Summary:


NtCallbackReturn(>)  1 
NtUserSetTimer(>)  1 
NtUserDestroyWindow(>)  4 
NtUserSystemParametersInfo(>)  11 

NtConnectPort(>)  1 
NtUserUnregisterClass(>)  1 
NtUserGetClassInfo(>)  4 
NtGdiCreateCompatibleDC(>)  12 

NtCreateEvent(>)  1 
NtContinue(>)  2 
NtUserGetClassName(>)  4 
NtGdiExtSelectClipRgn(>)  12 

NtCreateSemaphore(>)  1 
NtDuplicateToken(>)  2 
NtUserGetDCEx(>)  4 
NtGdiGetRandomRgn(>)  12 

NtDuplicateObject(>)  1 
NtFsControlFile(>)  2 
NtUserGetForegroundWindow(>)  4 
NtOpenProcessTokenEx(>)  12 

NtEnumerateValueKey(>)  1 
NtGdiCreateBitmap(>)  2 
NtUserGetTitleBarInfo(>)  4 
NtOpenThreadTokenEx(>)  12 

NtFreeVirtualMemory(>)  1 
NtGdiCreatePatternBrushInternal(>)  2 
NtUserSetWindowsHookEx(>)  4 
NtUserQueryWindow(>)  12 

NtGdiCreateDIBitmapInternal(>)  1 
NtGdiCreateSolidBrush(>)  2 
NtGdiBitBlt(>)  5 
NtQueryDebugFilterState(>)  14 

NtGdiExtCreateRegion(>)  1 
NtGdiDoPalette(>)  2 
NtGdiCreateCompatibleBitmap(>)  5 
NtUnmapViewOfSection(>)  14 

NtGdiGetDCDword(>)  1 
NtGdiGetDIBitsInternal(>)  2 
NtQueryDefaultLocale(>)  5 
NtUserCreateWindowEx(>)  14 

NtGdiGetDCObject(>)  1 
NtGdiGetWidthTable(>)  2 
NtReleaseMutant(>)  5 
NtUserSetProp(>)  14 

NtGdiInit(>)  1 
NtGdiStretchDIBitsInternal(>)  2 
NtUserGetAtomName(>)  5 
NtCreateFile(>)  15 

NtGdiOffsetRgn(>)  1 
NtOpenDirectoryObject(>)  2 
NtUserWaitMessage(>)  5 
NtGdiIntersectClipRect(>)  15 

NtGdiQueryFontAssocInfo(>)  1 
NtOpenThreadToken(>)  2 
NtWaitForSingleObject(>)  5 
NtRequestWaitReplyPort(>)  15 

NtOpenEvent(>)  1 
NtUserCallMsgFilter(>)  2 
NtCreateMutant(>)  6 
NtDeviceIoControlFile(>)  16 

NtOpenKeyedEvent(>)  1 
NtUserGetIconInfo(>)  2 
NtGdiCombineRgn(>)  6 
NtGdiDeleteObjectApp(>)  17 

NtOpenMutant(>)  1 
NtUserGetImeInfoEx(>)  2 
NtGdiCreateRectRgn(>)  6 
NtGdiSelectBitmap(>)  17 

NtOpenSymbolicLinkObject(>)  1 
NtUserKillTimer(>)  2 
NtGdiExtGetObjectW(>)  6 
NtQueryDirectoryFile(>)  17 

NtQueryInstallUILanguage(>)  1 
NtUserQueryInputContext(>)  2 
NtGdiGetStockObject(>)  6 
NtQueryInformationToken(>)  18 

NtQueryObject(>)  1 
NtUserSetCursor(>)  2 
NtQuerySection(>)  6 
NtGdiDrawStream(>)  19 

NtQuerySymbolicLinkObject(>)  1 
NtUserSetFocus(>)  2 
NtUserBeginPaint(>)  6 
NtOpenSection(>)  19 

NtRegisterThreadTerminatePort(>)  1 
NtUserSetWindowFNID(>)  2 
NtUserBuildHwndList(>)  6 
NtUserGetWindowDC(>)  24 

NtSecureConnectPort(>)  1 
NtUserSetWindowRgn(>)  2 
NtUserFillWindow(>)  6 
NtOpenFile(>)  25 

NtSetInformationFile(>)  1 
NtUserShowWindow(>)  2 
NtUserGetDC(>)  6 
NtAllocateVirtualMemory(>)  26 

NtSetInformationThread(>)  1 
NtUserUnhookWindowsHookEx(>)  2 
NtUserGetObjectInformation(>)  6 
NtUserRegisterWindowMessage(>)  26 

NtTestAlert(>)  1 
NtAddAtom(>)  3 
NtUserGetThreadDesktop(>)  6 
NtQueryAttributesFile(>)  34 

NtUserCallHwnd(>)  1 
NtGdiExcludeClipRect(>)  3 
NtUserGetThreadState(>)  6 
NtQueryValueKey(>)  35 

NtUserCallHwndParam(>)  1 
NtGdiGetCharSet(>)  3 
NtSetInformationProcess(>)  7 
NtMapViewOfSection(>)  39 

NtUserDrawIconEx(>)  1 
NtGdiGetTextCharsetInfo(>)  3 
NtUserGetAncestor(>)  7 
NtUserFindExistingCursorIcon(>)  44 

NtUserFindWindowEx(>)  1 
NtGdiGetTextMetricsW(>)  3 
NtUserInternalGetWindowText(>)  7 
NtUserCallOneParam(>)  45 

NtUserGetCursorFrameInfo(>)  1 
NtQueryVolumeInformationFile(>)  3 
NtCreateKey(>)  8 
NtUserRegisterClassExWOW(>)  47 

NtUserGetGUIThreadInfo(>)  1 
NtSetInformationObject(>)  3 
NtOpenProcessToken(>)  8 
NtFlushInstructionCache(>)  66 

NtUserGetIconSize(>)  1 
NtUserEndPaint(>)  3 
NtQueryDefaultUILanguage(>)  8 
NtUserMessageCall(>)  66 

NtUserGetProcessWindowStation(>)  1 
NtUserSetWindowPos(>)  3 
NtQueryVirtualMemory(>)  8 
NtCreateSection(>)  71 

NtUserInvalidateRect(>)  1 
NtUserUpdateInputContext(>)  3 
NtSetValueKey(>)  8 
NtOpenKey(>)  71 

NtUserModifyUserStartupInfoFlags(>)  1 
NtAccessCheck(>)  4 
NtUserCallNoParam(>)  8 
NtQuerySystemInformation(>)  73 

NtUserNotifyIMEStatus(>)  1 
NtGdiHfontCreate(>)  4 
NtUserPeekMessage(>)  9 
NtReadFile(>)  115 

NtUserPostThreadMessage(>)  1 
NtQueryInformationFile(>)  4 
NtUserSetWindowLong(>)  9 
NtProtectVirtualMemory(>)  132 

NtUserSetCursorIconData(>)  1 
NtUserCalcMenuBar(>)  4 
NtQueryInformationProcess(>)  11 
NtUserValidateHandleSecure(>)  205 

NtUserSetImeOwnerWindow(>)  1 
NtUserCallHwndLock(>)  4 
NtUserRemoveProp(>)  11 
NtClose(>)  237 


