597e1ce1cb4864f7d9133f0eb7919bfd722e5d9b0b2028a7becedd8cd95715548f42dad8287758041137400ed7552

Download Submit
C:\Windows\system32\drivers\etc\hosts

Filesize
1KB

MD5
a11585c08e27eba0290195caea3d0bd8

SHA1
16787f1ea54f2293b023e0a3e666813146d9a00f

SHA256
2869946c4f846ff50e06143b003504a9db5899ba682dad6230fbe2a00ae03960

SHA512
1eaf78c5be48c4e8ff173454cee610e103449b6c7f04ad8c3709e190f6e79b5f0d42ad388476e6f82a91dc70161573749cd3d5afd76be83924aa6568ba80541c

Download Submit
C:\Windows\system32\drivers\etc\hosts

Filesize
1KB

MD5
3a0efd9c8156b5d74cdb9bc01f29d206

SHA1
0a6a7e5d1ac847c02ae83252962cd6a5aeedefa0

SHA256
a4143ea00dd8fc66df4f451213e6069c7c274b3be4400e0261eec1769b313fc2

SHA512
fac83eb679e372f844d3e6f979392c9f5550430909c65d3120b12eaf9f6ee2af838107959e8083a2b58b6f7b52b1af2229cc55803d2d5b40166d81f001800c1e

Download Submit
C:\Windows\system32\drivers\etc\hosts

Filesize
1KB

MD5
efa2e9471f52262db5b995f72cfc235d

SHA1
66a3186d7c291e2a811a4c5e3b2f712b12ec325d

SHA256
5e19be45b7f354ad90345cef8673c0fdd42deaa44be10632bddcfb3b47276b79

SHA512
47d95199ba6d5b71108f89c3c24157c646d133f5bfb6d7e04e6151722a71ad107f70885e26423087ce259d01e2aeac60557a87258792bded2551ba1057cc1488

Download Submit
memory/332-259-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/744-396-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/868-180-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/868-258-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/868-184-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/868-296-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/1212-266-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/1212-283-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/1596-182-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/1596-178-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/1612-280-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/1612-240-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/1800-224-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/1932-379-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/2028-355-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/2232-394-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/2280-140-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2280-117-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2360-217-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2492-399-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/2496-138-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2496-109-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2516-391-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/2652-225-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/2728-285-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2728-272-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2728-233-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/2868-368-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/3180-390-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/3200-395-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/3552-264-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/3552-276-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/3620-393-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/3684-385-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/3780-372-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/3800-398-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/4076-289-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/4076-257-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/4120-215-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/4120-239-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/4264-186-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/4264-179-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/4412-274-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/4424-262-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/4608-397-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/4616-112-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/4676-260-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/4680-400-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/4712-256-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/4712-295-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/4728-392-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/4756-273-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/4756-293-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/4792-326-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/5000-297-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/5092-141-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/5140-120-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/5172-306-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/5216-298-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/5220-222-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/5248-216-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/5436-241-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/5436-292-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/5632-159-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/5632-237-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/5632-211-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/5672-373-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/5768-281-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/5784-27-0x0000000002900000-0x0000000002901000-memory.dmp

