Se sto leggendo questo correttamente, hai cambiato un servizio Windows, UPNPHost, per usare un eseguibile diverso da quello con cui è stato spedito, giusto? Se è così, il processo muore perché non risponde correttamente all'host dell'attività, quindi viene ucciso dal sistema.

Ive tried adding another user as admin but do not know how to switch to that user.

È possibile passare utilizzando Desktop remoto. Tutto ciò che viene generato da nc.exe verrà probabilmente ucciso immediatamente accanto a esso.

Presumo che questo è il modo in cui hai aggiunto il nuovo utente come amministratore?

net user anderson cooper /add && net localgroup administrators anderson /add

Metodo 1: Desktop remoto

Prova a RDP nella macchina con lo username anderson e la password cooper . Se RDP non è aperto, abilitarlo:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

Metodo 2: Migrazione Meterpreter

In alternativa, puoi caricare una shell meterpreter e utilizzarla al posto di plain nc, quindi velocemente migrare ad un altro processo così la shell continua a funzionare.

Ho trovato a volte utilizzare la shell inversa per eseguire un altro reverse shell nc.exe nella casella di attacco prima che il servizio muoia impedendo il servizio iniziale di arresto anomalo. Quindi utilizzare la seconda shell inversa per continuare. Spero che funzioni per te, buona fortuna!