Trace:
 00001   896   NtOpenFile  (0x80100000, {24, 0, 0x240, 0, 0,  (0x80100000, {24, 0, 0x240, 0, 0, "\SystemRoot\Prefetch\PACKED.EXE-09ED06A1.pf"}, 0, 32, ... -2147481368, {status=0x0, info=1}, ) }, 0, 32, ... -2147481368, {status=0x0, info=1}, ) == 0x0
 00002   896   NtQueryInformationFile  (-2147481368, -142414796, 24, Standard, ... {status=0x0, info=24}, ) == 0x0
 00003   896   NtReadFile  (-2147481368, 0, 0, 0, 13474, 0x0, 0, ... {status=0x0, info=13474},  (-2147481368, 0, 0, 0, 13474, 0x0, 0, ... {status=0x0, info=13474}, "\21\0\0\0SCCA\17\0\0\0\2424\0\0P\0A\0C\0K\0E\0D\0.\0E\0X\0E\0\0\0\0\00\366i\201\0\0\0\0\0\0\0\0\20\0\0\0@-\201\367\0@\300\367\30,\201\367x@s\201@-\201\367\241\6\355\11\0\0\0\0\230\0\0\0\34\0\0\0\310\2\0\0\331\2\0\0\364$\0\0\36\14\0\0\301\0\0\1\0\0\0\212\3\0\0\200\14V6\217\260\310\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\1\0\0\0\0\0\0\01\0\0\0\0\0\0\02\0\0\0\2\0\0\01\0\0\0%\1\0\0f\0\0\05\0\0\0\6\0\0\0V\1\0\0\5\0\0\0\322\0\0\04\0\0\0\4\0\0\0[\1\0\0\3\0\0\0<\1\0\03\0\0\0\4\0\0\0^\1\0\0\4\0\0\0\244\1\0\05\0\0\0\4\0\0\0b\1\0\0\32\0\0\0\20\2\0\03\0\0\0\2\0\0\0|\1\0\0\23\0\0\0x\2\0\02\0\0\0\2\0\0\0\217\1\0\0\7\0\0\0\336\2\0\02\0\0\0\6\0\0\0\226\1\0\0\22\0\0\0D\3\0\05\0\0\0\2\0\0\0\250\1\0\0\14\0\0\0\260\3\0\03\0\0\0\2\0\0\0\264\1\0\0\13\0\0\0\30\4\0\05\0\0\0\2\0\0\0\277\1\0\0*\0\0\0\204\4\0\03\0\0\0\2\0\0\0\351\1\0\0\21\0\0\0\354\4\0\02\0\0\0\2\0\0\0\372\1\0\0\2\0\0\0R\5\0\02\0\0\0\4\0\0\0\374\1\0\0\1\0\0\0\270\5\0\04\0\0\0\4\0\0\0\375\1\0\0\22\0\0\0"\6\0\04\0\0\0\6\0\0\0\17\2\0\0\36\0\0\0\214\6\0\04\0\0\0\2\0\0\0-\2\0\0\13\0\0\0", ) \6\0\04\0\0\0\6\0\0\0\17\2\0\0\36\0\0\0\214\6\0\04\0\0\0\2\0\0\0-\2\0\0\13\0\0\0", ) == 0x0
 00004   896   NtClose  (-2147481368, ... ) == 0x0
 00005   896   NtCreateFile  (0x100080, {24, 0, 0x240, 0, 0,  (0x100080, {24, 0, 0x240, 0, 0, "\DEVICE\HARDDISKVOLUME1"}, 0x0, 0, 7, 1, 32, 0, 0, ... -2147481368, {status=0x0, info=0}, ) }, 0x0, 0, 7, 1, 32, 0, 0, ... -2147481368, {status=0x0, info=0}, ) == 0x0
 00006   896   NtQueryVolumeInformationFile  (-2147481368, -142414840, 8, Device, ... {status=0x0, info=8}, ) == 0x0
 00007   896   NtClose  (-2147481368, ... ) == 0x0
 00008   896   NtCreateFile  (0x100180, {24, 0, 0x240, 0, 0,  (0x100180, {24, 0, 0x240, 0, 0, "\DEVICE\HARDDISKVOLUME1"}, 0x0, 0, 7, 1, 32, 0, 0, ... }, 0x0, 0, 7, 1, 32, 0, 0, ...
 00009   896   NtContinue  (-142419640, 0, ...
 00008   896   NtCreateFile  ... -2147481368, {status=0x0, info=1}, ) == 0x0
 00010   896   NtQueryVolumeInformationFile  (-2147481368, -142414852, 24, Volume, ... {status=0x0, info=18}, ) == 0x0
 00011   896   NtFsControlFile  (-2147481368, 0, 0x0, 0x0, 0x90120,  (-2147481368, 0, 0x0, 0x0, 0x90120, "\1\0\0\0!\0\0\0H\10\0\0\0\0\1\0\2309\0\0\0\0\2\0\15\1\0\0\0\0\1\0\357\0\0\0\0\3\0X\244\0\0\0\0\4\0\217\10\0\0\0\0\1\0\214;\0\0\0\0\2\0XK\0\0\0\0\3\0f\10\0\0\0\0\1\0Z\10\0\0\0\0\1\0\304\10\0\0\0\0\1\0Y\10\0\0\0\0\1\0C\10\0\0\0\0\1\0/:\0\0\0\0\3\0\235\244\0\0\0\0\3\0\26\11\0\0\0\0\1\0\201\246\0\0\0\0\3\0\224\246\0\0\0\0\3\0@C\0\0\0\0\2\0r\10\0\0\0\0\1\0g\10\0\0\0\0\1\0\2\1\0\0\0\0\1\0o%\0\0\0\0\3\0\243\10\0\0\0\0\1\0q\10\0\0\0\0\1\0p\10\0\0\0\0\1\0@\31\0\0\0\0\1\0\2339\0\0\0\0\1\0\5\0\0\0\0\0\5\0\34\0\0\0\0\0\1\0'\0\0\0\0\0\1\0\210\0\0\0\0\0\1\0\2329\0\0\0\0\1\0", 272, 0, ... {status=0x0, info=0}, 0x0, ) , 272, 0, ... {status=0x0, info=0}, 0x0, ) == 0x0
 00012   896   NtCreateFile  (0x100001, {24, 0, 0x240, 0, 0,  (0x100001, {24, 0, 0x240, 0, 0, "\DEVICE\HARDDISKVOLUME1\"}, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) }, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) == 0x0
 00013   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446847, ... {status=0x0, info=1146}, ) == 0x0
 00014   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446848, ... ) == STATUS_NO_MORE_FILES
 00015   896   NtClose  (-2147482764, ... ) == 0x0
 00016   896   NtCreateFile  (0x100001, {24, 0, 0x240, 0, 0,  (0x100001, {24, 0, 0x240, 0, 0, "\DEVICE\HARDDISKVOLUME1\WINDOWS\"}, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) }, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) == 0x0
 00017   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446847, ... {status=0x0, info=15820}, ) == 0x0
 00018   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446848, ... ) == STATUS_NO_MORE_FILES
 00019   896   NtClose  (-2147482764, ... ) == 0x0
 00020   896   NtCreateFile  (0x100001, {24, 0, 0x240, 0, 0,  (0x100001, {24, 0, 0x240, 0, 0, "\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\"}, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) }, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) == 0x0
 00021   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446847, ... {status=0x0, info=16366}, ) == 0x0
 00022   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446848, ... {status=0x0, info=16354}, ) == 0x0
 00023   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446848, ... {status=0x0, info=16348}, ) == 0x0
 00024   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446848, ... {status=0x0, info=16364}, ) == 0x0
 00025   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446848, ... {status=0x0, info=11386}, ) == 0x0
 00026   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446848, ... ) == STATUS_NO_MORE_FILES
 00027   896   NtClose  (-2147482764, ... ) == 0x0
 00028   896   NtCreateFile  (0x100001, {24, 0, 0x240, 0, 0,  (0x100001, {24, 0, 0x240, 0, 0, "\DEVICE\HARDDISKVOLUME1\WINDOWS\WINSXS\"}, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) }, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) == 0x0
 00029   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446847, ... {status=0x0, info=2228}, ) == 0x0
 00030   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446848, ... ) == STATUS_NO_MORE_FILES
 00031   896   NtClose  (-2147482764, ... ) == 0x0
 00032   896   NtCreateFile  (0x100001, {24, 0, 0x240, 0, 0,  (0x100001, {24, 0, 0x240, 0, 0, "\DEVICE\HARDDISKVOLUME1\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_6.0.2600.2982_X-WW_AC3F9C03\"}, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) }, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) == 0x0
 00033   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446847, ... {status=0x0, info=68}, ) == 0x0
 00034   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446848, ... ) == STATUS_NO_MORE_FILES
 00035   896   NtClose  (-2147482764, ... ) == 0x0
 00036   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482764, ... -2147482688, ) == 0x0
 00037   896   NtClose  (-2147482688, ... ) == 0x0
 00038   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482688, ... -2147482660, ) == 0x0
 00039   896   NtClose  (-2147482660, ... ) == 0x0
 00040   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482660, ... -2147482656, ) == 0x0
 00041   896   NtClose  (-2147482656, ... ) == 0x0
 00042   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482656, ... -2147482652, ) == 0x0
 00043   896   NtClose  (-2147482652, ... ) == 0x0
 00044   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482652, ... -2147482724, ) == 0x0
 00045   896   NtClose  (-2147482724, ... ) == 0x0
 00046   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482724, ... -2147481452, ) == 0x0
 00047   896   NtClose  (-2147481452, ... ) == 0x0
 00048   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481452, ... -2147482684, ) == 0x0
 00049   896   NtClose  (-2147482684, ... ) == 0x0
 00050   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482684, ... -2147482680, ) == 0x0
 00051   896   NtClose  (-2147482680, ... ) == 0x0
 00052   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482680, ... -2147482760, ) == 0x0
 00053   896   NtClose  (-2147482760, ... ) == 0x0
 00054   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482760, ... -2147481628, ) == 0x0
 00055   896   NtClose  (-2147481628, ... ) == 0x0
 00056   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481628, ... -2147481484, ) == 0x0
 00057   896   NtClose  (-2147481484, ... ) == 0x0
 00058   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481484, ... -2147481480, ) == 0x0
 00059   896   NtClose  (-2147481480, ... ) == 0x0
 00060   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481480, ... -2147482136, ) == 0x0
 00061   896   NtClose  (-2147482136, ... ) == 0x0
 00062   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482136, ... -2147482748, ) == 0x0
 00063   896   NtClose  (-2147482748, ... ) == 0x0
 00064   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482748, ... -2147482676, ) == 0x0
 00065   896   NtClose  (-2147482676, ... ) == 0x0
 00066   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482676, ... -2147482672, ) == 0x0
 00067   896   NtClose  (-2147482672, ... ) == 0x0
 00068   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482672, ... -2147482668, ) == 0x0
 00069   896   NtClose  (-2147482668, ... ) == 0x0
 00070   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482668, ... -2147482664, ) == 0x0
 00071   896   NtClose  (-2147482664, ... ) == 0x0
 00072   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482664, ... -2147481588, ) == 0x0
 00073   896   NtClose  (-2147481588, ... ) == 0x0
 00074   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481588, ... -2147481584, ) == 0x0
 00075   896   NtClose  (-2147481584, ... ) == 0x0
 00076   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481584, ... -2147482692, ) == 0x0
 00077   896   NtClose  (-2147482692, ... ) == 0x0
 00078   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482692, ... -2147481512, ) == 0x0
 00079   896   NtClose  (-2147481512, ... ) == 0x0
 00080   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481512, ... -2147481580, ) == 0x0
 00081   896   NtClose  (-2147481580, ... ) == 0x0
 00082   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481580, ... -2147481552, ) == 0x0
 00083   896   NtClose  (-2147481552, ... ) == 0x0
 00084   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481552, ... -2147481592, ) == 0x0
 00085   896   NtClose  (-2147481592, ... ) == 0x0
 00086   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481592, ... -2147481596, ) == 0x0
 00087   896   NtClose  (-2147481596, ... ) == 0x0
 00088   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481596, ... -2147482108, ) == 0x0
 00089   896   NtClose  (-2147482108, ... ) == 0x0
 00090   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482108, ... -2147482732, ) == 0x0
 00091   896   NtClose  (-2147482732, ... ) == 0x0
 00092   896   NtClose  (-2147482764, ... ) == 0x0
 00093   896   NtClose  (-2147482688, ... ) == 0x0
 00094   896   NtClose  (-2147482660, ... ) == 0x0
 00095   896   NtClose  (-2147482656, ... ) == 0x0
 00096   896   NtClose  (-2147482652, ... ) == 0x0
 00097   896   NtClose  (-2147482724, ... ) == 0x0
 00098   896   NtClose  (-2147481452, ... ) == 0x0
 00099   896   NtClose  (-2147482684, ... ) == 0x0
 00100   896   NtClose  (-2147482680, ... ) == 0x0
 00101   896   NtClose  (-2147482760, ... ) == 0x0
 00102   896   NtClose  (-2147481628, ... ) == 0x0
 00103   896   NtClose  (-2147481484, ... ) == 0x0
 00104   896   NtClose  (-2147481480, ... ) == 0x0
 00105   896   NtClose  (-2147482136, ... ) == 0x0
 00106   896   NtClose  (-2147482748, ... ) == 0x0
 00107   896   NtClose  (-2147482676, ... ) == 0x0
 00108   896   NtClose  (-2147482672, ... ) == 0x0
 00109   896   NtClose  (-2147482668, ... ) == 0x0
 00110   896   NtClose  (-2147482664, ... ) == 0x0
 00111   896   NtClose  (-2147481588, ... ) == 0x0
