TROJ_UPATRE.YYSVQ
Trojan-Downloader.Win32.Upatre.gdya (Kaspersky); TrojanDownloader.Upatre.ahch(Jiangmin)
Windows
Threat Type: Trojan
Destructiveness: No
Encrypted:
In the wild: Yes
OVERVIEW
This Trojan arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
TECHNICAL DETAILS
359,424 bytes
EXE
19 Oct 2017
Arrival Details
This Trojan arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Installation
This Trojan drops the following files:
- %AppDataLocal%\GDIPFONTCACHEV1.DAT
- %Application Data%\ActiveState\ActivePerl 5.24.0 Build 2400 5.24.2400\install\A115E28\lib\auto\Math\Prime\Util\GMP\webappsstore.hoq
- %Application Data%\ActiveState\ActivePerl 5.24.0 Build 2400 5.24.2400\install\A115E28\lib\auto\Math\Prime\Util\GMP\updates.yho
- %Application Data%\ActiveState\ActivePerl 5.24.0 Build 2400 5.24.2400\install\A115E28\lib\auto\Math\Prime\Util\GMP\updates.acu
- %User Temp%\updcbbc3d2c.bat
(Note: %AppDataLocal% is the Application Data folder found in Local Settings, where it is usually C:\Documents and Settings\{user name}\Local Settings\Application Data on Windows 2000, Windows Server 2003, and Windows XP (32- and 64-bit); C:\Users\{user name}\AppData\Local on Windows Vista (32- and 64-bit), Windows 7 (32- and 64-bit), Windows 8 (32- and 64-bit), Windows 8.1 (32- and 64-bit), Windows Server 2008, and Windows Server 2012.. %Application Data% is the Application Data folder, where it usually is C:\Documents and Settings\{user name}\Application Data on Windows 2000, Windows Server 2003, and Windows XP (32- and 64-bit); C:\Users\{user name}\AppData\Roaming on Windows Vista (32- and 64-bit), Windows 7 (32- and 64-bit), Windows 8 (32- and 64-bit), Windows 8.1 (32- and 64-bit), Windows Server 2008, and Windows Server 2012.. %User Temp% is the user's temporary folder, where it usually is C:\Documents and Settings\{user name}\Local Settings\Temp on Windows 2000, Windows Server 2003, and Windows XP (32- and 64-bit); C:\Users\{user name}\AppData\Local\Temp on Windows Vista (32- and 64-bit), Windows 7 (32- and 64-bit), Windows 8 (32- and 64-bit), Windows 8.1 (32- and 64-bit), Windows Server 2008, and Windows Server 2012.)
It drops the following copies of itself into the affected system:
- %Application Data%\ActiveState\ActivePerl 5.24.0 Build 2400 5.24.2400\install\A115E28\lib\auto\Math\Prime\Util\GMP\InstallTime20161104212021.exe
(Note: %Application Data% is the Application Data folder, where it usually is C:\Documents and Settings\{user name}\Application Data on Windows 2000, Windows Server 2003, and Windows XP (32- and 64-bit); C:\Users\{user name}\AppData\Roaming on Windows Vista (32- and 64-bit), Windows 7 (32- and 64-bit), Windows 8 (32- and 64-bit), Windows 8.1 (32- and 64-bit), Windows Server 2008, and Windows Server 2012.)
Autostart Technique
This Trojan adds the following registry entries to enable its automatic execution at every system startup:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
