darkcomet | 59e67f556f5ab4550c7d64d98b7f36c3d8b802a5063ad54b5ac92aa0b8ec8200

Analysis

max time kernel
37s
max time network
121s
platform
windows7_x64
resource
win7-20240611-en
resource tags

arch:x64arch:x86image:win7-20240611-enlocale:en-usos:windows7-x64system
submitted
26-06-2024 19:44

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe
Size

817KB
MD5

133599b578dae8bb9183cabf8bd938df
SHA1

95b1b4ae27f70dc7d5353279a89aedf4e433d1c2
SHA256

59e67f556f5ab4550c7d64d98b7f36c3d8b802a5063ad54b5ac92aa0b8ec8200
SHA512

095d914b943d13938af9366bce4b7272887c83d8d128415a884f30237cfcb689c86d23d6d4222814123f3722f4943f72655afc3ee41db8177c94999d9df31ad6
SSDEEP

24576:90QRWoJEfg0oChGdJQbjPbNW5tYeP+GFjBKb:aQRV2o3MPY5AF

Score

10^/10

darkcomet guest17 evasion persistence rat trojan

Malware Config

Extracted

Family

darkcomet

Botnet

Guest17

yahoo420.zapto.org:9031

Mutex

DC_MUTEX-K9KK91N

Attributes

InstallPath
svchost.exe
gencode
AzFwA3PAdR1R
install
true
offline_keylogger
true
persistence
true
reg_key
svchost

Signatures

Darkcomet
DarkComet is a remote access trojan (RAT) developed by Jean-Pierre Lesueur.
trojan rat darkcomet

Modifies WinLogon for persistence 2 TTPs 64 IoCs

persistence

Winlogon Helper DLL

T1547.004

Modify Registry

T1112

Processes:

description	ioc	process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit = "C:\\Windows\\system32\\userinit.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe,C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"

Sets file to hidden 1 TTPs 64 IoCs

Modifies file attributes to stop it showing in Explorer etc.

evasion

Hidden Files and Directories

T1564.001

Processes:

attrib.exeattrib.exeattrib.exeattrib.exeattrib.exeattrib.exeattrib.exeattrib.exeattrib.exeattrib.exeattrib.exeattrib.exeattrib.exeattrib.exeattrib.exeattrib.exeattrib.exeattrib.exeattrib.exeattrib.exeattrib.exe

pid	process
20156
30532
31232
14564
20352
12044
14820
18744
20300
19136
4180	attrib.exe
8732	attrib.exe
17616
18056
24716
25956
7160	attrib.exe
6816	attrib.exe
29220
6640	attrib.exe
7724
21372
21344
29896
9908
9088
13700
9196	attrib.exe
12420
13768
25452
4036	attrib.exe
13240
5176	attrib.exe
12568
3896	attrib.exe
29848
5664	attrib.exe
8388	attrib.exe
6492	attrib.exe
16592
21804
22100
3900	attrib.exe
6044	attrib.exe
29900
11748
17100
13588
19160
21124
20664
22488
2660	attrib.exe
6376	attrib.exe
12552
6020	attrib.exe
3228	attrib.exe
13188
15540
17676
9748	attrib.exe
10572	attrib.exe
4496	attrib.exe

Executes dropped EXE 64 IoCs

Processes:

svchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exe

pid	process
3052	svchost.exe
2732	svchost.exe
2112	svchost.exe
1252	svchost.exe
2888	svchost.exe
1776	svchost.exe
1692	svchost.exe
2372	svchost.exe
1524	svchost.exe
2728	svchost.exe
2444	svchost.exe
2904	svchost.exe
1952	svchost.exe
2972	svchost.exe
1728	svchost.exe
2260	svchost.exe
628	svchost.exe
1412	svchost.exe
1404	svchost.exe
3132	svchost.exe
3404	svchost.exe
3512	svchost.exe
3728	svchost.exe
3832	svchost.exe
3972	svchost.exe
3160	svchost.exe
2072	svchost.exe
3524	svchost.exe
3820	svchost.exe
2280	svchost.exe
3508	svchost.exe
3748	svchost.exe
1996	svchost.exe
1180	svchost.exe
4100	svchost.exe
4332	svchost.exe
4440	svchost.exe
4680	svchost.exe
4776	svchost.exe
4988	svchost.exe
5096	svchost.exe
4308	svchost.exe
4456	svchost.exe
4816	svchost.exe
5024	svchost.exe
4700	svchost.exe
4456	svchost.exe
4648	svchost.exe
4776	svchost.exe
1272	svchost.exe
1876	svchost.exe
5236	svchost.exe
5348	svchost.exe
5560	svchost.exe
5660	svchost.exe
5808	svchost.exe
6044	svchost.exe
5160	svchost.exe
1740	svchost.exe
5592	svchost.exe
5708	svchost.exe
6080	svchost.exe
4864	svchost.exe
4440	svchost.exe

Loads dropped DLL 64 IoCs

Processes:

133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exe

pid	process
2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe
2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe
3052	svchost.exe
3052	svchost.exe
2732	svchost.exe
2732	svchost.exe
2112	svchost.exe
2112	svchost.exe
1252	svchost.exe
1252	svchost.exe
2888	svchost.exe
2888	svchost.exe
1776	svchost.exe
1776	svchost.exe
1692	svchost.exe
1692	svchost.exe
2372	svchost.exe
2372	svchost.exe
1524	svchost.exe
1524	svchost.exe
2728	svchost.exe
2728	svchost.exe
2444	svchost.exe
2444	svchost.exe
2904	svchost.exe
2904	svchost.exe
1952	svchost.exe
1952	svchost.exe
2972	svchost.exe
2972	svchost.exe
1728	svchost.exe
1728	svchost.exe
2260	svchost.exe
2260	svchost.exe
628	svchost.exe
628	svchost.exe
1412	svchost.exe
1412	svchost.exe
1404	svchost.exe
1404	svchost.exe
3132	svchost.exe
3132	svchost.exe
3404	svchost.exe
3404	svchost.exe
3512	svchost.exe
3512	svchost.exe
3728	svchost.exe
3728	svchost.exe
3832	svchost.exe
3832	svchost.exe
3972	svchost.exe
3972	svchost.exe
3160	svchost.exe
3160	svchost.exe
2072	svchost.exe
2072	svchost.exe
3524	svchost.exe
3524	svchost.exe
3820	svchost.exe
3820	svchost.exe
2280	svchost.exe
2280	svchost.exe
3508	svchost.exe
3508	svchost.exe

Adds Run key to start application 2 TTPs 64 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

Processes:

description	ioc	process
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"
Set value (str)	\REGISTRY\USER\S-1-5-21-1340930862-1405011213-2821322012-1000\Software\Microsoft\Windows\CurrentVersion\Run\svchost = "C:\\Windows\\system32\\AzFwA3PAdR1R\\svchost.exe"	svchost.exe

Drops file in System32 directory 64 IoCs

Processes:

attrib.exeattrib.exeattrib.exesvchost.exeattrib.exeattrib.exesvchost.exesvchost.exesvchost.exesvchost.exeattrib.exeattrib.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exeattrib.exesvchost.exeattrib.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exesvchost.exeattrib.exesvchost.exesvchost.exesvchost.exeattrib.exeattrib.exeattrib.exesvchost.exeattrib.exesvchost.exeattrib.exe

description	ioc	process
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe	attrib.exe
File created	C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R	attrib.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R	attrib.exe
File created	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R	attrib.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
File created	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R	attrib.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R	attrib.exe
File created	C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
File created	C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
File created	C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
File created	C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe	svchost.exe
File created	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
File created	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R	attrib.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\
File created	C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\	svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe	attrib.exe
File created	C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe	attrib.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe	attrib.exe
File created	C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe	attrib.exe
File created	C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe	svchost.exe
File opened for modification	C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe	attrib.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Runs ping.exe 1 TTPs 64 IoCs

Remote System Discovery

T1018

Processes:

PING.EXEPING.EXEPING.EXEPING.EXEPING.EXEPING.EXEPING.EXEPING.EXEPING.EXEPING.EXEPING.EXEPING.EXEPING.EXEPING.EXE

pid	process
27176
31400
12940
21664
25248
26060
26968
11748
25784
8812
13120
13548
25636
23376
9732	PING.EXE
12244
16100
18556
21704
10444	PING.EXE
13320
30880
15212
26560
2416	PING.EXE
12044
21160
24540
24972
18916
14572
20836
26656
3944	PING.EXE
6692	PING.EXE
8396	PING.EXE
7044
25732
13408
17396
19356
30868
22592
27484
30668
6028	PING.EXE
7388	PING.EXE
12744
3864	PING.EXE
6196	PING.EXE
13768
17296
4008	PING.EXE
22864
27468
4640	PING.EXE
17432
18492
18716
20944
1996	PING.EXE
7528	PING.EXE
15800
17948

Suspicious use of AdjustPrivilegeToken 64 IoCs

Processes:

133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exesvchost.exesvchost.exe

description	pid	process
Token: SeIncreaseQuotaPrivilege	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe
Token: SeSecurityPrivilege	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe
Token: SeTakeOwnershipPrivilege	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe
Token: SeLoadDriverPrivilege	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe
Token: SeSystemProfilePrivilege	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe
Token: SeSystemtimePrivilege	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe
Token: SeProfSingleProcessPrivilege	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe
Token: SeIncBasePriorityPrivilege	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe
Token: SeCreatePagefilePrivilege	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe
Token: SeBackupPrivilege	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe
Token: SeRestorePrivilege	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe
Token: SeShutdownPrivilege	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe
Token: SeDebugPrivilege	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe
Token: SeSystemEnvironmentPrivilege	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe
Token: SeChangeNotifyPrivilege	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe
Token: SeRemoteShutdownPrivilege	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe
Token: SeUndockPrivilege	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe
Token: SeManageVolumePrivilege	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe
Token: SeImpersonatePrivilege	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe
Token: SeCreateGlobalPrivilege	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe
Token: 33	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe
Token: 34	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe
Token: 35	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe
Token: SeIncreaseQuotaPrivilege	3052	svchost.exe
Token: SeSecurityPrivilege	3052	svchost.exe
Token: SeTakeOwnershipPrivilege	3052	svchost.exe
Token: SeLoadDriverPrivilege	3052	svchost.exe
Token: SeSystemProfilePrivilege	3052	svchost.exe
Token: SeSystemtimePrivilege	3052	svchost.exe
Token: SeProfSingleProcessPrivilege	3052	svchost.exe
Token: SeIncBasePriorityPrivilege	3052	svchost.exe
Token: SeCreatePagefilePrivilege	3052	svchost.exe
Token: SeBackupPrivilege	3052	svchost.exe
Token: SeRestorePrivilege	3052	svchost.exe
Token: SeShutdownPrivilege	3052	svchost.exe
Token: SeDebugPrivilege	3052	svchost.exe
Token: SeSystemEnvironmentPrivilege	3052	svchost.exe
Token: SeChangeNotifyPrivilege	3052	svchost.exe
Token: SeRemoteShutdownPrivilege	3052	svchost.exe
Token: SeUndockPrivilege	3052	svchost.exe
Token: SeManageVolumePrivilege	3052	svchost.exe
Token: SeImpersonatePrivilege	3052	svchost.exe
Token: SeCreateGlobalPrivilege	3052	svchost.exe
Token: 33	3052	svchost.exe
Token: 34	3052	svchost.exe
Token: 35	3052	svchost.exe
Token: SeIncreaseQuotaPrivilege	2732	svchost.exe
Token: SeSecurityPrivilege	2732	svchost.exe
Token: SeTakeOwnershipPrivilege	2732	svchost.exe
Token: SeLoadDriverPrivilege	2732	svchost.exe
Token: SeSystemProfilePrivilege	2732	svchost.exe
Token: SeSystemtimePrivilege	2732	svchost.exe
Token: SeProfSingleProcessPrivilege	2732	svchost.exe
Token: SeIncBasePriorityPrivilege	2732	svchost.exe
Token: SeCreatePagefilePrivilege	2732	svchost.exe
Token: SeBackupPrivilege	2732	svchost.exe
Token: SeRestorePrivilege	2732	svchost.exe
Token: SeShutdownPrivilege	2732	svchost.exe
Token: SeDebugPrivilege	2732	svchost.exe
Token: SeSystemEnvironmentPrivilege	2732	svchost.exe
Token: SeChangeNotifyPrivilege	2732	svchost.exe
Token: SeRemoteShutdownPrivilege	2732	svchost.exe
Token: SeUndockPrivilege	2732	svchost.exe
Token: SeManageVolumePrivilege	2732	svchost.exe

Suspicious use of WriteProcessMemory 64 IoCs

Processes:

133599b578dae8bb9183cabf8bd938df_JaffaCakes118.execmd.execmd.exesvchost.execmd.execmd.execmd.execmd.exesvchost.exe

description	pid	process	target process
PID 2976 wrote to memory of 1652	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe	cmd.exe
PID 2976 wrote to memory of 1652	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe	cmd.exe
PID 2976 wrote to memory of 1652	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe	cmd.exe
PID 2976 wrote to memory of 1652	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe	cmd.exe
PID 2976 wrote to memory of 1644	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe	cmd.exe
PID 2976 wrote to memory of 1644	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe	cmd.exe
PID 2976 wrote to memory of 1644	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe	cmd.exe
PID 2976 wrote to memory of 1644	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe	cmd.exe
PID 2976 wrote to memory of 1980	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe	cmd.exe
PID 2976 wrote to memory of 1980	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe	cmd.exe
PID 2976 wrote to memory of 1980	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe	cmd.exe
PID 2976 wrote to memory of 1980	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe	cmd.exe
PID 2976 wrote to memory of 3052	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe	svchost.exe
PID 2976 wrote to memory of 3052	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe	svchost.exe
PID 2976 wrote to memory of 3052	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe	svchost.exe
PID 2976 wrote to memory of 3052	2976	133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe	svchost.exe
PID 1652 wrote to memory of 2660	1652	cmd.exe	attrib.exe
PID 1652 wrote to memory of 2660	1652	cmd.exe	attrib.exe
PID 1652 wrote to memory of 2660	1652	cmd.exe	attrib.exe
PID 1652 wrote to memory of 2660	1652	cmd.exe	attrib.exe
PID 1644 wrote to memory of 2664	1644	cmd.exe	attrib.exe
PID 1644 wrote to memory of 2664	1644	cmd.exe	attrib.exe
PID 1644 wrote to memory of 2664	1644	cmd.exe	attrib.exe
PID 1644 wrote to memory of 2664	1644	cmd.exe	attrib.exe
PID 3052 wrote to memory of 2656	3052	svchost.exe	cmd.exe
PID 3052 wrote to memory of 2656	3052	svchost.exe	cmd.exe
PID 3052 wrote to memory of 2656	3052	svchost.exe	cmd.exe
PID 3052 wrote to memory of 2656	3052	svchost.exe	cmd.exe
PID 3052 wrote to memory of 2604	3052	svchost.exe	cmd.exe
PID 3052 wrote to memory of 2604	3052	svchost.exe	cmd.exe
PID 3052 wrote to memory of 2604	3052	svchost.exe	cmd.exe
PID 3052 wrote to memory of 2604	3052	svchost.exe	cmd.exe
PID 3052 wrote to memory of 1036	3052	svchost.exe	cmd.exe
PID 3052 wrote to memory of 1036	3052	svchost.exe	cmd.exe
PID 3052 wrote to memory of 1036	3052	svchost.exe	cmd.exe
PID 3052 wrote to memory of 1036	3052	svchost.exe	cmd.exe
PID 3052 wrote to memory of 2732	3052	svchost.exe	svchost.exe
PID 3052 wrote to memory of 2732	3052	svchost.exe	svchost.exe
PID 3052 wrote to memory of 2732	3052	svchost.exe	svchost.exe
PID 3052 wrote to memory of 2732	3052	svchost.exe	svchost.exe
PID 1980 wrote to memory of 2724	1980	cmd.exe	PING.EXE
PID 1980 wrote to memory of 2724	1980	cmd.exe	PING.EXE
PID 1980 wrote to memory of 2724	1980	cmd.exe	PING.EXE
PID 1980 wrote to memory of 2724	1980	cmd.exe	PING.EXE
PID 2656 wrote to memory of 2380	2656	cmd.exe	attrib.exe
PID 2656 wrote to memory of 2380	2656	cmd.exe	attrib.exe
PID 2656 wrote to memory of 2380	2656	cmd.exe	attrib.exe
PID 2656 wrote to memory of 2380	2656	cmd.exe	attrib.exe
PID 2604 wrote to memory of 2520	2604	cmd.exe	attrib.exe
PID 2604 wrote to memory of 2520	2604	cmd.exe	attrib.exe
PID 2604 wrote to memory of 2520	2604	cmd.exe	attrib.exe
PID 2604 wrote to memory of 2520	2604	cmd.exe	attrib.exe
PID 1036 wrote to memory of 2460	1036	cmd.exe	PING.EXE
PID 1036 wrote to memory of 2460	1036	cmd.exe	PING.EXE
PID 1036 wrote to memory of 2460	1036	cmd.exe	PING.EXE
PID 1036 wrote to memory of 2460	1036	cmd.exe	PING.EXE
PID 2732 wrote to memory of 2524	2732	svchost.exe	cmd.exe
PID 2732 wrote to memory of 2524	2732	svchost.exe	cmd.exe
PID 2732 wrote to memory of 2524	2732	svchost.exe	cmd.exe
PID 2732 wrote to memory of 2524	2732	svchost.exe	cmd.exe
PID 2732 wrote to memory of 2536	2732	svchost.exe	cmd.exe
PID 2732 wrote to memory of 2536	2732	svchost.exe	cmd.exe
PID 2732 wrote to memory of 2536	2732	svchost.exe	cmd.exe
PID 2732 wrote to memory of 2536	2732	svchost.exe	cmd.exe