 00112   896   NtClose  (-2147481584, ... ) == 0x0
 00113   896   NtClose  (-2147482692, ... ) == 0x0
 00114   896   NtClose  (-2147481512, ... ) == 0x0
 00115   896   NtClose  (-2147481580, ... ) == 0x0
 00116   896   NtClose  (-2147481552, ... ) == 0x0
 00117   896   NtClose  (-2147481592, ... ) == 0x0
 00118   896   NtClose  (-2147481596, ... ) == 0x0
 00119   896   NtClose  (-2147482108, ... ) == 0x0
 00120   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482108, ... -2147481596, ) == 0x0
 00121   896   NtClose  (-2147481596, ... ) == 0x0
 00122   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481596, ... -2147481592, ) == 0x0
 00123   896   NtClose  (-2147481592, ... ) == 0x0
 00124   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481592, ... -2147481552, ) == 0x0
 00125   896   NtClose  (-2147481552, ... ) == 0x0
 00126   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481552, ... -2147481580, ) == 0x0
 00127   896   NtClose  (-2147481580, ... ) == 0x0
 00128   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481580, ... -2147481512, ) == 0x0
 00129   896   NtClose  (-2147481512, ... ) == 0x0
 00130   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481512, ... -2147482692, ) == 0x0
 00131   896   NtClose  (-2147482692, ... ) == 0x0
 00132   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482692, ... -2147481584, ) == 0x0
 00133   896   NtClose  (-2147481584, ... ) == 0x0
 00134   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481584, ... -2147481588, ) == 0x0
 00135   896   NtClose  (-2147481588, ... ) == 0x0
 00136   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481588, ... -2147482664, ) == 0x0
 00137   896   NtClose  (-2147482664, ... ) == 0x0
 00138   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482664, ... -2147482668, ) == 0x0
 00139   896   NtClose  (-2147482668, ... ) == 0x0
 00140   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482668, ... -2147482672, ) == 0x0
 00141   896   NtClose  (-2147482672, ... ) == 0x0
 00142   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482672, ... -2147482676, ) == 0x0
 00143   896   NtClose  (-2147482676, ... ) == 0x0
 00144   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482676, ... -2147482748, ) == 0x0
 00145   896   NtClose  (-2147482748, ... ) == 0x0
 00146   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482748, ... -2147482136, ) == 0x0
 00147   896   NtClose  (-2147482136, ... ) == 0x0
 00148   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482136, ... -2147481480, ) == 0x0
 00149   896   NtClose  (-2147481480, ... ) == 0x0
 00150   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481480, ... -2147481484, ) == 0x0
 00151   896   NtClose  (-2147481484, ... ) == 0x0
 00152   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481484, ... -2147481628, ) == 0x0
 00153   896   NtClose  (-2147481628, ... ) == 0x0
 00154   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481628, ... -2147482760, ) == 0x0
 00155   896   NtClose  (-2147482760, ... ) == 0x0
 00156   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482760, ... -2147482680, ) == 0x0
 00157   896   NtClose  (-2147482680, ... ) == 0x0
 00158   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482680, ... -2147482684, ) == 0x0
 00159   896   NtClose  (-2147482684, ... ) == 0x0
 00160   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482684, ... -2147481452, ) == 0x0
 00161   896   NtClose  (-2147481452, ... ) == 0x0
 00162   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481452, ... -2147482724, ) == 0x0
 00163   896   NtClose  (-2147482724, ... ) == 0x0
 00164   896   NtClose  (-2147482108, ... ) == 0x0
 00165   896   NtClose  (-2147481596, ... ) == 0x0
 00166   896   NtClose  (-2147481592, ... ) == 0x0
 00167   896   NtClose  (-2147481552, ... ) == 0x0
 00168   896   NtClose  (-2147481580, ... ) == 0x0
 00169   896   NtClose  (-2147481512, ... ) == 0x0
 00170   896   NtClose  (-2147482692, ... ) == 0x0
 00171   896   NtClose  (-2147481584, ... ) == 0x0
 00172   896   NtClose  (-2147481588, ... ) == 0x0
 00173   896   NtClose  (-2147482664, ... ) == 0x0
 00174   896   NtClose  (-2147482668, ... ) == 0x0
 00175   896   NtClose  (-2147482672, ... ) == 0x0
 00176   896   NtClose  (-2147482676, ... ) == 0x0
 00177   896   NtClose  (-2147482748, ... ) == 0x0
 00178   896   NtClose  (-2147482136, ... ) == 0x0
 00179   896   NtClose  (-2147481480, ... ) == 0x0
 00180   896   NtClose  (-2147481484, ... ) == 0x0
 00181   896   NtClose  (-2147481628, ... ) == 0x0
 00182   896   NtClose  (-2147482760, ... ) == 0x0
 00183   896   NtClose  (-2147482680, ... ) == 0x0
 00184   896   NtClose  (-2147482684, ... ) == 0x0
 00185   896   NtClose  (-2147481452, ... ) == 0x0
 00186   896   NtClose  (-2147481368, ... ) == 0x0
 00187   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\packed.exe"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00188   896   NtOpenKeyedEvent  (0x2000000, {24, 0, 0x0, 0, 0,  (0x2000000, {24, 0, 0x0, 0, 0, "\KernelObjects\CritSecOutOfMemoryEvent"}, ... 4, ) }, ... 4, ) == 0x0
 00189   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00190   896   NtAllocateVirtualMemory  (-1, 0, 0, 1048576, 8192, 4, ... 1376256, 1048576, ) == 0x0
 00191   896   NtAllocateVirtualMemory  (-1, 1376256, 0, 4096, 4096, 4, ... 1376256, 4096, ) == 0x0
 00192   896   NtAllocateVirtualMemory  (-1, 1380352, 0, 8192, 4096, 4, ... 1380352, 8192, ) == 0x0
 00193   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00194   896   NtAllocateVirtualMemory  (-1, 0, 0, 65536, 8192, 4, ... 2424832, 65536, ) == 0x0
 00195   896   NtAllocateVirtualMemory  (-1, 2424832, 0, 24576, 4096, 4, ... 2424832, 24576, ) == 0x0
 00196   896   NtOpenDirectoryObject  (0x3, {24, 0, 0x40, 0, 0,  (0x3, {24, 0, 0x40, 0, 0, "\KnownDlls"}, ... 8, ) }, ... 8, ) == 0x0
 00197   896   NtOpenSymbolicLinkObject  (0x1, {24, 8, 0x40, 0, 0,  (0x1, {24, 8, 0x40, 0, 0, "KnownDllPath"}, ... 12, ) }, ... 12, ) == 0x0
 00198   896   NtQuerySymbolicLinkObject  (12, ...  (12, ... "C:\WINDOWS\system32", 0x0, ) , 0x0, ) == 0x0
 00199   896   NtClose  (12, ... ) == 0x0
 00200   896   NtOpenFile  (0x100020, {24, 0, 0x42, 0, 0,  (0x100020, {24, 0, 0x42, 0, 0, "\??\C:\scripts\"}, 3, 33, ... 12, {status=0x0, info=1}, ) }, 3, 33, ... 12, {status=0x0, info=1}, ) == 0x0
 00201   896   NtQueryVolumeInformationFile  (12, 1243852, 8, Device, ... {status=0x0, info=8}, ) == 0x0
 00202   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "kernel32.dll"}, ... 16, ) }, ... 16, ) == 0x0
 00203   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x7c800000), 0x0, 1003520, ) == 0x0
 00204   896   NtClose  (16, ... ) == 0x0
 00205   896   NtProtectVirtualMemory  (-1, (0x7c801000), 1568, 4, ... (0x7c801000), 4096, 32, ) == 0x0
 00206   896   NtProtectVirtualMemory  (-1, (0x7c801000), 4096, 32, ... (0x7c801000), 4096, 4, ) == 0x0
 00207   896   NtFlushInstructionCache  (-1, 2088767488, 1568, ... ) == 0x0
 00208   896   NtQueryInformationProcess  (-1, 36, 4, ... {process info, class 36, size 4}, 0x0, ) == 0x0
 00209   896   NtQuerySystemInformation  (RangeStart, 4, ... {system info, class 50, size 4}, 0x0, ) == 0x0
 00210   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00211   896   NtCreateSection  (0xf001f, 0x0, {65536, 0}, 4, 67108864, 0, ... 16, ) == 0x0
 00212   896   NtSecureConnectPort  ( ("\Windows\ApiPort", {0, 2, 1, 1}, {24, 16, 0, 65536, 0, 0}, 1385208, {12, 0, 0}, 1241944, 44, ... 24, {24, 16, 0, 65536, 2490368, 18939904}, {0, 0, 0}, 200, 44, ) , {0, 2, 1, 1}, {24, 16, 0, 65536, 0, 0}, 1385208, {12, 0, 0}, 1241944, 44, ... 24, {24, 16, 0, 65536, 2490368, 18939904}, {0, 0, 0}, 200, 44, ) == 0x0
 00213   896   NtClose  (16, ... ) == 0x0
 00214   896   NtQueryObject  (24, Handle, 2, ... {Inherit=0,ProtectFromClose=0,}, -1, ) == 0x0
 00215   896   NtSetInformationObject  (24, Handle, {Inherit=0,ProtectFromClose=1,}, 256, ... ) == 0x0
 00216   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00217   896   NtQueryVirtualMemory  (-1, 0x260000, Basic, 28, ... {BaseAddress=0x260000,AllocationBase=0x260000,AllocationProtect=0x4,RegionSize=0x10000,State=0x2000,Protect=0x0,Type=0x40000,}, 0x0, ) == 0x0
 00218   896   NtAllocateVirtualMemory  (-1, 2490368, 0, 4096, 4096, 4, ... 2490368, 4096, ) == 0x0
 00219   896   NtRequestWaitReplyPort  (24, {28, 56, new_msg, 0, 1242260, 1242460, 2089900544, 1242184}  (24, {28, 56, new_msg, 0, 1242260, 1242460, 2089900544, 1242184} "\210\6!\1\0\0\0\0eZ\221|\0\0\0\0\1\0\0\0\234\6!\1\4\0\0\0" ... {28, 56, reply, 0, 1252, 896, 81831, 0} "P\14\27\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\234\6!\1\4\0\0\0" )  ... {28, 56, reply, 0, 1252, 896, 81831, 0}  (24, {28, 56, new_msg, 0, 1242260, 1242460, 2089900544, 1242184} "\210\6!\1\0\0\0\0eZ\221|\0\0\0\0\1\0\0\0\234\6!\1\4\0\0\0" ... {28, 56, reply, 0, 1252, 896, 81831, 0} "P\14\27\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\234\6!\1\4\0\0\0" )  ) == 0x0
 00220   896   NtRegisterThreadTerminatePort  (24, ... ) == 0x0
 00221   896   NtAllocateVirtualMemory  (-1, 1232896, 0, 4096, 4096, 260, ... 1232896, 4096, ) == 0x0
 00222   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\System\CurrentControlSet\Control\Terminal Server"}, ... 16, ) }, ... 16, ) == 0x0
 00223   896   NtQueryValueKey  (16,  (16, "TSAppCompat", Partial, 548, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 548, ... TitleIdx=0, Type=4, Data= (16, "TSAppCompat", Partial, 548, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 00224   896   NtClose  (16, ... ) == 0x0
 00225   896   NtOpenSection  (0x4, {24, 0, 0x40, 0, 0,  (0x4, {24, 0, 0x40, 0, 0, "\NLS\NlsSectionUnicode"}, ... 16, ) }, ... 16, ) == 0x0
 00226   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 2, 0, 2, ... (0x270000), 0x0, 90112, ) == 0x0
 00227   896   NtClose  (16, ... ) == 0x0
 00228   896   NtQueryDefaultLocale  (0, 2089305000, ... ) == 0x0
 00229   896   NtOpenSection  (0x4, {24, 0, 0x40, 0, 0,  (0x4, {24, 0, 0x40, 0, 0, "\NLS\NlsSectionLocale"}, ... 16, ) }, ... 16, ) == 0x0
 00230   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 2, 0, 2, ... (0x290000), 0x0, 249856, ) == 0x0
 00231   896   NtClose  (16, ... ) == 0x0
 00232   896   NtOpenSection  (0x5, {24, 0, 0x40, 0, 0,  (0x5, {24, 0, 0x40, 0, 0, "\NLS\NlsSectionSortkey"}, ... 16, ) }, ... 16, ) == 0x0
 00233   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 2, 0, 2, ... (0x2d0000), 0x0, 266240, ) == 0x0
 00234   896   NtQuerySection  (16, Basic, 16, ... {BaseAddress=0x0,Attributes=0x800000,Size={0x40004, 0x0},}, 0x0, ) == 0x0
 00235   896   NtClose  (16, ... ) == 0x0
 00236   896   NtOpenSection  (0x4, {24, 0, 0x40, 0, 0,  (0x4, {24, 0, 0x40, 0, 0, "\NLS\NlsSectionSortTbls"}, ... 16, ) }, ... 16, ) == 0x0
 00237   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 2, 0, 2, ... (0x320000), 0x0, 24576, ) == 0x0
 00238   896   NtClose  (16, ... ) == 0x0
 00239   896   NtQueryVirtualMemory  (-1, 0x7ffd2000, Basic, 28, ... {BaseAddress=0x7ffd2000,AllocationBase=0x7ffb0000,AllocationProtect=0x2,RegionSize=0x2000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 00240   896   NtOpenSection  (0x4, {24, 0, 0x40, 0, 0,  (0x4, {24, 0, 0x40, 0, 0, "\NLS\NlsSectionSortkey00000409"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00241   896   NtOpenSection  (0x4, {24, 0, 0x40, 0, 0,  (0x4, {24, 0, 0x40, 0, 0, "\NLS\NlsSectionSortkey00000409"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00242   896   NtAllocateVirtualMemory  (-1, 2494464, 0, 8192, 4096, 4, ... 2494464, 8192, ) == 0x0