InstallTime20161104212021.exe = "%Application Data%\ActiveState\ActivePerl 5.24.0 Build 2400 5.24.2400\install\A115E28\lib\auto\Math\Prime\Util\GMP\InstallTime20161104212021.exe"
Other System Modifications
This Trojan adds the following registry entries:
HKEY_CURRENT_USER\Software\Microsoft\
Bykeba
Lyabem = \x07\xf7\x89gaA\xad\x148\x9b\xb9V\xf51j\xc7\x80\xa74A:\x88\xad\xd7_g-\xb6\x0b\xa2l\xa0\xb9\xcc\xecyZ3S\xdf~\x82\xb32\xcc<{<\x17\xbe\x07\xb5\xafnM5\xc9\x84DU;6\x88\xdaE/8 \x1b\xb4\x8f\x19F\xe9Z_\xdcFq\xad\x06\xd0\xabI\x89\xb6U\x11\x83:Hba\xd2\x1cd\xe7\x19\xbaw6\x7fKr:@\xeb\xa3\x9c\x9c\xb2\xdb\xea\x87\x8e_l\xa7**\x96H\x9as\x17iIH\xc3\xc3\xab\xe3L\xcb;\xbai\x06\xf3\xad,\xff\xcaQ6\x8c'\x92K\x99W\xd3i.MxM:\xdbj\xbcU\x97\xec\x8c\xb5 \xac\xc7\x98\xf6\x1b\xbf\xa8\x9b\xb9R\xdaj\xef~\xbf\x82\x95t\x83\xf1\xd7\x8e\xb2\x9f\x1b\x82\xeb\xb2\xe1\xcf\x94(\x95\xac\xba_Z\xe9|o;\xb8\xc5\x15&\xc4 \xb4q\xf5\x1f\x94y^\x94\xa5.\xe0L\xa3\xa7\x9do\xce^\xef\xbd'D\xb8\xab\x94vl\xd2P\xe3\xa5\xb41\xb28\xc2\x90\xb8\xadF$\x9b\xd4\x1d79\xce%\x9e\xdb$\xabj-\xbd\x97o,3[[\x15\xb5\xbd\xfa\xadP\xbf\x83\xdd\xa4^I?\xde\x16\xb8\xe8\x8d\xc1\x13\x03\xbe\xaeM1\x01H\xa0\x10\x00=\xc51\x13~\x8cOd\xd4 \xa2]\xa2\xff\xc50\x16\x81Q3\x99\xa6q\xae\xc7\x0b\x87i\xe4\xaf\x15eK\x08e\xbd(\x80;q \x13M\xbd.:\x9e\x97\xc4!\x1b\xa3\xc4\xd3\x82*\xc3\xba\xfe)\xd6K\x86\xfbD9\xd8l\x117\xf0\xcd\x90\xd8\x92qe\xdc\xe3\xbe\xde\xb6\x9dC\xf5\x86"\xeej/\x9c@W\x97\xb0\xddl\xa6\xddW\x0b\x8c\x83\xea5\xf4\xec\xa3\!\xe4[09\xd3\xf8\xf8\xcd\x19\x95\xe8Q\x90/\x89\xb5<\xc4\xb6\xd8\xe5\x16\x1d\xa8\xbd~b\xd9Z+\xe0\xc0\xcb\xa6\x16\xe9\xcb`mG\xfb\x1eio\xb3\xe2\xbf\xbdX 0 \xcc\xca\xfa\xb0TE\x86\x11\x04\xa5\x0b3\x80\xba3\xc7\xdb\x9f\xa0\x95i_i\x0c\x104\xe3\xd5C\xa5\xf4S\xdcG3'\xdb\xb3\x08\xd1\xc4v
HKEY_CURRENT_USER\Software\Microsoft\
Bykeba
Lyabem = \xb5)Z\x14E\x04Y\xd3\x94\xa9\x08\xa6\x11\xcd<4`B,\x98\xb1HE\xd3p)\x83\xa1i\x15\x9b\x00l\xbf\xc5\xbc\xd8]+\xda^D%i\x08\xe5\xe8\x08\xf3j\xee\x1cV\xcaV&\xc6\xc14\xac\x02s#\x02\x81\x8b\xa8w\xe2Drt\xcd\xe7\x1a\x0erRG$\x1bD\x954\xbfT\x1d\xdcZ\xe6a\xc9\x9e9*M\x93\x0f\xa7\xcf\xd3\xd2\x9c\x1au\xb8\xd4\xae\xd7\x1cq\x8e`\x80\x05\xc2K\xc3Am\x95\xd1\xef\xbc\xdfb\xe9\x13\x17\xcf6\xe2\xa4\x12Q\xc2\xab\x110\x0bkn\xe6\xb2M%P\xbb.\xe5\xe1\x9aT O\x9bg\xdb\xff\xc4\x8f\xfd\x87\x91h?\x96 f\x04\x919(\xac]a\x8c8\x01#G\xaex3\x0e\x02\xf1\x80.\xf6\x14\xc1\xa4\xcf\x80\xbde\x8cA@\xa2\xf2(\xfb\x93\x8a\xe7r\xc5+\xaf\xbfUpV5D*G\xe3\x99\xeb\xa2\x9b\x7f)\xb5\x1f8E\xf7\xb3\x1f\x98\xaa?j0+z\x85h\xe1\xff4l5\xce\x96@\x13Q*\xb1Tk\xaaP\xe0\xa9\x15S\xf0\xc4\xb4\xb0iJ\xf8\x10n\xe2\xbc\x8c\xd5\xccj'<~8_S\x92M4V7\xac\xc99Zt\xdf\xff\xf9\x84v\x94\xeb\xa5\x81\xd6]\xe8%\xb0\xcb 2\x10\x14\x885<\x88\xcc~|\xf0\x80\x04\xd9^\xbb\xfa\x16\xff\xc7\x12\xa3\xea\xe2\x8e\xd9,\xee\x1b\xd7\xd8D:\x00L\xf5R\xc5\xe3\xa5.H\xb6\x0em\x99s\x89gu\xe2r1\x940\xb9#\xf1\xd2\xfc\xf20\x8d{t\xc4\xd1F\xe8\x1b\xd0\xe7\x8f\xc8,\xec\xaf2gN\x94 \xc8\x9fF\x14\x95\xa96\xbb\x87$$x\x0e\xfd\xbcI\xaa\xfet\xddR\x12`\xde\xfd\xa6\xe2li\xddD\xdc\xccB\xa4{,\xb8\xc5\x92\x8e\xe6M\xd3"I)\xbe\x89\xd5\x97\x9a-&\xbe\xd2>Ji\x8c$@\xe65F\x88\xddB^\xe6E\x80T\xe9e\xd4- (\xc5\x97\x1c\x1e\xa1^\x8f\x9b>\xc8\xe6\xa2\xb4\x07a\xc6g\xebI\xd1\x85\xaf\x9a\xd8W\xea}\x1d\xab0\x95=\xc6p\x96\xcc\xeb\x9f">\x03