Views/modifies file attributes 1 TTPs 64 IoCs

evasion

Hidden Files and Directories

T1564.001

Processes:

attrib.exeattrib.exeattrib.exeattrib.exeattrib.exeattrib.exeattrib.exeattrib.exeattrib.exeattrib.exeattrib.exeattrib.exeattrib.exeattrib.exeattrib.exeattrib.exeattrib.exe

pid	process
2624	attrib.exe
3228	attrib.exe
10220
19684
14400
27388
31640
2348	attrib.exe
6848	attrib.exe
11748
15736
24552
8388	attrib.exe
11384
13048
13652
14448
20328
28548
27160
4648	attrib.exe
2660	attrib.exe
9524	attrib.exe
9468
21596
22144
28664
4632	attrib.exe
7180	attrib.exe
11864
18376
10988
23848
24372
29708
6640	attrib.exe
28112
22100
22328
25180
3160	attrib.exe
9392	attrib.exe
17328
14552
18056
18720
30068
12908
21048
27752
852	attrib.exe
10188	attrib.exe
15168
27364
8412
13540
21220
23672
26092
7984	attrib.exe
8612	attrib.exe
17780
19628
23000

C:\Users\Admin\AppData\Local\Temp\133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe
"C:\Users\Admin\AppData\Local\Temp\133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe"
1⤵
- Loads dropped DLL
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:2976

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Users\Admin\AppData\Local\Temp\133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe" +s +h
2⤵
- Suspicious use of WriteProcessMemory
PID:1652

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Users\Admin\AppData\Local\Temp\133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe" +s +h
3⤵
PID:2660

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Users\Admin\AppData\Local\Temp" +s +h
2⤵
- Suspicious use of WriteProcessMemory
PID:1644

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Users\Admin\AppData\Local\Temp" +s +h
3⤵
PID:2664

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Users\Admin\AppData\Local\Temp\133599b578dae8bb9183cabf8bd938df_JaffaCakes118.exe"
2⤵
- Suspicious use of WriteProcessMemory
PID:1980

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
3⤵
PID:2724

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
2⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:3052

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
3⤵
- Suspicious use of WriteProcessMemory
PID:2656

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
4⤵
PID:2380

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
3⤵
- Suspicious use of WriteProcessMemory
PID:2604

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
4⤵
PID:2520

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
3⤵
- Suspicious use of WriteProcessMemory
PID:1036

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
4⤵
PID:2460

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Drops file in System32 directory
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:2732

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
4⤵
PID:2524

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
5⤵
PID:1860

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
4⤵
PID:2536

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
5⤵
PID:1520

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
4⤵
PID:2580

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
5⤵
PID:1564

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
4⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
- Drops file in System32 directory
PID:2112

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
5⤵
PID:1880

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
6⤵
PID:844

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
5⤵
PID:1616

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
6⤵
- Views/modifies file attributes
PID:852

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
5⤵
PID:1572

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
6⤵
PID:1368

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
5⤵
- Executes dropped EXE
- Loads dropped DLL
PID:1252

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
6⤵
PID:760

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
7⤵
PID:2304

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
6⤵
PID:536

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
7⤵
PID:1412

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
6⤵
PID:772

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
7⤵
PID:556

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
6⤵
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
PID:2888

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
7⤵
PID:576

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
8⤵
PID:1180

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
7⤵
PID:652

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
8⤵
PID:1468

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
7⤵
PID:1396

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
8⤵
PID:2100

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
7⤵
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
PID:1776

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
8⤵
PID:2052

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
9⤵
PID:2076

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
8⤵
PID:1832

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
9⤵
PID:1236

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
8⤵
PID:324

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
9⤵
PID:328

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
8⤵
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
PID:1692

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
9⤵
PID:908

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
10⤵
PID:2240

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
9⤵
PID:636

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
10⤵
PID:1940

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
9⤵
PID:1976

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
10⤵
- Runs ping.exe
PID:1996

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
9⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
PID:2372

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
10⤵
PID:2136

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
11⤵
PID:2600

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
10⤵
PID:1920

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
11⤵
- Drops file in System32 directory
- Views/modifies file attributes
PID:2624

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
10⤵
PID:2984

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
11⤵
PID:2672

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
10⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
PID:1524

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
11⤵
PID:2696

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
12⤵
PID:1916

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
11⤵
PID:2024

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
12⤵
- Views/modifies file attributes
PID:2348

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
11⤵
PID:2564

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
12⤵
PID:400

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
11⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2728

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
12⤵
PID:2692

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
13⤵
PID:1120

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
12⤵
PID:2480

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
13⤵
PID:1684

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
12⤵
PID:2924

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
13⤵
PID:844

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
12⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2444

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
13⤵
PID:2304

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
14⤵
PID:2308

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
13⤵
PID:2288

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
14⤵
PID:1280

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
13⤵
PID:580

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
14⤵
PID:1656

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
13⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2904

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
14⤵
PID:2076

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
15⤵
PID:2252

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
14⤵
PID:1236

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
15⤵
PID:1736

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
14⤵
PID:1744

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
15⤵
PID:956

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
14⤵
- Executes dropped EXE
- Loads dropped DLL
PID:1952

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
15⤵
PID:2372

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
16⤵
PID:764

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
15⤵
PID:2956

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
16⤵
PID:2520

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
15⤵
PID:1972

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
16⤵
PID:1684

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
15⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
- Drops file in System32 directory
PID:2972

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
16⤵
PID:1836

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
17⤵
PID:1040

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
16⤵
PID:2728

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
17⤵
PID:2792

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
16⤵
PID:2508

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
17⤵
PID:2364

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
16⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
PID:1728

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
17⤵
PID:1208

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
18⤵
PID:1412

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
17⤵
PID:876

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
18⤵
- Drops file in System32 directory
PID:2348

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
17⤵
PID:884

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
18⤵
PID:2788

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
17⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
PID:2260

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
18⤵
PID:2452

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
19⤵
PID:2676

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
18⤵
PID:2512

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
19⤵
PID:1176

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
18⤵
PID:2724

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
19⤵
PID:1736

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
18⤵
- Executes dropped EXE
- Loads dropped DLL
PID:628

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
19⤵
PID:1892

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
20⤵
PID:2528

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
19⤵
PID:1764

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
20⤵
PID:2156

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
19⤵
PID:2664

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
20⤵
PID:2260

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
19⤵
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
PID:1412

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
20⤵
PID:1428

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
21⤵
PID:3124

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
20⤵
PID:1916

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
21⤵
- Views/modifies file attributes
PID:3160

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
20⤵
PID:1100

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
21⤵
PID:2792

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
20⤵
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
PID:1404

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
21⤵
PID:2336

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
22⤵
PID:3240

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
21⤵
PID:3084

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
22⤵
PID:3208

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
21⤵
PID:3100

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
22⤵
PID:3216

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
21⤵
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
PID:3132

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
22⤵
PID:3256

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
23⤵
PID:3348

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
22⤵
PID:3268

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
23⤵
PID:3368

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
22⤵
PID:3284

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
23⤵
PID:3360

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
22⤵
- Executes dropped EXE
- Loads dropped DLL
PID:3404

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
23⤵
PID:3448

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
24⤵
PID:3556

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
23⤵
PID:3456

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
24⤵
PID:3564

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
23⤵
PID:3476

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
24⤵
PID:3632

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
23⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
PID:3512

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
24⤵
PID:3576

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
25⤵
PID:3652

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
24⤵
PID:3600

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
25⤵
PID:3692

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
24⤵
PID:3616

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
25⤵
PID:3704

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
24⤵
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
PID:3728

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
25⤵
PID:3776

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
26⤵
PID:3856

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
25⤵
PID:3792

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
26⤵
- Sets file to hidden
PID:3896

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
25⤵
PID:3808

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
26⤵
PID:3916

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
25⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
PID:3832

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
26⤵
PID:3924

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
27⤵
PID:4032

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
26⤵
PID:3936

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
27⤵
PID:2464

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
26⤵
PID:3960

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
27⤵
PID:4048

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
26⤵
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
PID:3972

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
27⤵
PID:4056

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
28⤵
PID:2832

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
27⤵
PID:4064

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
28⤵
PID:2296

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
27⤵
PID:4080

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
28⤵
PID:3128

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
27⤵
- Executes dropped EXE
- Loads dropped DLL
- Drops file in System32 directory
PID:3160

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
28⤵
PID:3344

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
29⤵
PID:1996

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
28⤵
PID:452

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
29⤵
PID:3180

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
28⤵
PID:2100

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
29⤵
PID:3236

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
28⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Loads dropped DLL
PID:2072

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
29⤵
PID:3468

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
30⤵
PID:3536

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
29⤵
PID:3492

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
30⤵
PID:2660

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
29⤵
PID:3436

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
30⤵
PID:2672

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
29⤵
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
PID:3524

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
30⤵
PID:3588

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
31⤵
- Sets file to hidden
PID:4036

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
30⤵
PID:3684

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
31⤵
PID:3852

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
30⤵
PID:3552

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
31⤵
- Runs ping.exe
PID:3864

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
30⤵
- Executes dropped EXE
- Loads dropped DLL
- Drops file in System32 directory
PID:3820

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
31⤵
PID:3884

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
32⤵
PID:340

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
31⤵
PID:3996

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
32⤵
PID:336

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
31⤵
PID:3980

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
32⤵
- Runs ping.exe
PID:4008

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
31⤵
- Executes dropped EXE
- Loads dropped DLL
PID:2280

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
32⤵
PID:1772

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
33⤵
PID:3444

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
32⤵
PID:3304

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
33⤵
PID:2848

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
32⤵
PID:3280

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
33⤵
PID:3136

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
32⤵
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
PID:3508

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
33⤵
PID:2596

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
34⤵
- Drops file in System32 directory
PID:3848

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
33⤵
PID:3740

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
34⤵
PID:4036

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
33⤵
PID:844

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
34⤵
PID:340

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
33⤵
- Executes dropped EXE
PID:3748

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
34⤵
PID:3176

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
35⤵
PID:3412

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
34⤵
PID:336

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
35⤵
- Drops file in System32 directory
PID:3628

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
34⤵
PID:2000

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
35⤵
PID:2668

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
34⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:1996

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
35⤵
PID:3428

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
36⤵
PID:3412

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
35⤵
PID:3988

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
36⤵
- Drops file in System32 directory
PID:3560

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
35⤵
PID:3956

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
36⤵
PID:1740

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
35⤵
- Executes dropped EXE
PID:1180

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
36⤵
PID:2364

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
37⤵
PID:4184

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
36⤵
PID:2832

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
37⤵
PID:4160

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
36⤵
PID:2920

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
37⤵
PID:4172

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
36⤵
- Executes dropped EXE
- Adds Run key to start application
PID:4100

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
37⤵
PID:4212

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
38⤵
PID:4304

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
37⤵
PID:4220

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
38⤵
PID:4296

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
37⤵
PID:4236

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
38⤵
PID:4316

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
37⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:4332

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
38⤵
PID:4384

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
39⤵
PID:4492

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
38⤵
PID:4392

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
39⤵
PID:4500

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
38⤵
PID:4408

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
39⤵
PID:4520

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
38⤵
- Executes dropped EXE
PID:4440

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
39⤵
PID:4532

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
40⤵
PID:4620

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
39⤵
PID:4540

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
40⤵
PID:4612

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
39⤵
PID:4556

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
40⤵
PID:4660

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
39⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Drops file in System32 directory
PID:4680

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
40⤵
PID:4724

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
41⤵
PID:4848

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
40⤵
PID:4736

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
41⤵
PID:4856

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
40⤵
PID:4752

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
41⤵
PID:4864

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
40⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:4776

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
41⤵
PID:4880

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
42⤵
PID:4952

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
41⤵
PID:4900

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
42⤵
PID:4980

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
41⤵
PID:4916

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
42⤵
PID:5004

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
41⤵
- Executes dropped EXE
PID:4988

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
42⤵
PID:5060

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
43⤵
PID:4140

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
42⤵
PID:5068

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
43⤵
PID:4272

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
42⤵
PID:5076

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
43⤵
- Runs ping.exe
PID:2416

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
42⤵
- Executes dropped EXE
PID:5096

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
43⤵
PID:4160

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
44⤵
PID:4648

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
43⤵
PID:4208

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
44⤵
- Views/modifies file attributes
PID:4632

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
43⤵
PID:4188

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
44⤵
PID:4436

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
43⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
PID:4308

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
44⤵
PID:344

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
45⤵
PID:1928

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
44⤵
PID:4404

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
45⤵
PID:4688

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
44⤵
PID:4348

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
45⤵
- Runs ping.exe
PID:4640

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
44⤵
- Executes dropped EXE
- Adds Run key to start application
PID:4456

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
45⤵
PID:4488

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
46⤵
PID:4696

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
45⤵
PID:4608

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
46⤵
PID:4684

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
45⤵
PID:3912

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
46⤵
PID:4808

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
45⤵
- Executes dropped EXE
- Adds Run key to start application
PID:4816

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
46⤵
PID:4972

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
47⤵
PID:5112

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
46⤵
PID:4948

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
47⤵
- Sets file to hidden
PID:2660

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
46⤵
PID:5040

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
47⤵
PID:4332

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
46⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
PID:5024

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
47⤵
PID:3412

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
48⤵
- Views/modifies file attributes
PID:4648

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
47⤵
PID:4120

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
48⤵
PID:4492

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
47⤵
PID:5096

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
48⤵
PID:4296

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
47⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
PID:4700

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
48⤵
PID:2260

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
49⤵
PID:1272

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
48⤵
PID:3688

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
49⤵
- Views/modifies file attributes
PID:2660

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
48⤵
PID:3208

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
49⤵
PID:4272

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
48⤵
- Executes dropped EXE
- Adds Run key to start application
PID:4456

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
49⤵
PID:3324

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
50⤵
- Sets file to hidden
PID:4496

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
49⤵
PID:5056

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
50⤵
PID:3932

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
49⤵
PID:4552

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
50⤵
PID:4048

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
49⤵
- Executes dropped EXE
PID:4648

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
50⤵
PID:5028

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
51⤵
PID:3236

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
50⤵
PID:4684

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
51⤵
PID:5084

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
50⤵
PID:3720

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
51⤵
PID:4964

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
50⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
PID:4776

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
51⤵
PID:4680

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
52⤵
PID:3124

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
51⤵
PID:4496

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
52⤵
PID:5016

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
51⤵
PID:868

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
52⤵
PID:3976

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
51⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
PID:1272

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
52⤵
PID:1124

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
53⤵
PID:4952

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
52⤵
PID:4012

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
53⤵
- Sets file to hidden
PID:3900

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
52⤵
PID:3180

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
53⤵
PID:3192

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
52⤵
- Executes dropped EXE
PID:1876

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
53⤵
PID:956

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
54⤵
- Sets file to hidden
PID:5176

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
53⤵
PID:2660

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
54⤵
PID:5168

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
53⤵
PID:5136

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
54⤵
PID:5212

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
53⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
PID:5236

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
54⤵
PID:5284

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
55⤵
PID:5360

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
54⤵
PID:5300

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
55⤵
PID:5424

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
54⤵
PID:5320

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
55⤵
PID:5460

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
54⤵
- Executes dropped EXE
- Adds Run key to start application
PID:5348

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
55⤵
PID:5404

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
56⤵
PID:5524

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
55⤵
PID:5416

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
56⤵
PID:5484

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
55⤵
PID:5440

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
56⤵
PID:5532

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
55⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
PID:5560

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
56⤵
PID:5600

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
57⤵
PID:5688

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
56⤵
PID:5620

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
57⤵
PID:5736

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
56⤵
PID:5636

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
57⤵
PID:5744

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
56⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
PID:5660

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
57⤵
PID:5756

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
58⤵
PID:5844

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
57⤵
PID:5764

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
58⤵
PID:5876

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
57⤵
PID:5784

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
58⤵
PID:5888

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
57⤵
- Executes dropped EXE
PID:5808

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
58⤵
PID:5912

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
59⤵
- Sets file to hidden
PID:6020

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
58⤵
PID:5920

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
59⤵
PID:6012

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
58⤵
PID:5936

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
59⤵
- Runs ping.exe
PID:6028

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
58⤵
- Executes dropped EXE
PID:6044

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
59⤵
PID:6096

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
60⤵
PID:5176

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
59⤵
PID:6112

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
60⤵
PID:3764

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
59⤵
PID:6132

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
60⤵
PID:2668

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
59⤵
- Executes dropped EXE
- Adds Run key to start application
PID:5160

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
60⤵
PID:3224

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
61⤵
PID:5344

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
60⤵
PID:5196

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
61⤵
PID:5236

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
60⤵
PID:1876

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
61⤵
PID:5364

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
60⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
- Adds Run key to start application
- Drops file in System32 directory
PID:1740

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
61⤵
PID:5496

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
62⤵
PID:4288

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
61⤵
PID:5488

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
62⤵
- Sets file to hidden
PID:4180

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
61⤵
PID:5472

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
62⤵
PID:3752

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
61⤵
- Executes dropped EXE
PID:5592

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
62⤵
PID:5188

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
63⤵
PID:5960

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
62⤵
PID:4316

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
63⤵
PID:4588

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
62⤵
PID:5732

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
63⤵
PID:5868

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
62⤵
- Modifies WinLogon for persistence
- Executes dropped EXE
PID:5708

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
63⤵
PID:6000

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
64⤵
PID:6084

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
63⤵
PID:5908

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
64⤵
- Sets file to hidden
PID:6044

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
63⤵
PID:5884

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
64⤵
PID:5172

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
63⤵
- Executes dropped EXE
PID:6080

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
64⤵
PID:1256

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
65⤵
PID:5036

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
64⤵
PID:5232

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
65⤵
- Drops file in System32 directory
PID:4180

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
64⤵
PID:5372

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
65⤵
PID:5616

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
64⤵
- Executes dropped EXE
- Adds Run key to start application
PID:4864

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
65⤵
PID:1740

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
66⤵
- Sets file to hidden
PID:5664

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
65⤵
PID:4168

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
66⤵
PID:5692

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
65⤵
PID:5672

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
66⤵
PID:4848

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
65⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:4440

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
66⤵
PID:5900

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
67⤵
PID:5168

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
66⤵
PID:5816

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
67⤵
PID:1776

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
66⤵
PID:5992

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
67⤵
PID:5268

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
66⤵
- Adds Run key to start application
PID:5876

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
67⤵
PID:4332

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
68⤵
PID:5192

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
67⤵
PID:6084

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
68⤵
PID:6108

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
67⤵
PID:2840

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
68⤵
PID:4200

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
67⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
- Drops file in System32 directory
PID:5436

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
68⤵
PID:5668

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
69⤵
PID:4100

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
68⤵
PID:5564

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
69⤵
PID:3916

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
68⤵
PID:6044

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
69⤵
PID:6108

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
68⤵
PID:3320

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
69⤵
PID:3432

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
70⤵
PID:5436

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
69⤵
PID:5712

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
70⤵
PID:4296

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
69⤵
PID:4704

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
70⤵
- Runs ping.exe
PID:3944

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
69⤵
PID:5116

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
70⤵
PID:4180

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
71⤵
PID:5212

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
70⤵
PID:3184

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
71⤵
- Sets file to hidden
- Views/modifies file attributes
PID:3228

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
70⤵
PID:5124

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
71⤵
PID:5192

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
70⤵
PID:6080

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
71⤵
PID:4436

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
72⤵
- Drops file in System32 directory
PID:6184

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
71⤵
PID:4640

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
72⤵
PID:6204

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
71⤵
PID:4440

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
72⤵
- Runs ping.exe
PID:6196

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
71⤵
PID:6220

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
72⤵
PID:6268

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
73⤵
- Sets file to hidden
PID:6376

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
72⤵
PID:6288

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
73⤵
PID:6384

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
72⤵
PID:6308

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
73⤵
PID:6392

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
72⤵
PID:6340

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
73⤵
PID:6440

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
74⤵
PID:6568

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
73⤵
PID:6448

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
74⤵
PID:6560

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
73⤵
PID:6456

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
74⤵
PID:6544

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
73⤵
PID:6488

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
74⤵
PID:6584

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
75⤵
PID:6640

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
74⤵
PID:6596

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
75⤵
PID:6672

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
74⤵
PID:6616

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
75⤵
PID:6688

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
74⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
PID:6712

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
75⤵
PID:6768

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
76⤵
- Views/modifies file attributes
PID:6848

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
75⤵
PID:6776

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
76⤵
PID:6888

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
75⤵
PID:6800

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
76⤵
PID:6896

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
75⤵
- Adds Run key to start application
PID:6820

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
76⤵
PID:6928

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
77⤵
PID:7008

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
76⤵
PID:6944

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
77⤵
PID:7028

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
76⤵
PID:6964

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
77⤵
PID:7036

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
76⤵
- Drops file in System32 directory
PID:6976

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
77⤵
PID:7052

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
78⤵
PID:7148

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
77⤵
PID:7076

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
78⤵
- Sets file to hidden
PID:7160

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
77⤵
PID:7084

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
78⤵
PID:3836

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
77⤵
- Modifies WinLogon for persistence
PID:4100

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
78⤵
PID:6252

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
79⤵
PID:5532

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
78⤵
PID:5508

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
79⤵
PID:5904

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
78⤵
PID:6284

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
79⤵
PID:6436

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
78⤵
- Drops file in System32 directory
PID:6260

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
79⤵
PID:6464

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
80⤵
- Sets file to hidden
- Views/modifies file attributes
PID:6640

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
79⤵
PID:6540

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
80⤵
PID:6520

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
79⤵
PID:6572

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
80⤵
PID:6724

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
79⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
PID:6664

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
80⤵
PID:6744

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
81⤵
PID:6992

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
80⤵
PID:6040

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
81⤵
PID:6908

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
80⤵
PID:6788

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
81⤵
PID:6904

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
80⤵
PID:6716

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
81⤵
PID:6820

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
82⤵
PID:5424

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
81⤵
PID:7028

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
82⤵
PID:6976

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
81⤵
PID:7008

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
82⤵
PID:5380

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
81⤵
- Modifies WinLogon for persistence
PID:7152

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
82⤵
PID:5576

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
83⤵
PID:4100

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
82⤵
PID:6332

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
83⤵
PID:6504

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
82⤵
PID:5224

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
83⤵
PID:5824

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
82⤵
PID:6488

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
83⤵
PID:6024

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
84⤵
PID:6848

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
83⤵
PID:5968

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
84⤵
PID:4844

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
83⤵
PID:6764

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
84⤵
PID:6992

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
83⤵
- Adds Run key to start application
PID:5892

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
84⤵
PID:6712

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
85⤵
- Drops file in System32 directory
PID:5480

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
84⤵
PID:2732

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
85⤵
PID:5748

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
84⤵
PID:4876

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
85⤵
PID:5904

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
84⤵
- Drops file in System32 directory
PID:5052

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
85⤵
PID:4672

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
86⤵
PID:5172

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
85⤵
PID:4808

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
86⤵
PID:3124

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
85⤵
PID:6240

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
86⤵
PID:6492

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
85⤵
- Adds Run key to start application
- Drops file in System32 directory
PID:6488

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
86⤵
PID:6880

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
87⤵
PID:6816

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
86⤵
PID:5616

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
87⤵
PID:5052

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
86⤵
PID:2736

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
87⤵
PID:6840

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
86⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
PID:5584

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
87⤵
PID:6888

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
88⤵
PID:7176

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
87⤵
PID:6976

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
88⤵
PID:7200

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
87⤵
PID:6980

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
88⤵
PID:7184

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
87⤵
- Adds Run key to start application
- Drops file in System32 directory
PID:7192

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
88⤵
PID:7248

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
89⤵
PID:7368

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
88⤵
PID:7256

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
89⤵
PID:7360

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
88⤵
PID:7264

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
89⤵
PID:7412

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
88⤵
- Adds Run key to start application
PID:7276

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
89⤵
PID:7392

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
90⤵
- Drops file in System32 directory
PID:7536

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
89⤵
PID:7404

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
90⤵
PID:7544

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
89⤵
PID:7420

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
90⤵
- Runs ping.exe
PID:7528

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
89⤵
- Modifies WinLogon for persistence
PID:7444

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
90⤵
PID:7520

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
91⤵
PID:7640

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
90⤵
PID:7560

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
91⤵
PID:7628

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
90⤵
PID:7576

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
91⤵
PID:7664

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
90⤵
PID:7688

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
91⤵
PID:7736

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
92⤵
- Drops file in System32 directory
PID:7848

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
91⤵
PID:7752

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
92⤵
PID:7856

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
91⤵
PID:7760

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
92⤵
PID:7884

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
91⤵
- Drops file in System32 directory
PID:7792

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
92⤵
PID:7868

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
93⤵
PID:7984

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
92⤵
PID:7876

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
93⤵
- Drops file in System32 directory
PID:7972

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
92⤵
PID:7912

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
93⤵
PID:8008

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
92⤵
- Modifies WinLogon for persistence
PID:7996

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
93⤵
PID:8056

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
94⤵
- Views/modifies file attributes
PID:7180

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
93⤵
PID:8064

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
94⤵
PID:6816

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
93⤵
PID:8072

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
94⤵
PID:7192

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
93⤵
PID:8108

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
94⤵
PID:5872

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
95⤵
PID:7336

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
94⤵
PID:5744

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
95⤵
PID:5180

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
94⤵
PID:7212

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
95⤵
PID:7292

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
94⤵
PID:7376

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
95⤵
PID:944

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
96⤵
PID:7648

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
95⤵
PID:7540

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
96⤵
PID:7444

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
95⤵
PID:7556

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
96⤵
PID:6212

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
95⤵
PID:7644

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
96⤵
PID:6200

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
97⤵
- Drops file in System32 directory
- Views/modifies file attributes
PID:7984

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
96⤵
PID:7748

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
97⤵
PID:8004

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
96⤵
PID:7800

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
97⤵
PID:7844

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
96⤵
- Adds Run key to start application
PID:7688

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
97⤵
PID:7964

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
98⤵
PID:8092

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
97⤵
PID:7952

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
98⤵
PID:8036

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
97⤵
PID:7972

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
98⤵
PID:6592

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
97⤵
PID:6548

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
98⤵
PID:7180

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
99⤵
- Drops file in System32 directory
PID:7368

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
98⤵
PID:7200

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
99⤵
PID:6152

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
98⤵
PID:5832

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
99⤵
PID:5116

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
98⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
PID:7336

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
99⤵
PID:7444

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
100⤵
PID:8044

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
99⤵
PID:7516

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
100⤵
PID:8140

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
99⤵
PID:7640

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
100⤵
PID:8016

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
99⤵
- Drops file in System32 directory
PID:7896

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
100⤵
PID:7100

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
101⤵
PID:1736

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
100⤵
PID:8084

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
101⤵
PID:6696

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
100⤵
PID:6580

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
101⤵
PID:6728

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
100⤵
- Modifies WinLogon for persistence
- Drops file in System32 directory
PID:5180

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
101⤵
PID:7476

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
102⤵
- Sets file to hidden
PID:6816

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
101⤵
PID:7280

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
102⤵
PID:6680

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
101⤵
PID:8004

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
102⤵
- Runs ping.exe
PID:6692

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
101⤵
PID:8040

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
102⤵
PID:7284

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
103⤵
PID:7140

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
102⤵
PID:6420

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
103⤵
PID:6816

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
102⤵
PID:6900

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
103⤵
PID:6680

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
102⤵
PID:6176

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
103⤵
PID:3228

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
104⤵
PID:8236

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
103⤵
PID:7460

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
104⤵
PID:8308

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
103⤵
PID:8176

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
104⤵
PID:8336

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
103⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
PID:6724

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
104⤵
PID:8252

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
105⤵
- Drops file in System32 directory
PID:8396

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
104⤵
PID:8284

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
105⤵
- Sets file to hidden
- Views/modifies file attributes
PID:8388

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
104⤵
PID:8300

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
105⤵
PID:8404

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
104⤵
PID:8412

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
105⤵
PID:8476

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
106⤵
- Views/modifies file attributes
PID:8612

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
105⤵
PID:8492

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
106⤵
PID:8588

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
105⤵
PID:8508

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
106⤵
PID:8620

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
105⤵
- Adds Run key to start application
PID:8528

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
106⤵
PID:8596

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
107⤵
PID:8760

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
106⤵
PID:8636

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
107⤵
- Sets file to hidden
PID:8732

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
106⤵
PID:8644

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
107⤵
PID:8804

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
106⤵
- Drops file in System32 directory
PID:8652

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
107⤵
PID:8740

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
108⤵
PID:8912

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
107⤵
PID:8752

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
108⤵
PID:8904

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
107⤵
PID:8792

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
108⤵
PID:8920

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
107⤵
PID:8816

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
108⤵
PID:8952

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
109⤵
PID:9096

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
108⤵
PID:8968

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
109⤵
PID:9072

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
108⤵
PID:8984

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
109⤵
PID:9080

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
108⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
PID:9004

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
109⤵
PID:9128

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
110⤵
PID:7440

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
109⤵
PID:9136

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
110⤵
PID:5428

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
109⤵
PID:9160

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
110⤵
PID:6520

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
109⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
PID:9168

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
110⤵
PID:5180

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
111⤵
PID:8388

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
110⤵
PID:6176

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
111⤵
PID:8280

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
110⤵
PID:7140

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
111⤵
PID:8220

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
110⤵
PID:8228

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
111⤵
PID:8248

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
112⤵
PID:8584

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
111⤵
PID:8452

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
112⤵
PID:8672

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
111⤵
PID:8168

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
112⤵
PID:8812

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
111⤵
- Adds Run key to start application
- Drops file in System32 directory
PID:8412

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
112⤵
PID:8564

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
113⤵
- Sets file to hidden
PID:6492

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
112⤵
PID:8528

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
113⤵
PID:8816

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
112⤵
PID:8612

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
113⤵
PID:8940

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
112⤵
- Modifies WinLogon for persistence
PID:8732

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
113⤵
PID:8892

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
114⤵
PID:5580

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
113⤵
PID:4940

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
114⤵
PID:5380

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
113⤵
PID:8916

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
114⤵
- Runs ping.exe
PID:8396

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
113⤵
PID:8928

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
114⤵
PID:9008

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
115⤵
PID:8672

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
114⤵
PID:9112

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
115⤵
PID:7568

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
114⤵
PID:9176

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
115⤵
PID:7676

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
114⤵
PID:9192

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
115⤵
PID:8536

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
116⤵
PID:9148

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
115⤵
PID:8668

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
116⤵
PID:9024

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
115⤵
PID:8356

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
116⤵
PID:9000

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
115⤵
PID:8560

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
116⤵
PID:8960

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
117⤵
- Sets file to hidden
PID:9196

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
116⤵
PID:6812

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
117⤵
PID:7468

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
116⤵
PID:8816

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
117⤵
PID:8592

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
116⤵
- Adds Run key to start application
- Drops file in System32 directory
PID:8440

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
117⤵
PID:8416

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
118⤵
PID:8864

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
117⤵
PID:5552

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
118⤵
PID:9168

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
117⤵
PID:7108

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
118⤵
PID:8012

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
117⤵
- Drops file in System32 directory
PID:7920

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
118⤵
PID:8532

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
119⤵
PID:8440

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
118⤵
PID:8524

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
119⤵
PID:7696

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
118⤵
PID:9024

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
119⤵
PID:8024

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
118⤵
- Modifies WinLogon for persistence
- Adds Run key to start application
PID:8412

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
119⤵
PID:8864

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
120⤵
PID:9356

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
119⤵
PID:9168

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
120⤵
PID:9320

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
119⤵
PID:5380

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
120⤵
PID:9348

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
119⤵
- Adds Run key to start application
- Drops file in System32 directory
PID:7388

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
120⤵
PID:7696

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
121⤵
- Views/modifies file attributes
PID:9392

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
120⤵
PID:9228

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
121⤵
PID:9444

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
120⤵
PID:9252

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
121⤵
PID:9436

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
120⤵
PID:9264

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
121⤵
PID:9372

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
122⤵
PID:9532

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
121⤵
PID:9400

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
122⤵
PID:9508

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
121⤵
PID:9412

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
122⤵
PID:9544

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
121⤵
PID:9556

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
122⤵
PID:9612

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
123⤵
PID:9740

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
122⤵
PID:9632

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
123⤵
- Sets file to hidden
PID:9748

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
122⤵
PID:9640

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
123⤵
- Runs ping.exe
PID:9732

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
122⤵
- Modifies WinLogon for persistence
PID:9660

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
123⤵
PID:9760

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
124⤵
PID:9848

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
123⤵
PID:9772

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
124⤵
PID:9896

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
123⤵
PID:9800

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
124⤵
PID:9872

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
123⤵
- Adds Run key to start application
PID:9908

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
124⤵
PID:9952

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
125⤵
PID:10068

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
124⤵
PID:9968

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
125⤵
PID:10080

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
124⤵
PID:9984

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
125⤵
PID:10128

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
124⤵
PID:10000

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
125⤵
PID:10088

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
126⤵
- Views/modifies file attributes
PID:9524

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
125⤵
PID:10096

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
126⤵
PID:10200

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
125⤵
PID:10104

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
126⤵
- Runs ping.exe
PID:7388

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
125⤵
PID:10120

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
126⤵
PID:10208

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
127⤵
PID:9364

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
126⤵
PID:10224

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
127⤵
PID:9528

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
126⤵
PID:10232

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
127⤵
PID:9592

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
126⤵
- Drops file in System32 directory
PID:8032

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
127⤵
PID:6216

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
128⤵
PID:7656

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
127⤵
PID:9536

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
128⤵
PID:9904

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
127⤵
PID:9340

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
128⤵
PID:7700

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
127⤵
- Adds Run key to start application
PID:9344

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
128⤵
PID:6544

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
129⤵
PID:9900

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
128⤵
PID:6592

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
129⤵
PID:7356

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
128⤵
PID:9604

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
129⤵
PID:9864

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
128⤵
- Drops file in System32 directory
PID:9812

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
129⤵
PID:7064

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
130⤵
PID:10168

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
129⤵
PID:6896

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
130⤵
PID:10204

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
129⤵
PID:9940

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
130⤵
PID:9248

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
129⤵
PID:10084

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
130⤵
PID:7604

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
131⤵
PID:7844

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
130⤵
PID:6548

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
131⤵
PID:9584

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
130⤵
PID:7288

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
131⤵
PID:7628

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
130⤵
PID:10124

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
131⤵
PID:8116

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
132⤵
PID:9924

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
131⤵
PID:7376

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
132⤵
PID:9908

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
131⤵
PID:9852

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
132⤵
PID:9316

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
131⤵
- Adds Run key to start application
PID:9264

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
132⤵
PID:9724

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
133⤵
- Drops file in System32 directory
PID:9908

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
132⤵
PID:9980

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
133⤵
PID:8036

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
132⤵
PID:10000

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
133⤵
PID:9668

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
132⤵
PID:10188

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
133⤵
PID:9948

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
134⤵
- Views/modifies file attributes
PID:10188

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
133⤵
PID:8424

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
134⤵
PID:8372

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
133⤵
PID:9896

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
134⤵
PID:8336

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
133⤵
- Modifies WinLogon for persistence
PID:8372

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
134⤵
PID:9364

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
135⤵
PID:10168

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
134⤵
PID:6396

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
135⤵
PID:10260

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
134⤵
PID:10080

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
135⤵
PID:10272

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
134⤵
- Modifies WinLogon for persistence
PID:9908

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
135⤵
PID:10296

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
136⤵
PID:10436

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
135⤵
PID:10304

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
136⤵
PID:10452

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
135⤵
PID:10316

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
136⤵
- Runs ping.exe
PID:10444

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\svchost.exe"
135⤵
- Modifies WinLogon for persistence
PID:10376

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
136⤵
PID:10472

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe" +s +h
137⤵
- Sets file to hidden
PID:10572

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
136⤵
PID:10492

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R" +s +h
137⤵
PID:10588

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe"
136⤵
PID:10500

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
137⤵
PID:10580

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
136⤵
PID:10508

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
137⤵
PID:10608

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
138⤵
PID:10804

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
137⤵
PID:10616

C:\Windows\SysWOW64\attrib.exe
attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
138⤵
PID:10792

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
137⤵
PID:10632

C:\Windows\SysWOW64\PING.EXE
ping 127.0.0.1 -n 4
138⤵
PID:10712

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
137⤵
- Drops file in System32 directory
PID:10644

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
138⤵
PID:10724

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
138⤵
PID:10736

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k ping 127.0.0.1 -n 4 && del "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
138⤵
PID:10752

C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe
"C:\Windows\system32\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe"
138⤵
PID:10780

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R\svchost.exe" +s +h
139⤵
PID:10836

C:\Windows\SysWOW64\cmd.exe
"C:\Windows\System32\cmd.exe" /k attrib "C:\Windows\SysWOW64\AzFwA3PAdR1R\AzFwA3PAdR1R" +s +h
139⤵
PID:10856

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "2106053375157793696598309868021470546971507760679-1485371392-1572552484-1112240948"
1⤵
PID:1524

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "482802355818644629-514308612578516039476901793-1751310180-1000259795-526638201"
1⤵
PID:3368

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "4244599341504581727-175350383554966374419079412505939315721749599921273805767"
1⤵
PID:3564

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-910046388944988166754838004-14069937562047945281111055073-1705794833-754060350"
1⤵
PID:3512

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1655574288-257152624333800605-2053431588-134423824231067054218718176732110766638"
1⤵
PID:3832

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "117784974-880808027-14958256491582439189119491534514887370371510985611-1849207692"
1⤵
PID:400

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-781623687394938398-1211173451-420491844767159767-3939086962426897411531395679"
1⤵
PID:3160

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1688960600-611441099-1749232188-19668865992671344061867577720-1666498386-1311894555"
1⤵
PID:3444

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1126115103156245135012970720421503709207-491903327604509454-86564137-763596617"
1⤵
PID:2296

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "241221246-1768358935-1301719123-126946869410881093361542387777-577674779-98750157"
1⤵
PID:4304

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-438501374-1224555014-1709505909-15215799631442227745-616115082-367149509-1573653632"
1⤵
PID:4980

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1500243953811318906-332378759-906364844-925014039-1967562420-261689692789943764"
1⤵
PID:3560

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "4479067781765829912577409332478385259-10673202931375463478146830157-1349549057"
1⤵
PID:3864

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1484513519548498361-146493997120125313551404480079988859604-1000429903690229436"
1⤵
PID:3932

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1086042341-594304766-443268739811273363-20614064312109295611896619657212551806"
1⤵
PID:4456

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1743942421-20190433-1416010258160429662128094830147768104714032127541358241167"
1⤵
PID:4952

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1256888735-1422646319-1076534931-1160592776172240277518536137422122323496-1253319"
1⤵
PID:2308

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1425277823-207606881715656147851950109710969159664-74737131116342062901450390493"
1⤵
PID:5348

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1622736144-30863735219255908071164106154-207036503-80623690018912370431867392485"
1⤵
PID:5660

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1961016699-5856900171682141375-491818212163667698018211301181070573496-344294033"
1⤵
PID:1280

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1070377220-568589030-2089364853-285881316166477313-2047538674-1475896131-1277188645"
1⤵
PID:5688

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-6982385652030397427839783740529578126-1622396688451431605-172052873-1679951347"
1⤵
PID:5844

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-2014235786-349107691-999799052-1759885786-191578820916113176764842718001450292884"
1⤵
PID:4308

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-499449686-1758872676-1389163017-479445861-547522208110398502612857146881130245759"
1⤵
PID:5176

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "947824207-498820708981549636-20742795751286550249-1564062389-323375578-484206863"
1⤵
PID:4620

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-957144528-1760604030-2059375545-1249272962-2000456341-294721763154571839616227054"
1⤵
PID:1272

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "116001467472125110-24021250711185292731598470421375300631392638841-2082293162"
1⤵
PID:3320

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "907287394840659100757919189-12440469667764661-2081396309-1247688950396394609"
1⤵
PID:5212

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-907659720943214224976827394-7851852991728439115471165489-597963848-2129498510"
1⤵
PID:6340

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "547418477-1842549192-1106861304-649186513-1795293848-1914697862-2026832666-661843988"
1⤵
PID:6672

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "399538856-455127341-1909204708674235016-939719420-2010620702-1387413578938180980"
1⤵
PID:6028

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "56135901836069669517306858801791681263-10109490891180478428-1801580011-1316809410"
1⤵
PID:3752

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1039736846-193612381-758757839-206837681-1055619123-2043402154-623481447-1143977065"
1⤵
PID:6204

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "15146488141202335627-1868996551-1115131750-9060851661999345146-1777067331333291249"
1⤵
PID:5888

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "466683259-1723143247-1569756810-198301417259851214-6529178481343359781-1237822129"
1⤵
PID:5592

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "6636178201241115268-520359376-1145156220-8684076201665966820-6084314502055227425"
1⤵
PID:5360

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1587312789-1807978961949062184-13977498141332229198508026675462745686-740772842"
1⤵
PID:5480

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-128675496311595695542104125877733969052-1967852581-1644243825-6666734531429256044"
1⤵
PID:4100

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1682362557-407767761177392400988657117824544087910326163342040253194-627520535"
1⤵
PID:3944

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-570563206-4544654982121422080-1514217453-684098326-5984682992139677503-48550441"
1⤵
PID:7544

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-1502435905-841507921307116213572452327202533892-161473268-5986096681691622946"
1⤵
PID:7792

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-193107479-7798492911240774570-20976014441039713362734139335330321551210643856"
1⤵
PID:6392

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "116578223261008249-2002950229-725930583-1594980829-5698815231487329474239996107"
1⤵
PID:5112

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "2010160474-2859427221357729430-85216804781429240-149419274320207170461297882560"
1⤵
PID:8108

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-636012506-973244265-16409082958226709751919229556-6810132868313547661601603608"
1⤵
PID:7648

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "195238844650375825113073701131284565415-636946423-320138044-2088213418-1121358035"
1⤵
PID:6376

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "137933385119352889148623590671424885611-139702662-108329303-12705881032116293055"
1⤵
PID:7336

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "19650077451183567446-257069238665247037772987888-128172464159923978-940139530"
1⤵
PID:6696

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "120409433890783063816808063931332329978-1914577446-16849336401983213520-1073177383"
1⤵
PID:6152

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1408988285-79382424132979122416907241789622418741036617869-1438425876339220574"
1⤵
PID:7896

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1672690911-745314308606854821-313164084-82993623-16164648341507282558-1490783190"
1⤵
PID:5364

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1469457935-674289137-13404270745888770491474593209-475685099-1819521338591867725"
1⤵
PID:9004

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1523597470-15905763019612049311469395174-471088692-14999570151273119992472967369"
1⤵
PID:8236

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-47516454-14702571881116399478-12792980910778973781726061631094940780-501095817"
1⤵
PID:5436

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-15150520411974166109-157804254248504841712374560981726737270779458835528316061"
1⤵
PID:8228

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "14610806551128501633-1899556872698399762-379682173707786919-14031334861464971329"
1⤵
PID:6992

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "337699509-1569687564-1545126725-676053921029511294-1405585420413461176563106922"
1⤵
PID:8672

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1360095062-555659428-1692748842-7050696141784357095112909376-100585080518638291"
1⤵
PID:7468

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-15146171422139591962-1675055953-1783550168-78171366612007049581869842439-964593115"
1⤵
PID:9192

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-12137837771591996704-26341506418837109646492689911000041104-1823272172-10635684"
1⤵
PID:6692

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "20354701422198964012028935696-277476326-13876122221276245351582892500266763627"
1⤵
PID:9900

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "1443539115-122881145711013316171142646111358230644-570556405-1804745765-396320983"
1⤵
PID:10200

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "13247175344188812451458279323-1665634463738544941-1263708265-2081823984560607872"
1⤵
PID:9924

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "-16416138011050206862-8783731628739413281754248209-2016191018-268579441-1053679256"
1⤵
PID:7920

C:\Windows\system32\conhost.exe
\??\C:\Windows\system32\conhost.exe "49417384-578024955-1771331065464871344-16220358281807338143-857270574-585989215"
1⤵
PID:9556

MITRE ATT&CK Matrix ATT&CK v13

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\SysWOW64\AzFwA3PAdR1R\svchost.exe
Filesize
817KB

MD5
133599b578dae8bb9183cabf8bd938df

SHA1
95b1b4ae27f70dc7d5353279a89aedf4e433d1c2

SHA256
59e67f556f5ab4550c7d64d98b7f36c3d8b802a5063ad54b5ac92aa0b8ec8200

SHA512
095d914b943d13938af9366bce4b7272887c83d8d128415a884f30237cfcb689c86d23d6d4222814123f3722f4943f72655afc3ee41db8177c94999d9df31ad6

Download Submit
\??\PIPE\srvsvc
MD5
d41d8cd98f00b204e9800998ecf8427e

SHA1
da39a3ee5e6b4b0d3255bfef95601890afd80709

SHA256
e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

SHA512
cf83e1357eefb8bdf1542850d66d8007d620e4050b5715dc83f4a921d36ce9ce47d0d13c5d85f2b0ff8318d2877eec2f63b931bd47417a81a538327af927da3e

Download Submit
memory/628-143-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/1180-215-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/1252-43-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/1272-284-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/1404-152-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/1412-144-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/1524-78-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/1692-62-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/1728-125-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/1740-316-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/1776-54-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/1876-285-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/1952-109-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/1996-207-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/2072-185-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/2112-31-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/2260-131-0x0000000077120000-0x000000007723F000-memory.dmp

Filesize
1.1MB

Download
memory/2260-130-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/2260-132-0x0000000077020000-0x000000007711A000-memory.dmp

Filesize
1000KB

Download
memory/2280-197-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/2372-72-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/2444-93-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/2728-82-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/2732-28-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/2888-47-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/2904-98-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/2972-114-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/2976-11-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/2976-0-0x0000000000270000-0x0000000000271000-memory.dmp

Filesize
4KB

Download
memory/3052-23-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/3132-155-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/3160-184-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/3404-163-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/3508-205-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/3512-164-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/3524-193-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/3728-172-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/3748-206-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/3820-194-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/3832-173-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/3972-176-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/4100-216-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/4308-253-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/4332-224-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/4440-227-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/4456-254-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/4456-272-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/4648-275-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/4680-235-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/4700-271-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/4776-236-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/4776-283-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/4816-262-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/4988-244-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/5024-263-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/5096-245-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/5160-315-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/5236-293-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/5348-294-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/5560-302-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/5592-324-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/5660-303-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/5708-325-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/5808-306-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download
memory/6044-314-0x0000000000400000-0x00000000004DA000-memory.dmp

Filesize
872KB

Download

Analysis

Sharing

General

Malware Config

Extracted

Signatures

Processes

Network

MITRE ATT&CK Matrix ATT&CK v13

Replay Monitor

Loading Replay Monitor...

Downloads