 00243   896   NtRequestWaitReplyPort  (24, {24, 52, new_msg, 0, 7012468, 7929957, 3145776, 3145776}  (24, {24, 52, new_msg, 0, 7012468, 7929957, 3145776, 3145776} "\210\6!\1\36\0\1\0\0\0\0\0\377\377\377\377\234\6!\1p\30\0\0" ... {24, 52, reply, 0, 1252, 896, 81832, 0} "\10P\30\0\36\0\1\0\0\0\0\0\377\377\377\377\234\6!\1p\30\0\0" )  ... {24, 52, reply, 0, 1252, 896, 81832, 0}  (24, {24, 52, new_msg, 0, 7012468, 7929957, 3145776, 3145776} "\210\6!\1\36\0\1\0\0\0\0\0\377\377\377\377\234\6!\1p\30\0\0" ... {24, 52, reply, 0, 1252, 896, 81832, 0} "\10P\30\0\36\0\1\0\0\0\0\0\377\377\377\377\234\6!\1p\30\0\0" )  ) == 0x0
 00244   896   NtRequestWaitReplyPort  (24, {28, 56, new_msg, 0, 2089305760, 2090321376, 0, 0}  (24, {28, 56, new_msg, 0, 2089305760, 2090321376, 0, 0} "\210\6!\1\0\0\0\0\0\0\0\0\0\0\0\0\2\0\0\0\234\6!\18\6\0\0" ... {28, 56, reply, 0, 1252, 896, 81833, 0} "\250\202\26\0\0\0\0\0\0\0\0\0\0\0\0\0\2\0\0\0\234\6!\18\6\0\0" )  ... {28, 56, reply, 0, 1252, 896, 81833, 0}  (24, {28, 56, new_msg, 0, 2089305760, 2090321376, 0, 0} "\210\6!\1\0\0\0\0\0\0\0\0\0\0\0\0\2\0\0\0\234\6!\18\6\0\0" ... {28, 56, reply, 0, 1252, 896, 81833, 0} "\250\202\26\0\0\0\0\0\0\0\0\0\0\0\0\0\2\0\0\0\234\6!\18\6\0\0" )  ) == 0x0
 00245   896   NtOpenKey  (0x8, {24, 0, 0x40, 0, 0,  (0x8, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows\CurrentVersion\SideBySide\AssemblyStorageRoots"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00246   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00247   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00248   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\u:\work\packed.exe.Local\"}, 1240516, ... ) }, 1240516, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00249   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00250   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00251   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00252   896   NtFsControlFile  (12, 0, 0x0, 0x0, 0x90028, 0x0, 0, 0, ... {status=0x0, info=0}, 0x0, ) == 0x0
 00253   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WinSxS\X86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03"}, 1240580, ... ) }, 1240580, ... ) == 0x0
 00254   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WinSxS\X86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03"}, 3, 33, ... 16, {status=0x0, info=1}, ) }, 3, 33, ... 16, {status=0x0, info=1}, ) == 0x0
 00255   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00256   896   NtAllocateVirtualMemory  (-1, 1388544, 0, 4096, 4096, 4, ... 1388544, 4096, ) == 0x0
 00257   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WinSxS\X86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\COMCTL32.dll"}, 5, 96, ... 28, {status=0x0, info=1}, ) }, 5, 96, ... 28, {status=0x0, info=1}, ) == 0x0
 00258   896   NtCreateSection  (0xf, 0x0, 0x0, 16, 16777216, 28, ... 32, ) == 0x0
 00259   896   NtQuerySection  (32, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 00260   896   NtOpenProcessToken  (-1, 0x8, ... 36, ) == 0x0
 00261   896   NtQueryInformationToken  (36, User, 136, ... {token info, class 1, size 36}, 36, ) == 0x0
 00262   896   NtOpenKey  (0x3, {24, 0, 0x40, 0, 0,  (0x3, {24, 0, 0x40, 0, 0, "\Registry\MACHINE\System\CurrentControlSet\Control\SafeBoot\Option"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00263   896   NtOpenKey  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers"}, ... 40, ) }, ... 40, ) == 0x0
 00264   896   NtQueryValueKey  (40,  (40, "TransparentEnabled", Partial, 80, ... TitleIdx=0, Type=4, Data="\1\0\0\0"}, 16, ) , Partial, 80, ... TitleIdx=0, Type=4, Data= (40, "TransparentEnabled", Partial, 80, ... TitleIdx=0, Type=4, Data="\1\0\0\0"}, 16, ) }, 16, ) == 0x0
 00265   896   NtClose  (40, ... ) == 0x0
 00266   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00267   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 40, ) == 0x0
 00268   896   NtQueryInformationToken  (40, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00269   896   NtClose  (40, ... ) == 0x0
 00270   896   NtOpenKey  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00271   896   NtClose  (36, ... ) == 0x0
 00272   896   NtClose  (28, ... ) == 0x0
 00273   896   NtMapViewOfSection  (32, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x773d0000), 0x0, 1060864, ) == 0x0
 00274   896   NtClose  (32, ... ) == 0x0
 00275   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "msvcrt.dll"}, ... 32, ) }, ... 32, ) == 0x0
 00276   896   NtMapViewOfSection  (32, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77c10000), 0x0, 360448, ) == 0x0
 00277   896   NtClose  (32, ... ) == 0x0
 00278   896   NtProtectVirtualMemory  (-1, (0x77c11000), 632, 4, ... (0x77c11000), 4096, 32, ) == 0x0
 00279   896   NtProtectVirtualMemory  (-1, (0x77c11000), 4096, 32, ... (0x77c11000), 4096, 4, ) == 0x0
 00280   896   NtFlushInstructionCache  (-1, 2009141248, 632, ... ) == 0x0
 00281   896   NtProtectVirtualMemory  (-1, (0x773d1000), 1924, 4, ... (0x773d1000), 4096, 32, ) == 0x0
 00282   896   NtProtectVirtualMemory  (-1, (0x773d1000), 4096, 32, ... (0x773d1000), 4096, 4, ) == 0x0
 00283   896   NtFlushInstructionCache  (-1, 2000490496, 1924, ... ) == 0x0
 00284   896   NtProtectVirtualMemory  (-1, (0x773d1000), 1924, 4, ... (0x773d1000), 4096, 32, ) == 0x0
 00285   896   NtProtectVirtualMemory  (-1, (0x773d1000), 4096, 32, ... (0x773d1000), 4096, 4, ) == 0x0
 00286   896   NtFlushInstructionCache  (-1, 2000490496, 1924, ... ) == 0x0
 00287   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "ADVAPI32.dll"}, ... 32, ) }, ... 32, ) == 0x0
 00288   896   NtMapViewOfSection  (32, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77dd0000), 0x0, 634880, ) == 0x0
 00289   896   NtClose  (32, ... ) == 0x0
 00290   896   NtProtectVirtualMemory  (-1, (0x77dd1000), 1700, 4, ... (0x77dd1000), 4096, 32, ) == 0x0
 00291   896   NtProtectVirtualMemory  (-1, (0x77dd1000), 4096, 32, ... (0x77dd1000), 4096, 4, ) == 0x0
 00292   896   NtFlushInstructionCache  (-1, 2010976256, 1700, ... ) == 0x0
 00293   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "RPCRT4.dll"}, ... 32, ) }, ... 32, ) == 0x0
 00294   896   NtMapViewOfSection  (32, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77e70000), 0x0, 593920, ) == 0x0
 00295   896   NtClose  (32, ... ) == 0x0
 00296   896   NtProtectVirtualMemory  (-1, (0x77e71000), 868, 4, ... (0x77e71000), 4096, 32, ) == 0x0
 00297   896   NtProtectVirtualMemory  (-1, (0x77e71000), 4096, 32, ... (0x77e71000), 4096, 4, ) == 0x0
 00298   896   NtFlushInstructionCache  (-1, 2011631616, 868, ... ) == 0x0
 00299   896   NtProtectVirtualMemory  (-1, (0x77e71000), 868, 4, ... (0x77e71000), 4096, 32, ) == 0x0
 00300   896   NtProtectVirtualMemory  (-1, (0x77e71000), 4096, 32, ... (0x77e71000), 4096, 4, ) == 0x0
 00301   896   NtFlushInstructionCache  (-1, 2011631616, 868, ... ) == 0x0
 00302   896   NtProtectVirtualMemory  (-1, (0x77e71000), 868, 4, ... (0x77e71000), 4096, 32, ) == 0x0
 00303   896   NtProtectVirtualMemory  (-1, (0x77e71000), 4096, 32, ... (0x77e71000), 4096, 4, ) == 0x0
 00304   896   NtFlushInstructionCache  (-1, 2011631616, 868, ... ) == 0x0
 00305   896   NtProtectVirtualMemory  (-1, (0x77dd1000), 1700, 4, ... (0x77dd1000), 4096, 32, ) == 0x0
 00306   896   NtProtectVirtualMemory  (-1, (0x77dd1000), 4096, 32, ... (0x77dd1000), 4096, 4, ) == 0x0
 00307   896   NtFlushInstructionCache  (-1, 2010976256, 1700, ... ) == 0x0
 00308   896   NtProtectVirtualMemory  (-1, (0x773d1000), 1924, 4, ... (0x773d1000), 4096, 32, ) == 0x0
 00309   896   NtProtectVirtualMemory  (-1, (0x773d1000), 4096, 32, ... (0x773d1000), 4096, 4, ) == 0x0
 00310   896   NtFlushInstructionCache  (-1, 2000490496, 1924, ... ) == 0x0
 00311   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "GDI32.dll"}, ... 32, ) }, ... 32, ) == 0x0
 00312   896   NtMapViewOfSection  (32, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77f10000), 0x0, 290816, ) == 0x0
 00313   896   NtClose  (32, ... ) == 0x0
 00314   896   NtProtectVirtualMemory  (-1, (0x77f11000), 508, 4, ... (0x77f11000), 4096, 32, ) == 0x0
 00315   896   NtProtectVirtualMemory  (-1, (0x77f11000), 4096, 32, ... (0x77f11000), 4096, 4, ) == 0x0
 00316   896   NtFlushInstructionCache  (-1, 2012286976, 508, ... ) == 0x0
 00317   896   NtProtectVirtualMemory  (-1, (0x77f11000), 508, 4, ... (0x77f11000), 4096, 32, ) == 0x0
 00318   896   NtProtectVirtualMemory  (-1, (0x77f11000), 4096, 32, ... (0x77f11000), 4096, 4, ) == 0x0
 00319   896   NtFlushInstructionCache  (-1, 2012286976, 508, ... ) == 0x0
 00320   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "USER32.dll"}, ... 32, ) }, ... 32, ) == 0x0
 00321   896   NtMapViewOfSection  (32, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x7e410000), 0x0, 589824, ) == 0x0
 00322   896   NtClose  (32, ... ) == 0x0
 00323   896   NtProtectVirtualMemory  (-1, (0x7e411000), 1252, 4, ... (0x7e411000), 4096, 32, ) == 0x0
 00324   896   NtProtectVirtualMemory  (-1, (0x7e411000), 4096, 32, ... (0x7e411000), 4096, 4, ) == 0x0
 00325   896   NtFlushInstructionCache  (-1, 2118193152, 1252, ... ) == 0x0
 00326   896   NtProtectVirtualMemory  (-1, (0x7e411000), 1252, 4, ... (0x7e411000), 4096, 32, ) == 0x0
 00327   896   NtProtectVirtualMemory  (-1, (0x7e411000), 4096, 32, ... (0x7e411000), 4096, 4, ) == 0x0
 00328   896   NtFlushInstructionCache  (-1, 2118193152, 1252, ... ) == 0x0
 00329   896   NtProtectVirtualMemory  (-1, (0x7e411000), 1252, 4, ... (0x7e411000), 4096, 32, ) == 0x0
 00330   896   NtProtectVirtualMemory  (-1, (0x7e411000), 4096, 32, ... (0x7e411000), 4096, 4, ) == 0x0
 00331   896   NtFlushInstructionCache  (-1, 2118193152, 1252, ... ) == 0x0
 00332   896   NtProtectVirtualMemory  (-1, (0x77f11000), 508, 4, ... (0x77f11000), 4096, 32, ) == 0x0
 00333   896   NtProtectVirtualMemory  (-1, (0x77f11000), 4096, 32, ... (0x77f11000), 4096, 4, ) == 0x0
 00334   896   NtFlushInstructionCache  (-1, 2012286976, 508, ... ) == 0x0
 00335   896   NtProtectVirtualMemory  (-1, (0x773d1000), 1924, 4, ... (0x773d1000), 4096, 32, ) == 0x0
 00336   896   NtProtectVirtualMemory  (-1, (0x773d1000), 4096, 32, ... (0x773d1000), 4096, 4, ) == 0x0
 00337   896   NtFlushInstructionCache  (-1, 2000490496, 1924, ... ) == 0x0
 00338   896   NtProtectVirtualMemory  (-1, (0x773d1000), 1924, 4, ... (0x773d1000), 4096, 32, ) == 0x0
 00339   896   NtProtectVirtualMemory  (-1, (0x773d1000), 4096, 32, ... (0x773d1000), 4096, 4, ) == 0x0
 00340   896   NtFlushInstructionCache  (-1, 2000490496, 1924, ... ) == 0x0
 00341   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "SHLWAPI.dll"}, ... 32, ) }, ... 32, ) == 0x0
 00342   896   NtMapViewOfSection  (32, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77f60000), 0x0, 483328, ) == 0x0
 00343   896   NtClose  (32, ... ) == 0x0
 00344   896   NtProtectVirtualMemory  (-1, (0x77f61000), 2076, 4, ... (0x77f61000), 4096, 32, ) == 0x0
 00345   896   NtProtectVirtualMemory  (-1, (0x77f61000), 4096, 32, ... (0x77f61000), 4096, 4, ) == 0x0
 00346   896   NtFlushInstructionCache  (-1, 2012614656, 2076, ... ) == 0x0
 00347   896   NtProtectVirtualMemory  (-1, (0x77f61000), 2076, 4, ... (0x77f61000), 4096, 32, ) == 0x0
 00348   896   NtProtectVirtualMemory  (-1, (0x77f61000), 4096, 32, ... (0x77f61000), 4096, 4, ) == 0x0
 00349   896   NtFlushInstructionCache  (-1, 2012614656, 2076, ... ) == 0x0
 00350   896   NtProtectVirtualMemory  (-1, (0x77f61000), 2076, 4, ... (0x77f61000), 4096, 32, ) == 0x0
 00351   896   NtProtectVirtualMemory  (-1, (0x77f61000), 4096, 32, ... (0x77f61000), 4096, 4, ) == 0x0