HKEY_CURRENT_USER\Software\Microsoft\
Bykeba
Lyabem = G[\xd4\x9d\xc1\xce\x075\xca\x9f\xb8\x7f\xa1\xd4\xcdP\xdeZ:j\xd2\x08\x99S\xb1\x83 \x1b&g\xbe\x88\xae\xe5\xc3\x1bf\xec0\x89v\xb02\x8d\x94\x0f\xf0 \x8b\x19V\x00\xf4\xd7\xef\x83\xd1\x1b\xf2a\x1a\xf6\xfd\x0eln\Q\x85b\xd6\xa2\x90\x86\xcc\x91\xfa\xb7\x94j}\xe9\xf7sw\xfa\xf3\xed\x04\xe1\xc8E\xc2\x9f\xdbdx\xbfr\x08\x07\xb7B\xc5\x1e2\x96+\xf3W/\x03\xd3\xa0:@\x8aR\xe5X\x1f\xcf\xf0\xf9\x06`\xa5&!$\xa8\x98\xdak\xc0!\x0bb \xc8yb\xc4:\xa4U\xb8u\x82\x0eE\x86\xf0?N2\xef\xd5\x9d\xd2@\x15\xb0\xf5\x8a\x8d}%{\xdf\xbc\x13\xe8\xc0"\xca\xe6*\xf6\x04\x94\xb63\xbd\x8b\x18\xe3\xc94"L\x84\x08\x1e\xa8\x97U\xdcGq\xb5F\x19{v\xe5\x02\x1e\x1d\xb6(\xf6\xacfa\xd2 \xf5L\xad\x99\xd0\xadU-M=\xe2\xb0\x94(Sa\x14\xdb\x17@\x997\xa1\xa4\x9a\x00<5\xc0n1\xb6\xe4\x1b\x19\x0f\xf8\xcc\xe3+\xf7\xd5{\xb0\xf7\xf0\x8bm\xdd\xe7\xb3\x95Sxl\x95\xbd\x88\xc8\xda\xb1\x06\xee\x0e\xdb\x0c\xc8\xbb\x7f\x1a\xd9=\xe3A"\xf2\xbc\x81|V\xec\xef9M\x9b\xd6s\xd5\x80JNm\x15.\xe2Xm\xa2\xaei=C\x7f\x14A\x0c|Qu\xa0\xc7}F{\x8aJ\x06y\xbbo\x9bS\xacv\xeb\xd0\xb7\xe1\x1b \xf60\xb3\xbei}\xe6\xfe\x80\x1f:\x14\xacK\xab.1/\x19\xc3\x9c\xbf\xd7\xff\xbd\xd1\xf3\xbb\x83\xe5\xeaL\xfbf\x06+d\x83\xb2)B\xb8\xedI\x88Sr\xfb\xd8 k4\x83\x9d"\x0b\xfe\xf0>\xb0P\xa5Tp\xe3M\xec\xca\x1f\x90v\xbd\x03\x91\xb2\x93\xf6\x8fc\xe6\x81\x05-\x0c\xef\xf7\xbaX\xf4\xe2\x12k\x9e-*\x92O\xdc\x11.9\x05 \xfc\xd9\x9f\xca+\xf5^ \xc6\xba } \x86\x9f\x94\x17\xdeHat\x9b\xc2(\xe9\xa0\xf7-&\xd7\x021v\x9c\x9d\xf7\xafi\xa3\xa4M\xfa\x1c\xbcw\x10Ta#\xd3\xfar\xfeGr \xad
HKEY_CURRENT_USER\Software\Microsoft\
Bykeba
Lyabem = q\x0f\xa2\x88\x83x:\xc4\xfd\x99\x0e4\xf8j\xbap\xdb\xd2t\x92\x80**\xfa\x8c\xe6`\x9f\xc9\x10\xe8\x9fq \x96'\xc7\xd1\xa4\xa6W\xb5\x11\xc4\xcc\x87>\x9b\xa3\x10\xa6\x9e\xe3\xf8\xc5s\xffx\xc4\xdc\xa4\xda\x05\x94G\xd3\xe3b`\xf4$uC\x00\xda\xd7+J\x19\x158\x01S\x94\xb7d\x01S\xdd@\xcct\x83\xd7?\xbes\xe7\x95'\xb6\x08\x9b\xfcr\x95O\xf7\xd4\x86\x07b\xd8g[]\xbd\xe3\x99.\xb2g\xa4\xa6L\xfa/h\xa9`XM\xc05\x92\x88\xad\xe7*8\xffF\xd2}{\xe7\x04\x14d/t\xd5\x82\xd1=\xa8\x84\xd7o>\xab Y oK\x93\xac\x98\xfbh(T\x1b\x88=\xfe}i \x8d\x99\xc6\xf9u\x10\x9f\xa9\x0e\xc3\x81\x9d \xb8\xc6\xf8\x88\xdd\xa2\xb8\xfb\xa9\x95sVR\xc9X\x15\x95B*&\xcdnl\xf4\xb1\x9f{\xbe\xa5+\xdb\xc1\x1b\xa2R\x81\x8e[\x99\x0f\xe0;\xaf\xab\x9d\x7f`\xe0\x13\xe3\xc3
HKEY_CURRENT_USER\Software\Microsoft\
Bykeba
Lyabem = \x8f\x0b\xc2\x81A\xfa\xef\xe7W\xb1\xc3\xb9\x01\x0f\x8f\x9ae\xa4A]\xcdH\xf5\xc5!\xfa\xees't\xf8\xdf\xc8]\x02\x99\x82>\xa90\xbf\x80\x15\xd8\xe3l\xf0I\x89^\xb6G\x95_M~Ec7\xf8\xf5\x1c\xb9\xa76\xeb\x99A\xa4\x02\xda\x8d\x9b\xb6\xb1\xe8\xf6h4\xac;\xb2\xb3\x97\xaa\x86\x05\x8c\:\x885\xbb\xad\xf0M\x1ds\x8a+\x99\xbc\xde\xff\xe0\xb76\xf8V<\xb3s\xc2\x8b\xe4\xa2%D\xa8\xcf\x01\xaaQ\xb7Y\xc2\xc5\xb0\xb3h\x00\x9b\x1dw\xa4\xa2a+$Bv\xf6\xb38\xee\xcea"\x88\xb9\x8b\xe13\xe4\xca{9K\xc2p\xd1\xe6\xb0G\x0c\xaaE\xd3\xd7)KZ\xfb-^\x1d\xcc\x9d\xd6[\xb3\xc4\x95\xfe@\x07\xac\xa6,z\xb5\xa8$\x06\x11\xd7\x1c\xb2A\x04\x1d\xd0N\xdbu\x92\xf0\x08\xf6\xc3m\xccS\xa8}\x88\x8a\xdc\x19\x16\xf9\x8a\x19\x15H\xbd\x03\x9cU;\xd4&\xf8\xc7\xa7\xcb\x8f\xbfJ\xb5\x91\xe5p\x93_\xba}m^\xc5\x03\xa0\xc5\x03-\x05\x82\xe4\xec\x83\x8c\x8d\xf4\x87\xf9\x0b\x83\x0c\xcb*\xf5.