Filesize
4KB

Download
memory/5784-38-0x0000000002930000-0x0000000002931000-memory.dmp

Filesize
4KB

Download
memory/5784-1-0x0000000002760000-0x00000000027C0000-memory.dmp

Filesize
384KB

Download
memory/5784-12-0x0000000003850000-0x0000000003851000-memory.dmp

Filesize
4KB

Download
memory/5784-29-0x0000000003840000-0x0000000003841000-memory.dmp

Filesize
4KB

Download
memory/5784-14-0x0000000003850000-0x0000000003851000-memory.dmp

Filesize
4KB

Download
memory/5784-53-0x0000000003840000-0x0000000003841000-memory.dmp

Filesize
4KB

Download
memory/5784-47-0x0000000003840000-0x0000000003843000-memory.dmp

Filesize
12KB

Download
memory/5784-7-0x0000000002730000-0x0000000002731000-memory.dmp

Filesize
4KB

Download
memory/5784-6-0x00000000028E0000-0x00000000028E1000-memory.dmp

Filesize
4KB

Download
memory/5784-5-0x00000000023A0000-0x00000000023A1000-memory.dmp

Filesize
4KB

Download
memory/5784-48-0x0000000002370000-0x0000000002371000-memory.dmp

Filesize
4KB

Download
memory/5784-49-0x0000000002390000-0x0000000002391000-memory.dmp

Filesize
4KB

Download
memory/5784-16-0x0000000003850000-0x0000000003851000-memory.dmp

Filesize
4KB

Download
memory/5784-46-0x0000000002760000-0x00000000027C0000-memory.dmp

Filesize
384KB

Download
memory/5784-45-0x0000000003840000-0x0000000003841000-memory.dmp

Filesize
4KB

Download
memory/5784-17-0x0000000003850000-0x0000000003851000-memory.dmp

Filesize
4KB

Download
memory/5784-18-0x0000000003850000-0x0000000003851000-memory.dmp

Filesize
4KB

Download
memory/5784-19-0x0000000003850000-0x0000000003851000-memory.dmp

Filesize
4KB

Download
memory/5784-20-0x0000000003850000-0x0000000003851000-memory.dmp

Filesize
4KB

Download
memory/5784-44-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/5784-21-0x0000000003850000-0x0000000003851000-memory.dmp

Filesize
4KB

Download
memory/5784-22-0x0000000003850000-0x0000000003851000-memory.dmp

Filesize
4KB

Download
memory/5784-23-0x0000000003850000-0x0000000003851000-memory.dmp

Filesize
4KB

Download
memory/5784-24-0x0000000002910000-0x0000000002911000-memory.dmp

Filesize
4KB

Download
memory/5784-25-0x0000000002970000-0x0000000002971000-memory.dmp

Filesize
4KB

Download
memory/5784-100-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/5784-26-0x0000000002940000-0x0000000002941000-memory.dmp

Filesize
4KB

Download
memory/5784-52-0x0000000003850000-0x0000000003851000-memory.dmp

Filesize
4KB

Download
memory/5784-99-0x0000000002760000-0x00000000027C0000-memory.dmp

Filesize
384KB

Download
memory/5784-13-0x0000000003850000-0x0000000003851000-memory.dmp

Filesize
4KB

Download
memory/5784-30-0x00000000029E0000-0x00000000029E1000-memory.dmp

Filesize
4KB

Download
memory/5784-31-0x00000000029D0000-0x00000000029D1000-memory.dmp

Filesize
4KB

Download
memory/5784-32-0x0000000002A00000-0x0000000002A01000-memory.dmp

Filesize
4KB

Download
memory/5784-33-0x0000000003850000-0x0000000003851000-memory.dmp

Filesize
4KB

Download
memory/5784-34-0x0000000002A20000-0x0000000002A21000-memory.dmp

Filesize
4KB

Download
memory/5784-35-0x0000000003850000-0x0000000003851000-memory.dmp

Filesize
4KB

Download
memory/5784-36-0x0000000003850000-0x0000000003851000-memory.dmp

Filesize
4KB

Download
memory/5784-37-0x0000000003840000-0x0000000003841000-memory.dmp

Filesize
4KB

Download
memory/5784-28-0x0000000002980000-0x0000000002981000-memory.dmp

Filesize
4KB

Download
memory/5784-39-0x0000000003840000-0x0000000003841000-memory.dmp

Filesize
4KB

Download
memory/5784-4-0x00000000028C0000-0x00000000028C1000-memory.dmp

Filesize
4KB

Download
memory/5784-40-0x0000000002920000-0x0000000002921000-memory.dmp

Filesize
4KB

Download
memory/5784-0-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/5784-41-0x00000000029B0000-0x00000000029B1000-memory.dmp

Filesize
4KB

Download
memory/5784-42-0x0000000003850000-0x0000000003851000-memory.dmp

Filesize
4KB

Download
memory/5784-3-0x0000000002700000-0x0000000002701000-memory.dmp

Filesize
4KB

Download
memory/5784-43-0x0000000003850000-0x0000000003851000-memory.dmp

Filesize
4KB

Download
memory/5784-15-0x0000000003850000-0x0000000003851000-memory.dmp

Filesize
4KB

Download
memory/5784-10-0x0000000003850000-0x0000000003851000-memory.dmp

Filesize
4KB

Download
memory/5784-11-0x0000000002750000-0x0000000002751000-memory.dmp

Filesize
4KB

Download
memory/5784-8-0x00000000028D0000-0x00000000028D1000-memory.dmp

Filesize
4KB

Download
memory/5784-9-0x0000000003850000-0x0000000003851000-memory.dmp

Filesize
4KB

Download
memory/5784-2-0x0000000002710000-0x0000000002711000-memory.dmp

Filesize
4KB

Download
memory/5808-363-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/5824-167-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/5948-161-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download
memory/5996-235-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/5996-218-0x0000000000400000-0x00000000005C8000-memory.dmp

Filesize
1.8MB

Download
memory/6016-375-0x0000000000400000-0x00000000004C1000-memory.dmp

Filesize
772KB

Download

Analysis

Sharing

General

Malware Config

Extracted

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads