Technical Information
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'Explorer.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = 'userinit.exe, cmd.exe /c start %WINDIR%\wininit.exe'
- hidden files
- %WINDIR%\wininit.exe
- <LS_APPDATA>\svchost.exe
- %TEMP%\icsys.ico
- %WINDIR%\rcx1.tmp
- <LS_APPDATA>\rcx2.tmp
- %APPDATA%\spoolsv.exe
- %APPDATA%\rcx3.tmp
- %WINDIR%\wininit.exe
- <LS_APPDATA>\svchost.exe
- %APPDATA%\spoolsv.exe
- %WINDIR%\wininit.exe
- <LS_APPDATA>\svchost.exe
- %APPDATA%\spoolsv.exe
- %WINDIR%\wininit.exe
- <LS_APPDATA>\svchost.exe
- %APPDATA%\spoolsv.exe
- '<LS_APPDATA>\svchost.exe'
- '%WINDIR%\wininit.exe'