\xa8H \xa7*\xac\xe4\xd3\xb2@iB6F\xea\x0e^\xecu\xe9I&\x94\xcf\xa9\x19\x7f\xf1\xb3B3F\x02\xa6\x1d\xbe\xa8\xc0\x8a\x04\x11\xad\xe9\x9b.jh\xb0\xd8iyL\x8ceH\xcci\xf5s[\xeb\x1d\xce\x17\xcf\xbb\x89w \xa6\xa2\xc5\xce(\xc9kI\xff\xa7\xbe\x1e\x84H \xa5(\x9bafy><\x87j\x14\xa12\x99"\xd05Z\xb7m\xf4@\xdc,\xa0*(\xc7\xd1\x80\x03\xac\x8e\x9f\x93\x94\xa2D\x8aI\xc8\xee\x9c\x9a\x82\xe3rg\x0e\xa9\x0e#H\xb8\x00 \xd9\xe0JE\xdd\x95\x96\x8b Z\x00\x1fl\x90x\x97\xc9WS\xb3\xe8\x92\xa8\x1c\xd75\x9b\x1b)\x10\xb9o\xe6\xc8\x1aHo\x88\x19\xf66\xb7\xc9\xa8\x9f\x04\x978J\xa8\xdcn\x0c\x8d\x13I;\xefm\x15T\xe4\xc0at<9F"\xb6\xe9\x9b!\x19\x92\x89 \x92e\x92n\xc7\xba\xd0\x81\xe5\x07\x08;\x16y\xda\x07\x16\x0e\x87\xe0dM\x9a
HKEY_CURRENT_USER\Software\Microsoft\
Bykeba
Lyabem = T\x98\xa8J\xa6\xf0W"\x86\xcf\xfd\xf4\xd0\xdcT3\x9b\xb0o\xaa\x7fC-s*\xbdH\xc9N\xa6\xd3\_\xabN\x8f$\xb9\xb6\xe6\x07=\x80\xc0a\xb4\x01\xed}\x04\x08\x9d\x01\xb2\xc3\xbd\x8e\xd1\xad\x07(\xb1\x93\x1aa\x10\xf3\x11\x18\xac#\x99\xf6D6\xc5\xf7(\xf9\xac\xee\x1d\x97z\x82w\xb3\x03\xe6\x99\x923\xbcut\xfc\xe2y\xfc\xf0.p=F\xf4\xe4+\xb7\x95\xa9\xab\xdf\x13i\xa3l\xc7e\x18\xe7c\x10\xa0\x0e*\xf0\xdbNRGZ\x11\x9b\xb5\xc8\x03tkt\xda\x8e\x1bRq\xdd\xe8x\xa2+\xff\x1fI)r5\x83\x00]\xb3\x13?\xe6|[\x05+{\xe6@$v\xd5\xb2u \xdc\xb91y\xb64\xb1\x12/7\x19k\x08\x8aH\xaa\x87\x0e,\xec\xbd\xd6\x04\xe9\x03\x8a\x12WN\x97\x89ZwH\xf5+\xd5Q\x0e\xbc%*\x1d\x9d\xd0p\x01*V\xe2L\xdd\xe7\xd6\xc2\xfc3\xfbw\x85
\xaaD\x12 p\xed\x9b3\xeaV\xed\xf4\xc1\xc2\xa0x`\xa5\xbdH\xa2\x01:g\x03^\x9a?\x1e\x98\xe7\xc7\x16n\x0b\xdb\xc0Kg\x03\xa1\xe6\xcf\x16\xfb\x81\xf2+\xf5-\xc0\x9e4\x03\x11iK\xbf\x9ek{\xb3:\xf3qM;R\xea\xdc\xbfs\xe5{\xba\xf4\x8c\x00\x1b\xd1\x8aJ\x8e(7\x08\x9b#t\xbf\xd7\xdc\xf9\xc3\xcc\xd6\x9e\x85\xdb\xfe\xc9\x9d\x81e\xfb\xa2\xbdz\xb8\x1d\x01\xd4\xc7\xf0\x91\xb4[T\xe2\xa7G\xfa\x17\xe3\x1aO\x92\xa1\xa5\xddcj\x80\x1e\xf9\x132\x82xPSX\xa8\x19\xee?\x8f\x82\x96\xe7|aC\xab\x93\xd3\x1f\xce\x1aDF\xd5H\xbd\x194\xde\xb4\x83\x98\xd8\xa7?\xc9\xbd~\x9e\xb5\xb73\x05\x9b\x0b\x9c\x1d\xab\x02\x83\xde\x81{\x95{\xc3\x9d\xb0\xbc\xef5\x97@\x07S\xb6x\xa2\x0521s\x83\xb3J\x1am\xa3MZ\x1aV\xe0=\x14\x89\x0fk\xf0\x98\xa1\xbdmY\xa9:xd\xbfDrd\xcd\x06x\xc5\xf0%\xfa\x96 \xb5\xcf\xb4nMt:\xe1H\x0c\xc15\xd2
HKEY_CURRENT_USER\Software\Microsoft\
Bykeba
Lyabem = \xc0w\x9b\xc6\xfe\xed0\xd9\xb1/\xf5>\xc2\xf2\xfbO\x83^\xabd:!s\x155\xa6\xb2\xb7DL\xf49\xeaZ\x8f\xa6\xe0\xb3,|\x08\x9fK\x83\xb3)\xc0\x04\xecmf\x83\x08\xf5\xfc\xb5\x93h\xb4l/<\xce\x1d>\x84\xaa\xbf\x12_\xe4\xa2,\xeb\xad\xfcz\x82_\x843+\xbfH\xfa\x02\x00\x8d>\x12M\x9c;\xfcJ\xefNwkq\xbf\x94\xe7\x11\xa7\xad\x96H\x99\xe8\xc3\xdb\x8e\xf9Y\xed\x08\xf80O\xb5\x0f\xfa\xbaM\xaf\xael\x19h S\xa0:\xadm\x94\xfb 1k9\xde\x87'\xea\xee\xb8\xb1<\xb0\xb7\xf0\x9e\xda s6) \xd2\xe1^\xca\xb2\xafTz\x07\xe8\xa8G\xfb\xd9\xb5\xa9o\x84\xc1_\x9b\x95\xc9\xbb\x88\x99z\x0bqB\x82\xb5\xb6\xc3 \xab\x9b\xc4z\xb8?s<\x92\x800\x81\x90\xf1gw\x9e\x8b\xa4\x8dz\xdc\x01]1Yq\xa0A\xde\xa0q\x8bH\x80\xa6\xda\xf6\xfa"\x8b\xfcB?\x83\x90R\xf5\xb64\x0f\xcf\xfb}\xf2\xc0\xfe\x00w\xa00\x82,\x9e\x0c\xf4\xb7\x16\xc3\xffR\xddch:;?\O:\xd5'\xe4\xd6\x12 \xd7_ms\xca\xce\x9c\x07j\xca\x8a\xb6\x03$oN\x11\x8e\xa2\x18k\x05\xef\xce\x82\x0c&\x89\xe3N\x89\x89\x7f\x82\xfbK\x8f\V\xa00\xd0l[:MI\xb5\xa4\xdd\x02*3\xfb\x9c,= \x03G\x98e[\x07\xbcsZ\xe1\xb8\xa6\xbb=FO\x9c\xb0\x1a^lr>Ql\x1d\x83\xea/\x1d[\x93j\xd84s"\xbb\xc9!\xe5T\x0c \xa2@x{+Q rcvqL7\xa3[\x1dEf\x87/ \x97\xf6h\x16\x11\xdc\xb5\x85&D\xe6\xb89\xacLs\xcf\xdaH\x9eZ\x8esSZ?\xe6m\x89n\xb6I\xdf\xc6\xa5^\x00\x08\xc1,\xf5h\xe04\x87\xe5\xfc\xb5\xc0R'7!\xcc\x9e\x94\x99\xf2\x13MB\xa2\x0b+8dMj\x93\x84El\xba-'\x9a\x80\xfen\xceZ\xe6:m\x84\x05f\x90\x12&\xb9\xda\xb9\3\xd8~h\xb3<\x92\xe4\x8b\xf1\xe9\x07\x97\xa8
HKEY_CURRENT_USER\Software\Microsoft\
Bykeba
Lyabem = \xc6N\xa3\xed\xba\x1b\xda\x1b\x9d\x88\xd0z\x942\x7f\x1a\xa2\xae\x19\x16\xfbHN\xea\x9d\xcd0T\xdd\xee!C\xca\x16h\x90Zq\xd2X'\xbe\\x85\x9b\xf9q!O\xc2\x04\xf1n\xd6\xf3v\xeb- \xfe]\x9c\xbf\xa5L\xec$\xa4\xad\xe8\xb3\xd2\x96-\xc7\xf32\xa0\xe3\x157\xde\xd1\x08>?\xf5\x88\xbfn\xa8\x80vN\xa8\x83|\x82Y\xad\xb7\x00\x0c\xf6\xe6\x9f\xec\xb1\xc5t{\x05;\x9a> \xda\x92w\xda\x97\x1b\x86\xe8I\xcdtX\xa7\x14F\x10ay]b\x9e\x1a\x9c\xbe\x14\xbe\x01\x18Y\x84k\x1a<\xb6\xab\xe9V\xf8\xcd\xc1\x1a\x16P\xd9'\x0c\x9d\xea\xda\xf2U\xf5/\xb2\x82ci\xc4'\x7f\x88K\x88}\xed\x0c\x0e+\x00[\xa6\xee1T\xcd\A\xbe\xee\xb3\y\x9a.\xb5\xd7sNp/\x89\x95\xdd1[D\x81$\xd8D\xac\xe1;\xfdfF\xec\xadq\xaf\xcb\xab\xb2\x92s\xa6\xea{dE\xb6*Y)\x88\xc7\x92\x9a\xc2\xaf:IO\xe64\xa9\xa5\xfcf6o\xc9\xec\x11(\x9f\x12\xcd!\xed\x06\xba\xde\xda\xbb3\xb3\xe79\x01\xbd\x82\x90\xc0\xb3q\xd7\xbec\xb0\x7fF?\xfa@ \xd3T\x1a\xc47%\xdf\xcaq\x84\xbay\xe0\xde\xf0\x82P3a)\x8e!Q|\xb7~C\xe4\xff\xa0`.H\x19\xb4q\x89\x8e\x9a \xe1\xa49\xa8\x03\xc0\xcaFX\xa5+ \x0bbx\xa57\xca\xb4\xf0\xf7\x98\xf0\xd8\xd8746Tu\xf77\x13u\xb7\x90+\x12\x9e\xc0H\x85\x9a?\xef[\xf6\xd9+\xd6#\xb3\x0fJd)\xc2\x01\xe8\xbf"\x03\x10\xae\xb1\xda\xdc\x8c\xfd?\xe8\xfa\xba\xbe\x13\xe8\xcb\x9al\xad\xab\x0b'\xa6{\x0e\xbc\x8d0\xd5\xc4d\x9fq9r\x0b\xde\xe3Vs\x96]0\x99\x9d/$\xca\x10/\x95\x9c\xcd\xf3A\x98\xd6\xd6\x7f\xc0\x7f\x15u\xe7\xb8\x8f\x1e\x83\xf9)\xd3O\xe5\xf5\xa7\x1e\x84\x1f\xd4\x06G.G\x18/\x81/o&\xb2\x1f\x83\xc5\xc2m\x8bJI\xc0\xfe\xeaO\xb6vv\x80\x1eY\xb4\xab\xba\xd1\xfd\xf6\x87\xbd\x9ct
HKEY_CURRENT_USER\Software\Microsoft\
Bykeba
Lyabem = 4\xc5\x1b\xb2\xa9\x9a\xf9\x7f\xf9&2\xbeo\xa1w\xdc\xaf\xa5p\x9b\x7fe1\xb2\xe1r\xcb\xc0\x81\x90\x07y\xf60\x83m#\xd5\x16)\xc4cs\x1f\x98G\x1e\x90\xc9\x99\xc7|\x17\x06\x91\x84S\xd6\xd5\x15\x0e\x99\xb0g\xe7\xc6O\x99\xb7\xc8\xb5\x97~]\xd5\x9c2\xcb\xb0,]w\xab\xcb`6\xd5C\xc8|\x9bVo\xb5\xec\xff\xa6\x97#v)\xea\xf1\xed\xc1\x06b\x8c\xd2\x8elK\xaf\xa8+ \xe8?J\xa9\xa7'I\x06\xcc\xdc\x8c*VW\xdc\xd5\x91\xf1\xd2\xfb\x8d\xfc\x97\xec\x8c\xd6\xa7\xce\xe6)\xb7T\xe3<\xeb\xffI\x80\x02Fk\x95\x1e\xeb\x1d\xa8\xaco,\x89T?'\xac\x8fvV\xdd\x91O\xc0\x13\x9dk\x83\xc5\xdbn\xaa\x97o\xeff\xaf\x96e\xa5\x0cd\xc0Rk\xe9=\xe2\xef\xb3\x91\xc1+;f\xb6`=\x9a\xc5\xedS\xc34\x88#KL\xe4l\x1br\x90\x0f\x0e\xed\xf4\xedI\xa5\x01^ \xf3\xe9Q\xcbt\x84z@\x19\x8a\xcb\xa4\x80\x87\x9bU\xfa]/\xf6\x0b\xca\xa3q\xb1\x17\x0c<\xc6QJ0 BZC\xb9\xa3\xc3*\xa6\xb0[\xea\xaa:\xee"E)\xb2\x17\xd3]\x0b/fW\xbd;\x86#\xb0t\xad {\xb6\xe3}\xd0\xe6\xb9I\xf9hC\xcb\xb2\x13gv\xee \xda\xb6\x10\xa30\x11\x1d\xdc[BM\xc1(\xd8\xc0 \xc2P\x99\x9bU\xdb\xdf\x1c=\xf2\xabj\xea\xcd\xacPZ\xa2\xf1\xaa\xec\xad\xfba|\x06\xe2)f;\xc1 \x9e\xf8\xd0\xdb<\xe2^\xbem\x14\x81' `\x8c-\x87\xd17\xb8\xc8P\xe0jG\xba\x19\xe3f\x8e\x83\xca\x9f\xe9y~\x8d\xed\xdd\x8eQ:\x03\xd3\x89\xf39\xe3\xffE\xc6\xccZ\x0bx\xc1A\x83\xd6_\x0cx\x84ZPsb\xb64\x94\xe4X\xc8e\x98\x0c} \x94\x83\xbf\xf6\xde5\xb2Fbp\xc3\xc0\x1e@\x19\x93\x8dK\xca\x05\xdb@\x91\x91\xc6|D0\x9f3\xbe\xa6\xfb\x00\xe1t\xa4\x05R\xa4*\x85|)c\xb9cZU\xff\xfbvN\x9c82\xfd8k1\x8c\xf3\xd7Q7
HKEY_CURRENT_USER\Software\Microsoft\
Bykeba
Lyabem = 8\xb9et\x12\xfd\x7f\x1ez\xc8\xa9\xa1\xa4\x0b\xbe\xd8\x00\x7f\x17\xdb\xca\xb4\x9c\xa8\xee\x99\xc1\x12Fe\x08\x14\x835&c\xbc\xbbHKOhZu\xc7:\xe1\x1a6`\xc3\xa2\x01\xa4\xce\x00[\x10\xa8\xd3\x9b\xafQ\xf05\xbc\xb7I\x89K9N\xa5\xb09\x1d\xf9\xe7\xd8\xb3\xf2\x9f\xa9\xf1W\xab\xd2\x07\x11\xed\xc8\x10%r\xf9\xe6\xc5cfj\xa0\x94\xe6\xc0S\xe3\x1fY<\x87\x0c\xbd/\xf8x\xdaI\xae\xd2Q\x1e\xdb\xbe;\xbb\x811e\x89,I\xd7\xa5F\x81`\xcc9\xd3U[\x0fm\x9b\xa8CDc\xaa\x1d\x11\x0e\xa1\xa9\x11\x07\x9e\x8eD\xba\xfd=\x15t\xc0\xe1|A\x81m\x1c\xea\xffVY\xc6#\xdc\xfb\xc1\x92\x92J\xe1\xa3=\xe7\x9c\xb0\xb4\x84\xe4R\xb9$\x0e\xac\xdc\x9f!\xb9\xc7b\x08\xb2\xe4\x99\xd8\xa7'\xf4(C\x1e\xcf\xe8\xa1c\xf0Q\xdbt)\xd5\xf2\xf3\xf4\x93\x0b\x03\xca\xbe)l|A\xdch*\xd4\xc6n\xa6a\x15=\x98R.[\xcc\xae\x82\x106\x1e\x8e\xb3\x1f2\xb1(\xae\xc9\x17\xf8\xde\xf6\xd1\xec\x056\x9d\xf7\xf9\xc6\xcf\x8c\xfc
HKEY_CURRENT_USER\Software\Microsoft\
Bykeba
Lyabem = \xbd\xba\x156\x97\x10f\x94\xb8\x0f\xbc[V\xf4\xbc7\x1c}\xf5<\xdd\xc8\xfa\xd2\xb9\xe7\xfd\x8dC\xb7M\xfc{\x99\x9d6H\xa4Y\x0bKm\xac\x08\x00\xf5\xa3}\xb3\xaf\xdc\xb0\xb2#d6Z\xe7\xedl\xe3\x99\x01s\x0fv\xf8\x11\x8f}\xa4\x8c s\xf2\xe0GA\x90\x9d\xdb\x1b\xd7?\x1d`\xe4\xba\xf1\x13"\xcd\xe6\xd2\x96\xbc\xddJ\xfe \x08\x07\x13\xaf\xbd\xa5\x13.\x13!\xda\xb7|X&[.\x85\xc5\xdanQZxJ\xb3\x19\xb3\xb6\xfc\xf7F\xc8\x9e\x91\x16Ve\x91_\x00\x15G\x0f\xadYT?\xa6\x05\xffY\xf6\x888 \x17\x91\x03\x93'*B\xc0\xe0\xbc\x1d\x1ca\xd7H\x90\xcd0\xb8x\xf61O\x12\xa3\x1eE*\xbc\xd2\xcc\x92\x86\xf07\xfc\x91\xfbgD\xe57.V\xf78\xf6\xc6o 4\xbc\xe1-\xd4\xc9\xda \xea%\xb3\xbd@\xc2\xb0U|\xaa\xa5b\xd36\x85\xb2\xc9\xae\xfd:\xa4},\x90\xb5\xef\xf25\xea\xf6ahs\xc2\x04\xd1\x10\xa1\x9e\xb6\xf3E4KYSU\x1ee\xed\xe0\xf3\x00P\xcfC\x7fa\xa2\xbf\x13-\xe2\xc2\xday\x1a>c\x84\xff\xc0\xa5\xd96\xde\xb6\x08\xccV\xbf\x99T\x87\x1c\x7f\xf4{D\x08\x8992E^ \xfe\x95s9\x00\x06\x93#az\x8a\x0c\xa8 \x10Fa=\x96l`\xa2Ox\x1c\xdc\xf5C\xf7 :\x04\xa7pY\x13\xe2y\x8c\xb3;}\xfa\x8dOt\xac0\x95\x0c\x7f\x1a\x0b\xd9\x16~\xba\xffGV\x83\x06\xadZH5\xb2\xd1Y\xaf\xc0\xean \xb6\x96\xa1P\x8cc\xf4Q\xb8@\xf7=\x9e\x86\xee\xb9\xc3\xc8\xa7\xd0\xf8\x94\xdc\xad\xa5\xb1g53\x0c\xa6\x88\x87\xeb!\x955c\xc4\x86d\=\xc87\x05c\x8f\xfd\xfbR\xc6\xd7\xb2\xb6\x00\x99\xec\x0c\xb4\{\xe4\xad3\xa9\xc9\x14@F\xfdw\x1c \xc6\xaf\x8f\xaf_u\xbdk\xbe6\xeb\x19\x15k\xc1 \x05\xe3\x02\x17!\x19\xb9\x88\xd1\xf0\x05\x1e\xf0Z\xa2\x83&~YpRB\xa5\xf4|U\x16\x89\x05$R[\xfa\x98X_P
HKEY_CURRENT_USER\Software\Microsoft\
Bykeba
Lyabem = \x9a\xe6\x9d\x0cT'\x01\xef\xa8\xaeh\x82\xc6U\x87\x1e\x93\xdd\xe2\x02\xf5p\x12\x8f\x00x\xf4\xf7=9/\x01l\xc3De\xcd\x98OW\xd5#\x9d\xcc\x85\x8bY\x0bPt?2\x05*\x1a',\x065\x89\xc5\xadL\xc7Zc\xf1\xd4\xd5\xa2M\xd6,Hi\x91Sfd\xcc\xca'j\xb7 >\x17R\xca\x88\xb7\xaf\xaf\x15\x8a\xe3p\xa5j\xa8\x12\xb5> Av\xa6\x99\xa1A\xc7\x1f\xf5\x9c\xa7-<\xe55 \x0cb\xcc\x138TP\x81\xc6\xe6\x86\xd1X\xb2\x9e\xc1\x80x4T\xa3 \x9c\x1cb+\xd5\xde>\xf9Z2\xcam\x90hX\x90\x14\xe9\x84\xa46\xdcY\x1d \xf9\x88\xed\x92W\x9f8%!b`\xf1H\xaf\xc1u\xbfS\xbb\xae\x89SS\xdd\x98\xd0\xbf\xfe\xa5\xbc\x14\x83\x8c\x18G\xe1bYwd\xc4\x82\xc5A\xa8u\x08\x9em\x0b\x89\x12;\xbce\xcfY7s\xccJ\xe7\xf4Hp\xcbRe\xa7y\x96\xb6\x8c\xa7P\xe4&\xdf\xfee|\xbbh \xb1\xf5\xa9\xc6\xd4\x9b\x1b~\x07\xaa4\x17zC\x8f\xa5n\xbf\xfb\xcb =\xd4\xc7\xb2,\xc6f\x94\xf6\xfd\x0c\x1bf\xcad\xe3\xc7-r?\xf5E\xae\xb5Z\xed\x9a6 \xf5\xaa\x8c\xb2C\x82\xb1\H\xad\x18\x11RS\x97X\xdfwtG%T\xa0\x19\x9aV\x12\x13,\x93\xceN\xa0J\x12\x9d\xa8\x02\xd2\xccO\x9c\xaa\x00K\x19\xe5$X\xd6p\x0f\xa3\x0cG\xe1\xe9\x14o\x9eZ\x9f\xc7\xed \xdemL\x7fGAU\xcfF\xf26>`\x18Y\x07d\x10\xf9>\x04>_OM\xb7\xa9\xd8g\xa3\xcc\xce\x8b\xc3\xba\xa5l\x104\xc7\x0ePx\x8e\x9f\xfb \x93s\xf4\x14\xf9 \x06\x12\x9bvV\x953\xd0\x88\xf5\x1d\x1c}\xe7ElM(\xfc \x0fR\xff\x13\xc1~(\xecD\x819`i\xdb\xa1\xb0\xc0\xe1\x96\xd3\xbba\x82\xe6c\x99T\xfb\xb8\xc5[\xf4\x0c\x9doeu\xcdv\xaf\x1f\x03\xdc\x9aQ\xe2\x02?\x9e\x17_\x96t\x94s\x92\xb0\x18\xd7\x1b\xbc\xa5W\xbb
HKEY_CURRENT_USER\Software\Microsoft\ HKEY_CURRENT_USER\Software\Microsoft\ HKEY_CURRENT_USER\Software\Microsoft\ HKEY_CURRENT_USER\Software\Microsoft\ HKEY_CURRENT_USER\Software\Microsoft\
Bykeba
Lyabem = \xae\x00M\x87\x98W\x19\xf0Xm?\xcb(a\xe4N\xda\x11\x94\x84g\xd8\xed\x08\xf98\x84\xc1\xc9\x94\x80hN\xbcqH\xba\x00\xb7\x85\xf7&\xf3\xabh\xfb\x9a\xd5<\xd1\xbb")\xbd\x8d\xdc9\xb6f\xb3$\x1c\xd4\x1dv\xcc\xff\xc0\x1c\x9d\xaav f\xea\xe2Q'\xc6\xc1\x92\xba\x03\x01\xf7\xbc?\xd7q\x14\IP\x16\x96\xab\x8c\x7f\xf1\xf6\xeb'\xa8\xc9\x02+R\x07\xb7\x7fV\xd3dc\xd4v\xcf3\x8eVo\x1b\xaci\xb8\x91!\xda\x80 \xb2`\x80\xe0\x1a=?\xa8\x85}\x87\xb0iHk\x04\xear\x1a\x98"2[\xaf\x97\xecGnU\xda\x96I\x85\x9a\xf5\xbc^i\xbd\xaf
Bykeba
Lyabem = 6\xfa\x1f2\xaca=\xe3\xb5|\xc4\x8c\x92$/5\xaa\x0c\xb9\x1f\x99*\xb4\xb9LV3\x9a3\x0c\xc8\x907KF~\x86\xb0\x88O\xb9\xc7\xc9Hc\x8e\x81\xf5\x15\xc5(\x1d6M\xaf\xed\xc3#\B\xeb\xe9}\x0e\xfe\x97hv\xaeu8\xec
Bykeba
Lyabem = \xe9;\xbd\xc2\x05\xc5^,q9\x94!\xce=\xff\xa2Z\x1b\xe0\xbck\x1ee\xbd \xea\x16\xf8\xd3\xd6\xb3\xc94\xdf\xb2\x8d\xfd\x95\x92\x9a\xd8\xf5v\xcc^\x96\xa6\x8b5\x03j\x9eT\xd4\x17x\x81\xfe\xd2\x87\x04\x80\xe9t\x0b\xe6\x8e\xa5M*\xd0\xa73Y\xdf\xeb2\xb6\xc0 K\xbaD\x98'\xd2;0\x90\xea\x90\x8ay9\x8ap\xfd\xfc\xd0#\xda\xd0\xfaP\xb9\xc2\xa87C\xeaT\xfc[\xd3bN\xe2\xf6\xcc\x8a\x03\xd9X4\xc8\x13\xb2\x0b\xff'\xf6\xef\xd0\xb6Y\xc9\x96'\x99{T\x01\xa0\xfd\xa9\xc7\xf4\xde\x87\xa7\x80\x19n\xf4a&`\x87\xe9L\xd2\xde.&)!n\xb6\xfa\x891\xf1\xf1\xfdh]Z\x1c\x02\x9d\xcaM\xbe\x10s\xe8\x0f^T}\x045\x02\x8f\xee\xd2\x99}z\xda\xa0 \xda\xf0\xb7R\x96O\xcb\x94Ri#\xbf\xc9u\xe5*|Z\x9b\x8c1\x8f//\xe0D\xc4\x87\xe91m\x13\xfd\xb0\xa1\x01\x8d\xd3\xf7\xe9\x8c\x13>9\xf8\xb8\xc2Z\x08\B}%\xba\xbaz&\xf4Y\x9c\xfd\x15_yG\x82A\xc65\x0e\x88\x8e\xa9\xbc\xa9\xa0\xf2v\xfc\xc9xGN4\xa0\x95\x89\xaf\xf3QP\x1fi\x98\x8aB\x84\xc8\xbc\x04\xde\x82\x7fr\xe07\xe4\x92\x8b\xef;\x13)L\xc9/!\x94\xe9\xb2z\xc0\x1f\xfbj\xb8\x9b\xf1!\x16\x0e\x1c\x97]C[R$\xceS\x02\xd9\x04i\x9ai\xbb\xca9sF\xab\x95\xb7\xd8\x0b\x94RH\x12\xa2\xd4\x1e\x9e\xdep\xc5\xd9\xfaX\x88\xd7qXz`\xfff\x85\xc7\xb5d\x01:\xa6YIxS\xca\xca\xb0\xaf\xc3O\x05\xab\x9e]%a\xa3Ff\x91\xe4\x01\xde\xd7\xd0\x0b\xa4\xc52 AL%\xfdC\xecC]\x83m`##\xfc5zP\x92\xa7\x8f\xd0\x0bVA\x1d!e\xec!;u\xe2\xdc\x12\xcd:&u\xb01\x89\xc3\x1f+\x8a\x03\xbe\xe3{\x8b\xb1\x1b\xc%System Root%\x159\x9e\xac\xdc\xc5\xe5\xf7[\xa6\x87\xfa\xd8_\x11E \x93K\x89i\xbc\xba\xccA9\x7fD\xadx\x06\xce\xc8k\x17\x0fzx\x01\x1f
Bykeba
Lyabem = \x0eq*A6\xfdm6@\x91\x04\x8c\xe7\xc2\x9b$*\x8f\xda6^\x84V\xac\xdb\x90[6 ^\xe7jRD\xbc\xb2\xf2\xf4X\x8e\x9b\x10\x0br\xcd\x85\xa6t\xa7\xfdQ\x9e\x9b\x97H\xc2\x1c\xb0\x06\xd0\xd4\xabZ
Bykeba
Lyabem = I\x14\xf9n\xb0=\xe7\x95\x93\x1f\xf0\xce\x1d\xf2s\xd4f\x04t\xe5\xd4q\x01\xb0A\xe0\xff\xe5\x96\x9f\x9e1\x0cr\xb8t^\xb6Z\x92\xb3tG\x1b\xc8Zk\xdd]\x9a \x15jh\xa2 \xaa\x9b!\xef*\x00\xd1v|r\x88 \x04\xc2}\xc5a%K\x16\xf5S\xf3\xf8x\xf1pD\xa6f5\xa7\xe0\xce,\x1b0\x96\x06\xc5\x8f\x89\x0e\x06g\x1b \x8c\xf7\xc6\x81\xed\xc2IH\x8dcw:\x94\xb3\xd8\xc0\x9a\x07o\xbds/\xd9\x17\x7f\xeck\x1eA\x9d*HS\x9e\xe1\x8bT\xc6g\x8b:\x893\x0f\x91\x10O_\xe2\xa7gI\xbdP\xd1#\xc1\xc8N\xd7\xc1\x1f\xd6\xd3'\xae%\x94&N\xb5\x9a\xba:\x19,\x9b\x1c\x91\xcf,\xee\x99(\xe0@\x04\xa3g\xc7\x8e\x0e\xca\x12\x8f\x1fQ\xa6\xb1X\xac\x94\xaah\xd6N\xb5\xaf\xf1!\x19\x96\xfc-\x8f\x90fgL\x84\xdc\xce\xbc\x11S\x91h-\xb6\xf3%p[-\x9c^\xee2\xe2\x85T\xe1\xff\xb9\xf1d\x9c\xad\x12A\xd5\x83M\xffn\x8b`\xbeAW\xdeo\xd3\xc9\x90<\xb70\xb6b\xe2\x170\xcf\xc6?\xc6\x8e"e07<_\xec\xc4\xab\xa9\xb6\xa5YE\x07\x1e>a5~,H\xf3p\xc6\xadI\xae\xf1]R\xef\xea\x1a\x15\xf6\x1cU3\xe8B\xf3\x94\xa9\xa4\xc7\xc4\xed\xc1\xed\x18L\xda\x98\x86m\x1e8P\xaf\xa1\x10[chiN\xa4\xe9\xbf\xe4\x81\xa2\xa3\xac\xb2\xea\xe2\x18\x01[\xe8\xea%\xda\x9b\x0e\xc3V\xe1\x94\x80\xa8Gv\x1dU\xe3'\xc3o\xa8\xac&\xa8\x0c\xd1\xe2~\xb7\xfeU\xa0g\xb4\xd8o\x91\x97\xf5c|\x87\x80:\xe9\xe3\xcbI\xea\xd1\x05\xfa|"\xb1\xe1\x8e\xde&NuI\xcb\x97\xc0\xa3drG\xeao\xd4\xd8\xa2\xf8\x06=|\xa3\xc8+\xc5"\xb5\x9b\xac\xff\xf2\xbcU\xa3{A\x8f8\x9auf\xfd\xc5\xb2J\xb4s.JT\xa1d\xc4\x80\xa4\xdb1\xdd\x10\x9e\x04\x8cv\xb1\xed\xec\xfflp\xae\xf6*\x1c\xf9\xfdm