 00352   896   NtFlushInstructionCache  (-1, 2012614656, 2076, ... ) == 0x0
 00353   896   NtProtectVirtualMemory  (-1, (0x77f61000), 2076, 4, ... (0x77f61000), 4096, 32, ) == 0x0
 00354   896   NtProtectVirtualMemory  (-1, (0x77f61000), 4096, 32, ... (0x77f61000), 4096, 4, ) == 0x0
 00355   896   NtFlushInstructionCache  (-1, 2012614656, 2076, ... ) == 0x0
 00356   896   NtProtectVirtualMemory  (-1, (0x77f61000), 2076, 4, ... (0x77f61000), 4096, 32, ) == 0x0
 00357   896   NtProtectVirtualMemory  (-1, (0x77f61000), 4096, 32, ... (0x77f61000), 4096, 4, ) == 0x0
 00358   896   NtFlushInstructionCache  (-1, 2012614656, 2076, ... ) == 0x0
 00359   896   NtProtectVirtualMemory  (-1, (0x773d1000), 1924, 4, ... (0x773d1000), 4096, 32, ) == 0x0
 00360   896   NtProtectVirtualMemory  (-1, (0x773d1000), 4096, 32, ... (0x773d1000), 4096, 4, ) == 0x0
 00361   896   NtFlushInstructionCache  (-1, 2000490496, 1924, ... ) == 0x0
 00362   896   NtProtectVirtualMemory  (-1, (0x773d1000), 1924, 4, ... (0x773d1000), 4096, 32, ) == 0x0
 00363   896   NtProtectVirtualMemory  (-1, (0x773d1000), 4096, 32, ... (0x773d1000), 4096, 4, ) == 0x0
 00364   896   NtFlushInstructionCache  (-1, 2000490496, 1924, ... ) == 0x0
 00365   896   NtProtectVirtualMemory  (-1, (0x409000), 684, 4, ... (0x409000), 4096, 2, ) == 0x0
 00366   896   NtProtectVirtualMemory  (-1, (0x409000), 4096, 2, ... (0x409000), 4096, 4, ) == 0x0
 00367   896   NtFlushInstructionCache  (-1, 4231168, 684, ... ) == 0x0
 00368   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "VERSION.dll"}, ... 32, ) }, ... 32, ) == 0x0
 00369   896   NtMapViewOfSection  (32, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77c00000), 0x0, 32768, ) == 0x0
 00370   896   NtClose  (32, ... ) == 0x0
 00371   896   NtProtectVirtualMemory  (-1, (0x77c01000), 304, 4, ... (0x77c01000), 4096, 32, ) == 0x0
 00372   896   NtProtectVirtualMemory  (-1, (0x77c01000), 4096, 32, ... (0x77c01000), 4096, 4, ) == 0x0
 00373   896   NtFlushInstructionCache  (-1, 2009075712, 304, ... ) == 0x0
 00374   896   NtProtectVirtualMemory  (-1, (0x409000), 684, 4, ... (0x409000), 4096, 2, ) == 0x0
 00375   896   NtProtectVirtualMemory  (-1, (0x409000), 4096, 2, ... (0x409000), 4096, 4, ) == 0x0
 00376   896   NtFlushInstructionCache  (-1, 4231168, 684, ... ) == 0x0
 00377   896   NtProtectVirtualMemory  (-1, (0x409000), 684, 4, ... (0x409000), 4096, 2, ) == 0x0
 00378   896   NtProtectVirtualMemory  (-1, (0x409000), 4096, 2, ... (0x409000), 4096, 4, ) == 0x0
 00379   896   NtFlushInstructionCache  (-1, 4231168, 684, ... ) == 0x0
 00380   896   NtProtectVirtualMemory  (-1, (0x409000), 684, 4, ... (0x409000), 4096, 2, ) == 0x0
 00381   896   NtProtectVirtualMemory  (-1, (0x409000), 4096, 2, ... (0x409000), 4096, 4, ) == 0x0
 00382   896   NtFlushInstructionCache  (-1, 4231168, 684, ... ) == 0x0
 00383   896   NtProtectVirtualMemory  (-1, (0x409000), 684, 4, ... (0x409000), 4096, 2, ) == 0x0
 00384   896   NtProtectVirtualMemory  (-1, (0x409000), 4096, 2, ... (0x409000), 4096, 4, ) == 0x0
 00385   896   NtFlushInstructionCache  (-1, 4231168, 684, ... ) == 0x0
 00386   896   NtProtectVirtualMemory  (-1, (0x409000), 684, 4, ... (0x409000), 4096, 2, ) == 0x0
 00387   896   NtProtectVirtualMemory  (-1, (0x409000), 4096, 2, ... (0x409000), 4096, 4, ) == 0x0
 00388   896   NtFlushInstructionCache  (-1, 4231168, 684, ... ) == 0x0
 00389   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "SHELL32.dll"}, ... 32, ) }, ... 32, ) == 0x0
 00390   896   NtMapViewOfSection  (32, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x7c9c0000), 0x0, 8482816, ) == 0x0
 00391   896   NtClose  (32, ... ) == 0x0
 00392   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00393   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00394   896   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00395   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00396   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00397   896   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00398   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00399   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00400   896   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00401   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00402   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00403   896   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00404   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00405   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00406   896   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00407   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00408   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00409   896   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00410   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00411   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00412   896   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00413   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00414   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00415   896   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00416   896   NtProtectVirtualMemory  (-1, (0x409000), 684, 4, ... (0x409000), 4096, 2, ) == 0x0
 00417   896   NtProtectVirtualMemory  (-1, (0x409000), 4096, 2, ... (0x409000), 4096, 4, ) == 0x0
 00418   896   NtFlushInstructionCache  (-1, 4231168, 684, ... ) == 0x0
 00419   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "ole32.dll"}, ... 32, ) }, ... 32, ) == 0x0
 00420   896   NtMapViewOfSection  (32, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x774e0000), 0x0, 1298432, ) == 0x0
 00421   896   NtClose  (32, ... ) == 0x0
 00422   896   NtProtectVirtualMemory  (-1, (0x774e1000), 2352, 4, ... (0x774e1000), 4096, 32, ) == 0x0
 00423   896   NtProtectVirtualMemory  (-1, (0x774e1000), 4096, 32, ... (0x774e1000), 4096, 4, ) == 0x0
 00424   896   NtFlushInstructionCache  (-1, 2001604608, 2352, ... ) == 0x0
 00425   896   NtProtectVirtualMemory  (-1, (0x774e1000), 2352, 4, ... (0x774e1000), 4096, 32, ) == 0x0
 00426   896   NtProtectVirtualMemory  (-1, (0x774e1000), 4096, 32, ... (0x774e1000), 4096, 4, ) == 0x0
 00427   896   NtFlushInstructionCache  (-1, 2001604608, 2352, ... ) == 0x0
 00428   896   NtProtectVirtualMemory  (-1, (0x774e1000), 2352, 4, ... (0x774e1000), 4096, 32, ) == 0x0
 00429   896   NtProtectVirtualMemory  (-1, (0x774e1000), 4096, 32, ... (0x774e1000), 4096, 4, ) == 0x0
 00430   896   NtFlushInstructionCache  (-1, 2001604608, 2352, ... ) == 0x0
 00431   896   NtProtectVirtualMemory  (-1, (0x774e1000), 2352, 4, ... (0x774e1000), 4096, 32, ) == 0x0
 00432   896   NtProtectVirtualMemory  (-1, (0x774e1000), 4096, 32, ... (0x774e1000), 4096, 4, ) == 0x0
 00433   896   NtFlushInstructionCache  (-1, 2001604608, 2352, ... ) == 0x0
 00434   896   NtProtectVirtualMemory  (-1, (0x774e1000), 2352, 4, ... (0x774e1000), 4096, 32, ) == 0x0
 00435   896   NtProtectVirtualMemory  (-1, (0x774e1000), 4096, 32, ... (0x774e1000), 4096, 4, ) == 0x0
 00436   896   NtFlushInstructionCache  (-1, 2001604608, 2352, ... ) == 0x0
 00437   896   NtProtectVirtualMemory  (-1, (0x774e1000), 2352, 4, ... (0x774e1000), 4096, 32, ) == 0x0
 00438   896   NtProtectVirtualMemory  (-1, (0x774e1000), 4096, 32, ... (0x774e1000), 4096, 4, ) == 0x0
 00439   896   NtFlushInstructionCache  (-1, 2001604608, 2352, ... ) == 0x0
 00440   896   NtProtectVirtualMemory  (-1, (0x774e1000), 2352, 4, ... (0x774e1000), 4096, 32, ) == 0x0
 00441   896   NtProtectVirtualMemory  (-1, (0x774e1000), 4096, 32, ... (0x774e1000), 4096, 4, ) == 0x0
 00442   896   NtFlushInstructionCache  (-1, 2001604608, 2352, ... ) == 0x0
 00443   896   NtProtectVirtualMemory  (-1, (0x409000), 684, 4, ... (0x409000), 4096, 2, ) == 0x0
 00444   896   NtProtectVirtualMemory  (-1, (0x409000), 4096, 2, ... (0x409000), 4096, 4, ) == 0x0
 00445   896   NtFlushInstructionCache  (-1, 4231168, 684, ... ) == 0x0
 00446   896   NtQueryInformationProcess  (-1, 37, 48, ... {process info, class 37, size 48}, 0x0, ) == 0x0
 00447   896   NtSetInformationProcess  (-1, 34, {process info, class 34, size 4}, 4, ... ) == 0x0
 00448   896   NtOpenProcessToken  (-1, 0x8, ... 32, ) == 0x0
 00449   896   NtQueryInformationToken  (32, Statistics, 56, ... {token info, class 10, size 56}, 56, ) == 0x0
 00450   896   NtClose  (32, ... ) == 0x0
 00451   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\System\CurrentControlSet\Control\Terminal Server"}, ... 32, ) }, ... 32, ) == 0x0
 00452   896   NtQueryValueKey  (32,  (32, "TSAppCompat", Partial, 548, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 548, ... TitleIdx=0, Type=4, Data= (32, "TSAppCompat", Partial, 548, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 00453   896   NtClose  (32, ... ) == 0x0
 00454   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msvcrt.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00455   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00456   896   NtAllocateVirtualMemory  (-1, 0, 0, 65536, 8192, 4, ... 3342336, 65536, ) == 0x0
 00457   896   NtAllocateVirtualMemory  (-1, 3342336, 0, 4096, 4096, 4, ... 3342336, 4096, ) == 0x0
 00458   896   NtAllocateVirtualMemory  (-1, 3346432, 0, 8192, 4096, 4, ... 3346432, 8192, ) == 0x0
 00459   896   NtAllocateVirtualMemory  (-1, 3354624, 0, 4096, 4096, 4, ... 3354624, 4096, ) == 0x0
 00460   896   NtOpenSection  (0x4, {24, 0, 0x40, 0, 0,  (0x4, {24, 0, 0x40, 0, 0, "\NLS\NlsSectionCType"}, ... 32, ) }, ... 32, ) == 0x0
 00461   896   NtMapViewOfSection  (32, -1, (0x0), 0, 0, 0x0, 0, 2, 0, 2, ... (0x340000), 0x0, 12288, ) == 0x0
 00462   896   NtClose  (32, ... ) == 0x0
 00463   896   NtAllocateVirtualMemory  (-1, 3358720, 0, 4096, 4096, 4, ... 3358720, 4096, ) == 0x0
 00464   896   NtQueryVirtualMemory  (-1, 0x77c2807c, Basic, 28, ... {BaseAddress=0x77c28000,AllocationBase=0x77c10000,AllocationProtect=0x80,RegionSize=0x35000,State=0x1000,Protect=0x20,Type=0x1000000,}, 28, ) == 0x0
 00465   896   NtQueryInformationProcess  (-1, 36, 4, ... {process info, class 36, size 4}, 0x0, ) == 0x0
 00466   896   NtQueryInformationProcess  (-1, 36, 4, ... {process info, class 36, size 4}, 0x0, ) == 0x0
 00467   896   NtQueryVirtualMemory  (-1, 0x0, Basic, 28, ... {BaseAddress=0x0,AllocationBase=0x0,AllocationProtect=0x0,RegionSize=0x10000,State=0x10000,Protect=0x1,Type=0x0,}, 28, ) == 0x0
 00468   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RPCRT4.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00469   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ADVAPI32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00470   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\System\CurrentControlSet\Control\Terminal Server"}, ... 32, ) }, ... 32, ) == 0x0
 00471   896   NtQueryValueKey  (32,  (32, "TSAppCompat", Partial, 548, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 548, ... TitleIdx=0, Type=4, Data= (32, "TSAppCompat", Partial, 548, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 00472   896   NtQueryValueKey  (32,  (32, "TSUserEnabled", Partial, 548, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 548, ... TitleIdx=0, Type=4, Data= (32, "TSUserEnabled", Partial, 548, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 00473   896   NtClose  (32, ... ) == 0x0
 00474   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"}, ... 32, ) }, ... 32, ) == 0x0
 00475   896   NtQueryValueKey  (32,  (32, "LeakTrack", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00476   896   NtClose  (32, ... ) == 0x0
 00477   896   NtOpenKey  (0x2000000, {24, 0, 0x40, 0, 0,  (0x2000000, {24, 0, 0x40, 0, 0, "\REGISTRY\MACHINE"}, ... 32, ) }, ... 32, ) == 0x0
 00478   896   NtSetInformationObject  (32, Handle, {Inherit=0,ProtectFromClose=1,}, 2011431168, ... ) == 0x0
 00479   896   NtOpenKey  (0x20019, {24, 32, 0x40, 0, 0,  (0x20019, {24, 32, 0x40, 0, 0, "Software\Microsoft\Windows NT\CurrentVersion\Diagnostics"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00480   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\USER32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00481   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00482   896   NtRequestWaitReplyPort  (24, {28, 56, new_msg, 0, 256, 1243092, 256, 1242836}  (24, {28, 56, new_msg, 0, 256, 1243092, 256, 1242836} "\210\6!\1\0\0\0\0\0\0\0\0\1\0\0\0\3\0\0\0\234\6!\1$\1\0\0" ... {28, 56, reply, 0, 1252, 896, 81834, 0} "\320G\26\0\0\0\0\0\0\0\0\0\1\0\0\0\3\0\0\0\234\6!\1$\1\0\0" )  ... {28, 56, reply, 0, 1252, 896, 81834, 0}  (24, {28, 56, new_msg, 0, 256, 1243092, 256, 1242836} "\210\6!\1\0\0\0\0\0\0\0\0\1\0\0\0\3\0\0\0\234\6!\1$\1\0\0" ... {28, 56, reply, 0, 1252, 896, 81834, 0} "\320G\26\0\0\0\0\0\0\0\0\0\1\0\0\0\3\0\0\0\234\6!\1$\1\0\0" )  ) == 0x0
 00483   896   NtOpenKey  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\Registry\MACHINE\System\CurrentControlSet\Control\Session Manager"}, ... 28, ) }, ... 28, ) == 0x0
 00484   896   NtQueryValueKey  (28,  (28, "SafeDllSearchMode", Partial, 16, ... ) , Partial, 16, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00485   896   NtClose  (28, ... ) == 0x0
 00486   896   NtAllocateVirtualMemory  (-1, 1392640, 0, 4096, 4096, 4, ... 1392640, 4096, ) == 0x0
 00487   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 1239420, ... ) }, 1239420, ... ) == 0x0
 00488   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 5, 96, ... 28, {status=0x0, info=1}, ) }, 5, 96, ... 28, {status=0x0, info=1}, ) == 0x0
 00489   896   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 28, ... 36, ) == 0x0
 00490   896   NtClose  (28, ... ) == 0x0
 00491   896   NtMapViewOfSection  (36, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x350000), 0x0, 110592, ) == 0x0
 00492   896   NtClose  (36, ... ) == 0x0
 00493   896   NtUnmapViewOfSection  (-1, 0x350000, ... ) == 0x0
 00494   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 1239328, ... ) }, 1239328, ... ) == 0x0
 00495   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 5, 96, ... 36, {status=0x0, info=1}, ) }, 5, 96, ... 36, {status=0x0, info=1}, ) == 0x0
 00496   896   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 36, ... 28, ) == 0x0
 00497   896   NtClose  (36, ... ) == 0x0
 00498   896   NtMapViewOfSection  (28, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x350000), 0x0, 110592, ) == 0x0
 00499   896   NtClose  (28, ... ) == 0x0
 00500   896   NtUnmapViewOfSection  (-1, 0x350000, ... ) == 0x0
 00501   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 1239636, ... ) }, 1239636, ... ) == 0x0
 00502   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 5, 96, ... 28, {status=0x0, info=1}, ) }, 5, 96, ... 28, {status=0x0, info=1}, ) == 0x0
 00503   896   NtCreateSection  (0xf, 0x0, 0x0, 16, 16777216, 28, ... 36, ) == 0x0
 00504   896   NtQuerySection  (36, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 00505   896   NtClose  (28, ... ) == 0x0
 00506   896   NtMapViewOfSection  (36, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x76390000), 0x0, 118784, ) == 0x0
 00507   896   NtClose  (36, ... ) == 0x0
 00508   896   NtProtectVirtualMemory  (-1, (0x76391000), 696, 4, ... (0x76391000), 4096, 32, ) == 0x0
 00509   896   NtProtectVirtualMemory  (-1, (0x76391000), 4096, 32, ... (0x76391000), 4096, 4, ) == 0x0
 00510   896   NtFlushInstructionCache  (-1, 1983451136, 696, ... ) == 0x0
 00511   896   NtProtectVirtualMemory  (-1, (0x76391000), 696, 4, ... (0x76391000), 4096, 32, ) == 0x0
 00512   896   NtProtectVirtualMemory  (-1, (0x76391000), 4096, 32, ... (0x76391000), 4096, 4, ) == 0x0
 00513   896   NtFlushInstructionCache  (-1, 1983451136, 696, ... ) == 0x0
 00514   896   NtProtectVirtualMemory  (-1, (0x76391000), 696, 4, ... (0x76391000), 4096, 32, ) == 0x0
 00515   896   NtProtectVirtualMemory  (-1, (0x76391000), 4096, 32, ... (0x76391000), 4096, 4, ) == 0x0
 00516   896   NtFlushInstructionCache  (-1, 1983451136, 696, ... ) == 0x0
 00517   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IMM32.DLL"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00518   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00519   896   NtAllocateVirtualMemory  (-1, 1228800, 0, 4096, 4096, 260, ... 1228800, 4096, ) == 0x0
 00520   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 1236552, ... ) }, 1236552, ... ) == 0x0
 00521   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ntdll.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00522   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kernel32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00523   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GDI32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00524   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SHLWAPI.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00525   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\COMCTL32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00526   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VERSION.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00527   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SHELL32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00528   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ole32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00529   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 1239956, ... ) }, 1239956, ... ) == 0x0
 00530   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\System\CurrentControlSet\Control\Error Message Instrument\"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00531   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\GRE_Initialize"}, ... 36, ) }, ... 36, ) == 0x0
 00532   896   NtQueryValueKey  (36,  (36, "DisableMetaFiles", Partial, 20, ... ) , Partial, 20, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00533   896   NtClose  (36, ... ) == 0x0
 00534   896   NtMapViewOfSection  (-2147481368, -1, (0x0), 0, 0, 0x0, 0, 2, 0, 2, ... (0x510000), 0x0, 1060864, ) == 0x0
 00535   896   NtClose  (-2147481368, ... ) == 0x0
 00536   896   NtCreateEvent  (0x1f0003, 0x0, 1, 0, ... 36, ) == 0x0
 00537   896   NtOpenThreadTokenEx  (-2, 0x8, 1, 512, ... ) == STATUS_NO_TOKEN
 00538   896   NtOpenProcessTokenEx  (-1, 0x8, 512, ... -2147481368, ) == 0x0
 00539   896   NtQueryInformationToken  (-2147481368, Statistics, 0, ... ) == STATUS_BUFFER_TOO_SMALL
 00540   896   NtQueryInformationToken  (-2147481368, Statistics, 56, ... {token info, class 10, size 56}, 56, ) == 0x0
 00541   896   NtClose  (-2147481368, ... ) == 0x0
 00542   896   NtAllocateVirtualMemory  (-1, 0, 0, 32, 4096, 4, ... 3473408, 4096, ) == 0x0
 00543   896   NtFreeVirtualMemory  (-1, (0x350000), 4096, 32768, ... (0x350000), 4096, ) == 0x0
 00544   896   NtDuplicateObject  (-1, 28, -1, 0x0, 0, 2, ... 44, ) == 0x0
 00545   896   NtOpenKey  (0x20019, {24, 0, 0x240, 0, 0,  (0x20019, {24, 0, 0x240, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Compatibility32"}, ... -2147481368, ) }, ... -2147481368, ) == 0x0
 00546   896   NtQueryValueKey  (-2147481368,  (-2147481368, "packed", Partial, 172, ... ) , Partial, 172, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00547   896   NtClose  (-2147481368, ... ) == 0x0
 00548   896   NtOpenKey  (0x20019, {24, 0, 0x240, 0, 0,  (0x20019, {24, 0, 0x240, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\IME Compatibility"}, ... -2147481368, ) }, ... -2147481368, ) == 0x0
 00549   896   NtQueryValueKey  (-2147481368,  (-2147481368, "packed", Partial, 172, ... ) , Partial, 172, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00550   896   NtClose  (-2147481368, ... ) == 0x0
 00551   896   NtQueryDefaultLocale  (0, -135747252, ... ) == 0x0
 00552   896   NtGdiQueryFontAssocInfo  (0, ... ) == 0x0
 00553   896   NtUserCallNoParam  (24, ... ) == 0x0
 00554   896   NtGdiCreateCompatibleDC  (0, ...
 00555   896   NtAllocateVirtualMemory  (-1, 0, 0, 4096, 12288, 4, ... 3473408, 4096, ) == 0x0
 00554   896   NtGdiCreateCompatibleDC  ... ) == 0x860107ab
 00556   896   NtGdiGetStockObject  (0, ... ) == 0x1900010
 00557   896   NtGdiGetStockObject  (4, ... ) == 0x1900011
 00558   896   NtGdiCreateBitmap  (8, 8, 1, 1, 2118200212, ... ) == 0x870506a2
 00559   896   NtGdiCreateSolidBrush  (0, 0, ...
 00560   896   NtAllocateVirtualMemory  (-1, 0, 0, 4096, 12288, 4, ... 3538944, 4096, ) == 0x0
 00559   896   NtGdiCreateSolidBrush  ... ) == 0x1100680
 00561   896   NtGdiGetStockObject  (13, ... ) == 0x18a0021
 00562   896   NtGdiCreateCompatibleDC  (0, ... ) == 0xf6010687
 00563   896   NtGdiSelectBitmap  (-167704953, -2029713758, ... ) == 0x185000f
 00564   896   NtUserGetThreadDesktop  (896, 0, ... ) == 0x28
 00565   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Windows"}, ... 48, ) }, ... 48, ) == 0x0
 00566   896   NtQueryValueKey  (48,  (48, "AppInit_DLLs", Partial, 64, ... TitleIdx=0, Type=1, Data="\0\0"}, 14, ) , Partial, 64, ... TitleIdx=0, Type=1, Data= (48, "AppInit_DLLs", Partial, 64, ... TitleIdx=0, Type=1, Data="\0\0"}, 14, ) }, 14, ) == 0x0
 00567   896   NtClose  (48, ... ) == 0x0
 00568   896   NtUserFindExistingCursorIcon  (1241132, 1241148, 1241196, ... ) == 0x10011
 00569   896   NtUserRegisterClassExWOW  (1241144, 1241212, 1241228, 1241244, 673, 128, 0, ... ) == 0x8177c017
 00570   896   NtUserFindExistingCursorIcon  (1241132, 1241148, 1241196, ... ) == 0x10011
 00571   896   NtUserRegisterClassExWOW  (1241144, 1241212, 1241228, 1241244, 674, 128, 0, ... ) == 0x8177c01c
 00572   896   NtUserFindExistingCursorIcon  (1241132, 1241148, 1241196, ... ) == 0x10011
 00573   896   NtUserRegisterClassExWOW  (1241144, 1241212, 1241228, 1241244, 675, 128, 0, ... ) == 0x8177c01e
 00574   896   NtUserFindExistingCursorIcon  (1241132, 1241148, 1241196, ... ) == 0x10011
 00575   896   NtUserRegisterClassExWOW  (1241144, 1241212, 1241228, 1241244, 676, 128, 0, ... ) == 0x81778002
 00576   896   NtUserFindExistingCursorIcon  (1241132, 1241148, 1241196, ... ) == 0x10013
 00577   896   NtUserRegisterClassExWOW  (1241144, 1241212, 1241228, 1241244, 677, 128, 0, ... ) == 0x8177c018
 00578   896   NtUserFindExistingCursorIcon  (1241132, 1241148, 1241196, ... ) == 0x10011
 00579   896   NtUserRegisterClassExWOW  (1241144, 1241212, 1241228, 1241244, 678, 128, 0, ... ) == 0x8177c01a
 00580   896   NtUserFindExistingCursorIcon  (1241132, 1241148, 1241196, ... ) == 0x10011
 00581   896   NtUserRegisterClassExWOW  (1241144, 1241212, 1241228, 1241244, 679, 128, 0, ... ) == 0x8177c01d
 00582   896   NtUserFindExistingCursorIcon  (1241132, 1241148, 1241196, ... ) == 0x10011
 00583   896   NtUserRegisterClassExWOW  (1241144, 1241212, 1241228, 1241244, 681, 128, 0, ... ) == 0x8177c026
 00584   896   NtUserFindExistingCursorIcon  (1241132, 1241148, 1241196, ... ) == 0x10011
 00585   896   NtUserRegisterClassExWOW  (1241144, 1241212, 1241228, 1241244, 680, 128, 0, ... ) == 0x8177c019
 00586   896   NtUserRegisterClassExWOW  (1241096, 1241164, 1241180, 1241196, 0, 128, 0, ... ) == 0x8177c020
 00587   896   NtUserRegisterClassExWOW  (1241352, 1241448, 1241432, 1241420, 0, 130, 0, ... ) == 0x8177c022
 00588   896   NtUserRegisterClassExWOW  (1241096, 1241164, 1241180, 1241196, 0, 128, 0, ... ) == 0x8177c023
 00589   896   NtUserRegisterClassExWOW  (1241352, 1241448, 1241432, 1241420, 0, 130, 0, ... ) == 0x8177c024
 00590   896   NtUserRegisterClassExWOW  (1241096, 1241164, 1241180, 1241196, 0, 128, 0, ... ) == 0x8177c025
 00591   896   NtCallbackReturn  (0, 0, 0, ...
 00592   896   NtGdiInit  (... ) == 0x1
 00593   896   NtGdiGetStockObject  (18, ... ) == 0x290001c
 00594   896   NtGdiGetStockObject  (19, ... ) == 0x1b00019
 00595   896   NtOpenKey  (0x2000000, {24, 32, 0x40, 0, 0,  (0x2000000, {24, 32, 0x40, 0, 0, "Software\Microsoft\Windows\CurrentVersion\Explorer\Performance"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00596   896   NtOpenDirectoryObject  (0x2000f, {24, 0, 0x40, 0, 0,  (0x2000f, {24, 0, 0x40, 0, 0, "\BaseNamedObjects"}, ... 48, ) }, ... 48, ) == 0x0
 00597   896   NtCreateSemaphore  (0x1f0003, {24, 48, 0x80, 1395104, 0,  (0x1f0003, {24, 48, 0x80, 1395104, 0, "shell.{A48F1A32-A340-11D1-BC6B-00A0C90312E1}"}, 0, 2147483647, ... 52, ) }, 0, 2147483647, ... 52, ) == STATUS_OBJECT_NAME_EXISTS
 00598   896   NtAddAtom  ( ("T\0h\0e\0m\0e\0P\0r\0o\0p\0S\0c\0r\0o\0l\0l\0B\0a\0r\0C\0t\0l\0", 42, 1243552, ... ) , 42, 1243552, ... ) == 0x0
 00599   896   NtQueryDefaultUILanguage  (1242236, ...
 00600   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00601   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... -2147481368, ) == 0x0
 00602   896   NtQueryInformationToken  (-2147481368, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00603   896   NtClose  (-2147481368, ... ) == 0x0
 00604   896   NtOpenKey  (0x2000000, {24, 0, 0x640, 0, 0,  (0x2000000, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... -2147481368, ) }, ... -2147481368, ) == 0x0
 00605   896   NtOpenKey  (0x80000000, {24, -2147481368, 0x240, 0, 0,  (0x80000000, {24, -2147481368, 0x240, 0, 0, "Software\Policies\Microsoft\Control Panel\Desktop"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00606   896   NtOpenKey  (0x80000000, {24, -2147481368, 0x640, 0, 0,  (0x80000000, {24, -2147481368, 0x640, 0, 0, "Control Panel\Desktop"}, ... -2147481452, ) }, ... -2147481452, ) == 0x0
 00607   896   NtQueryValueKey  (-2147481452,  (-2147481452, "MultiUILanguageId", Partial, 256, ... ) , Partial, 256, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00608   896   NtClose  (-2147481452, ... ) == 0x0
 00609   896   NtClose  (-2147481368, ... ) == 0x0
 00599   896   NtQueryDefaultUILanguage  ... ) == 0x0
 00610   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WindowsShell.Manifest"}, 1241076, ... ) }, 1241076, ... ) == 0x0
 00611   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WindowsShell.Manifest"}, 5, 96, ... 56, {status=0x0, info=1}, ) }, 5, 96, ... 56, {status=0x0, info=1}, ) == 0x0
 00612   896   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 56, ... 60, ) == 0x0
 00613   896   NtClose  (56, ... ) == 0x0
 00614   896   NtMapViewOfSection  (60, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x370000), 0x0, 4096, ) == 0x0
 00615   896   NtClose  (60, ... ) == 0x0
 00616   896   NtUnmapViewOfSection  (-1, 0x370000, ... ) == 0x0
 00617   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WindowsShell.Manifest"}, 1240672, ... ) }, 1240672, ... ) == 0x0
 00618   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 1241416,  (0x80100080, {24, 0, 0x40, 0, 1241416, "\??\C:\WINDOWS\WindowsShell.Manifest"}, 0x0, 0, 5, 1, 96, 0, 0, ... 60, {status=0x0, info=1}, ) }, 0x0, 0, 5, 1, 96, 0, 0, ... 60, {status=0x0, info=1}, ) == 0x0
 00619   896   NtCreateSection  (0xf0005, 0x0, 0x0, 2, 134217728, 60, ... 56, ) == 0x0
 00620   896   NtClose  (60, ... ) == 0x0
 00621   896   NtMapViewOfSection  (56, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 2, ... (0x370000), {0, 0}, 4096, ) == 0x0
 00622   896   NtClose  (56, ... ) == 0x0
 00623   896   NtUnmapViewOfSection  (-1, 0x370000, ... ) == 0x0
 00624   896   NtOpenFile  (0x1200a9, {24, 0, 0x40, 0, 0,  (0x1200a9, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WindowsShell.Manifest"}, 1, 96, ... 56, {status=0x0, info=1}, ) }, 1, 96, ... 56, {status=0x0, info=1}, ) == 0x0
 00625   896   NtCreateSection  (0x4, 0x0, 0x0, 2, 134217728, 56, ... 60, ) == 0x0
 00626   896   NtMapViewOfSection  (60, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 2, ... (0x370000), 0x0, 4096, ) == 0x0
 00627   896   NtQueryInformationFile  (56, 1241068, 24, Standard, ... {status=0x0, info=24}, ) == 0x0
 00628   896   NtOpenFile  (0x1200a9, {24, 0, 0x40, 0, 0,  (0x1200a9, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WindowsShell.Config"}, 1, 96, ... ) }, 1, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00629   896   NtRequestWaitReplyPort  (24, {128, 156, new_msg, 0, 2088850039, 1241368, 1179817, 1241092}  (24, {128, 156, new_msg, 0, 2088850039, 1241368, 1179817, 1241092} "\210\6!\1\33\0\1\0`\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\3\0@\0D\0\250\6!\18\0\0\0<\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\355\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\26\0\30\0\354\6!\1\0\0\0\0\0\0\0\0\14\365\22\0\0\0\0\0" ... {128, 156, reply, 0, 1252, 896, 81835, 0} "\260d\27\0\33\0\1\0\0\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\3\0@\0D\0\250\6!\18\0\0\0<\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\355\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\26\0\30\0\354\6!\1\0\0\0\0\0\0\0\0\14\365\22\0\0\0\0\0" )  ... {128, 156, reply, 0, 1252, 896, 81835, 0}  (24, {128, 156, new_msg, 0, 2088850039, 1241368, 1179817, 1241092} "\210\6!\1\33\0\1\0`\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\3\0@\0D\0\250\6!\18\0\0\0<\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\355\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\26\0\30\0\354\6!\1\0\0\0\0\0\0\0\0\14\365\22\0\0\0\0\0" ... {128, 156, reply, 0, 1252, 896, 81835, 0} "\260d\27\0\33\0\1\0\0\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\3\0@\0D\0\250\6!\18\0\0\0<\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\355\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\26\0\30\0\354\6!\1\0\0\0\0\0\0\0\0\14\365\22\0\0\0\0\0" )  ) == 0x0
 00630   896   NtClose  (56, ... ) == 0x0
 00631   896   NtClose  (60, ... ) == 0x0
 00632   896   NtUnmapViewOfSection  (-1, 0x370000, ... ) == 0x0
 00633   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00634   896   NtUserRegisterWindowMessage  ( ("ShellGetDragImage", ... ) , ... ) == 0xc03a
 00635   896   NtUserSystemParametersInfo  (104, 0, 2001084812, 0, ... ) == 0x1
 00636   896   NtUserGetDC  (0, ... ) == 0x1010052
 00637   896   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 00638   896   NtUserSystemParametersInfo  (38, 4, 2001086940, 0, ... ) == 0x1
 00639   896   NtUserSystemParametersInfo  (66, 12, 1243068, 0, ... ) == 0x1
 00640   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00641   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 60, ) == 0x0
 00642   896   NtQueryInformationToken  (60, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00643   896   NtClose  (60, ... ) == 0x0
 00644   896   NtOpenKey  (0x20019, {24, 0, 0x640, 0, 0,  (0x20019, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... 60, ) }, ... 60, ) == 0x0
 00645   896   NtOpenProcessToken  (-1, 0x8, ... 56, ) == 0x0
 00646   896   NtAccessCheck  (1395704, 56, 0x1, 1242900, 1242952, 56, 1242932, ... ) == STATUS_NO_IMPERSONATION_TOKEN
 00647   896   NtClose  (56, ... ) == 0x0
 00648   896   NtOpenKey  (0x20019, {24, 60, 0x40, 0, 0,  (0x20019, {24, 60, 0x40, 0, 0, "Control Panel\Desktop"}, ... 56, ) }, ... 56, ) == 0x0
 00649   896   NtQueryValueKey  (56,  (56, "SmoothScroll", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00650   896   NtClose  (56, ... ) == 0x0
 00651   896   NtUserSystemParametersInfo  (41, 500, 1243096, 0, ... ) == 0x1
 00652   896   NtOpenProcessToken  (-1, 0x8, ... 56, ) == 0x0
 00653   896   NtAccessCheck  (1395704, 56, 0x1, 1242900, 1242952, 56, 1242932, ... ) == STATUS_NO_IMPERSONATION_TOKEN
 00654   896   NtClose  (56, ... ) == 0x0
 00655   896   NtOpenKey  (0x20019, {24, 60, 0x40, 0, 0,  (0x20019, {24, 60, 0x40, 0, 0, "software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"}, ... 56, ) }, ... 56, ) == 0x0
 00656   896   NtQueryValueKey  (56,  (56, "EnableBalloonTips", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00657   896   NtClose  (56, ... ) == 0x0
 00658   896   NtUserSystemParametersInfo  (27, 0, 2001085788, 0, ... ) == 0x1
 00659   896   NtUserSystemParametersInfo  (102, 0, 2001086828, 0, ... ) == 0x1
 00660   896   NtClose  (60, ... ) == 0x0
 00661   896   NtUserSystemParametersInfo  (4130, 0, 1243600, 0, ... ) == 0x1
 00662   896   NtOpenKey  (0x1, {24, 32, 0x40, 0, 0,  (0x1, {24, 32, 0x40, 0, 0, "Software\Microsoft\Windows NT\CurrentVersion\LanguagePack"}, ... 60, ) }, ... 60, ) == 0x0
 00663   896   NtEnumerateValueKey  (60, 0, Full, 220, ... ) == STATUS_NO_MORE_ENTRIES
 00664   896   NtClose  (60, ... ) == 0x0
 00665   896   NtAllocateVirtualMemory  (-1, 1396736, 0, 4096, 4096, 4, ... 1396736, 4096, ) == 0x0
 00666   896   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00667   896   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x8177c03b
 00668   896   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x8177c03d
 00669   896   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00670   896   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x8177c03f
 00671   896   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00672   896   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x8177c041
 00673   896   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00674   896   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x8177c043
 00675   896   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x8177c045
 00676   896   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00677   896   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x8177c047
 00678   896   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00679   896   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x8177c049
 00680   896   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00681   896   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x8177c04b
 00682   896   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00683   896   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x8177c04d
 00684   896   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00685   896   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x8177c04f
 00686   896   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x8177c051
 00687   896   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00688   896   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x8177c053
 00689   896   NtUserFindExistingCursorIcon  (1242844, 1242860, 1242908, ... ) == 0x10011
 00690   896   NtUserRegisterClassExWOW  (1242788, 1242856, 1242872, 1242888, 0, 384, 0, ... ) == 0x8177c055
 00691   896   NtUserFindExistingCursorIcon  (1242844, 1242860, 1242908, ... ) == 0x10011
 00692   896   NtUserRegisterClassExWOW  (1242788, 1242856, 1242872, 1242888, 0, 384, 0, ... ) == 0x8177c057
 00693   896   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00694   896   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x8177c059
 00695   896   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10013
 00696   896   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x8177c05b
 00697   896   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00698   896   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x8177c05d
 00699   896   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00700   896   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x8177c05f
 00701   896   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00702   896   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x8177c017
 00703   896   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00704   896   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x8177c019
 00705   896   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10013
 00706   896   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x8177c018
 00707   896   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00708   896   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x8177c01a
 00709   896   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00710   896   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x8177c01c
 00711   896   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00712   896   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x8177c01e
 00713   896   NtUserFindExistingCursorIcon  (1242840, 1242856, 1242904, ... ) == 0x10011
 00714   896   NtUserRegisterClassExWOW  (1242840, 1242908, 1242924, 1242940, 0, 384, 0, ... ) == 0x8177c01b
 00715   896   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00716   896   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x8177c068
 00717   896   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00718   896   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x8177c06a
 00719   896   NtOpenKey  (0x1, {24, 32, 0x40, 0, 0,  (0x1, {24, 32, 0x40, 0, 0, "SYSTEM\Setup"}, ... 60, ) }, ... 60, ) == 0x0
 00720   896   NtQueryValueKey  (60,  (60, "SystemSetupInProgress", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 144, ... TitleIdx=0, Type=4, Data= (60, "SystemSetupInProgress", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 00721   896   NtClose  (60, ... ) == 0x0
 00722   896   NtQueryDefaultUILanguage  (1241692, ...
 00723   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00724   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... -2147481368, ) == 0x0
 00725   896   NtQueryInformationToken  (-2147481368, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00726   896   NtClose  (-2147481368, ... ) == 0x0
 00727   896   NtOpenKey  (0x2000000, {24, 0, 0x640, 0, 0,  (0x2000000, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... -2147481368, ) }, ... -2147481368, ) == 0x0
 00728   896   NtOpenKey  (0x80000000, {24, -2147481368, 0x240, 0, 0,  (0x80000000, {24, -2147481368, 0x240, 0, 0, "Software\Policies\Microsoft\Control Panel\Desktop"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00729   896   NtOpenKey  (0x80000000, {24, -2147481368, 0x640, 0, 0,  (0x80000000, {24, -2147481368, 0x640, 0, 0, "Control Panel\Desktop"}, ... -2147481452, ) }, ... -2147481452, ) == 0x0
 00730   896   NtQueryValueKey  (-2147481452,  (-2147481452, "MultiUILanguageId", Partial, 256, ... ) , Partial, 256, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00731   896   NtClose  (-2147481452, ... ) == 0x0
 00732   896   NtClose  (-2147481368, ... ) == 0x0
 00722   896   NtQueryDefaultUILanguage  ... ) == 0x0
 00733   896   NtOpenFile  (0x1200a9, {24, 0, 0x40, 0, 0,  (0x1200a9, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\SHELL32.dll"}, 1, 96, ... 60, {status=0x0, info=1}, ) }, 1, 96, ... 60, {status=0x0, info=1}, ) == 0x0
 00734   896   NtCreateSection  (0x4, 0x0, 0x0, 2, 134217728, 60, ... 56, ) == 0x0
 00735   896   NtMapViewOfSection  (56, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 2, ... (0x920000), 0x0, 8462336, ) == 0x0
 00736   896   NtOpenFile  (0x1200a9, {24, 0, 0x40, 0, 0,  (0x1200a9, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\SHELL32.dll.124.Manifest"}, 1, 96, ... ) }, 1, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00737   896   NtQueryDefaultUILanguage  (2090319928, ...
 00738   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00739   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... -2147481368, ) == 0x0
 00740   896   NtQueryInformationToken  (-2147481368, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00741   896   NtClose  (-2147481368, ... ) == 0x0
 00742   896   NtOpenKey  (0x2000000, {24, 0, 0x640, 0, 0,  (0x2000000, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... -2147481368, ) }, ... -2147481368, ) == 0x0
 00743   896   NtOpenKey  (0x80000000, {24, -2147481368, 0x240, 0, 0,  (0x80000000, {24, -2147481368, 0x240, 0, 0, "Software\Policies\Microsoft\Control Panel\Desktop"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00744   896   NtOpenKey  (0x80000000, {24, -2147481368, 0x640, 0, 0,  (0x80000000, {24, -2147481368, 0x640, 0, 0, "Control Panel\Desktop"}, ... -2147481452, ) }, ... -2147481452, ) == 0x0
 00745   896   NtQueryValueKey  (-2147481452,  (-2147481452, "MultiUILanguageId", Partial, 256, ... ) , Partial, 256, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00746   896   NtClose  (-2147481452, ... ) == 0x0
 00747   896   NtClose  (-2147481368, ... ) == 0x0
 00737   896   NtQueryDefaultUILanguage  ... ) == 0x0
 00748   896   NtQueryInstallUILanguage  (2090319930, ... ) == 0x0
 00749   896   NtQueryDefaultLocale  (1, 1239788, ... ) == 0x0
 00750   896   NtOpenFile  (0x1200a9, {24, 0, 0x40, 0, 0,  (0x1200a9, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\SHELL32.dll.124.Config"}, 1, 96, ... ) }, 1, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00751   896   NtRequestWaitReplyPort  (24, {128, 156, new_msg, 0, 2088850039, 1240824, 1179817, 1240548}  (24, {128, 156, new_msg, 0, 2088850039, 1240824, 1179817, 1240548} "\210\6!\1\33\0\1\0`\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\1\0>\0@\0\250\6!\1<\0\0\0\377\377\377\377\0\0\0\0@ \265\0\0\0\0\0\236\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0(\0,\0\350\6!\1\0\0\0\0\0\0\0\0\354\362\22\0\0\0\0\0" ... {128, 156, reply, 0, 1252, 896, 81838, 0} "\300\270\26\0\33\0\1\0\0\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\1\0>\0@\0\250\6!\1<\0\0\0\377\377\377\377\0\0\0\0@ \265\0\0\0\0\0\236\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0(\0,\0\350\6!\1\0\0\0\0\0\0\0\0\354\362\22\0\0\0\0\0" )  ... {128, 156, reply, 0, 1252, 896, 81838, 0}  (24, {128, 156, new_msg, 0, 2088850039, 1240824, 1179817, 1240548} "\210\6!\1\33\0\1\0`\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\1\0>\0@\0\250\6!\1<\0\0\0\377\377\377\377\0\0\0\0@ \265\0\0\0\0\0\236\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0(\0,\0\350\6!\1\0\0\0\0\0\0\0\0\354\362\22\0\0\0\0\0" ... {128, 156, reply, 0, 1252, 896, 81838, 0} "\300\270\26\0\33\0\1\0\0\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\1\0>\0@\0\250\6!\1<\0\0\0\377\377\377\377\0\0\0\0@ \265\0\0\0\0\0\236\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0(\0,\0\350\6!\1\0\0\0\0\0\0\0\0\354\362\22\0\0\0\0\0" )  ) == 0x0
 00752   896   NtClose  (60, ... ) == 0x0
 00753   896   NtClose  (56, ... ) == 0x0
 00754   896   NtUnmapViewOfSection  (-1, 0x920000, ... ) == 0x0
 00755   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00756   896   NtOpenKey  (0x8, {24, 0, 0x40, 0, 0,  (0x8, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows\CurrentVersion\SideBySide\AssemblyStorageRoots"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00757   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00758   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00759   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\u:\work\packed.exe.Local\"}, 1238980, ... ) }, 1238980, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00760   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00761   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00762   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00763   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03"}, 1239044, ... ) }, 1239044, ... ) == 0x0
 00764   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03"}, 3, 33, ... 56, {status=0x0, info=1}, ) }, 3, 33, ... 56, {status=0x0, info=1}, ) == 0x0
 00765   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00766   896   NtOpenFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\Device\KsecDD"}, 7, 16, ... 60, {status=0x0, info=0}, ) }, 7, 16, ... 60, {status=0x0, info=0}, ) == 0x0
 00767   896   NtDeviceIoControlFile  (60, 0, 0x0, 0x0, 0x390008,  (60, 0, 0x0, 0x0, 0x390008, "\2045\273\302d\232\222\372~-8\252LY\363\300\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 00768   896   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 00769   896   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 00770   896   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 00771   896   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 00772   896   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 00773   896   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 00774   896   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 00775   896   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147481368, 2, ) }, 0, 0x0, 0, ... -2147481368, 2, ) == 0x0
 00776   896   NtSetValueKey  (-2147481368,  (-2147481368, "Seed", 0, 3, "~Z#\210`d\314\0e"\2\374\257~\244\253\216\205v\2310\357\232\242\350:\301\377\363b\353\330\352|\32\215\2g\3056Fj\243\37E\361|\357\247\357\2\346\234+\275\337\275\13\323\7\270\233<\6\24,?%\217\30\15\320\270\300k\261"f\206\320", 80, ... ) , 0, 3,  (-2147481368, "Seed", 0, 3, "~Z#\210`d\314\0e"\2\374\257~\244\253\216\205v\2310\357\232\242\350:\301\377\363b\353\330\352|\32\215\2g\3056Fj\243\37E\361|\357\247\357\2\346\234+\275\337\275\13\323\7\270\233<\6\24,?%\217\30\15\320\270\300k\261"f\206\320", 80, ... ) \2\374\257~\244\253\216\205v\2310\357\232\242\350:\301\377\363b\353\330\352|\32\215\2g\3056Fj\243\37E\361|\357\247\357\2\346\234+\275\337\275\13\323\7\270\233<\6\24,?%\217\30\15\320\270\300k\261 (-2147481368, "Seed", 0, 3, "~Z#\210`d\314\0e"\2\374\257~\244\253\216\205v\2310\357\232\242\350:\301\377\363b\353\330\352|\32\215\2g\3056Fj\243\37E\361|\357\247\357\2\346\234+\275\337\275\13\323\7\270\233<\6\24,?%\217\30\15\320\270\300k\261"f\206\320", 80, ... ) , 80, ... ) == 0x0
 00777   896   NtClose  (-2147481368, ... ) == 0x0
 00767   896   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "\345\230\270\322\1s\4d\3*\3E4\341,Z|\231i\326\14\17p4\365S\20\31\246\310\357\36\304h0\264\367B\231\264\366\35\236\304\1\224c\301]\337\21\6\341\345\275\257#\3\211m\213\214?\3120K\1\235\10d?\242\347\232\213~\204\215"\252\320\252hP\257\317\205\31|oR\2\227\371\7\346?\255\26E\374\316\234z\3146\350\22\24\223e\346\275\333\335V\36\244(T^>\222R\22\262\361\361\320Q@\16\26\27\317\261\247R=\230W\k\356\367\274l\315\344\3467c>\4}\251\346)e,\341\21\220}\32\223\247\340\22\251\251+\217\25\177WV\274\\371\357\26\235"\271\2433d\326\304\271yN?\17a\345\222\364\367\310\30\15\371\305\357\7nJz8"\263\0\12r\2\243\271\177\206\265#\311\24%#~]|\221\17\317\271Oz\301\270$\6\23\202\21>\1eY\7#\232\356\266\217T\353\336", ) \252\320\252hP\257\317\205\31|oR\2\227\371\7\346?\255\26E\374\316\234z\3146\350\22\24\223e\346\275\333\335V\36\244(T^>\222R\22\262\361\361\320Q@\16\26\27\317\261\247R=\230W\k\356\367\274l\315\344\3467c>\4}\251\346)e,\341\21\220}\32\223\247\340\22\251\251+\217\25\177WV\274\\371\357\26\235 ... {status=0x0, info=256}, "\345\230\270\322\1s\4d\3*\3E4\341,Z|\231i\326\14\17p4\365S\20\31\246\310\357\36\304h0\264\367B\231\264\366\35\236\304\1\224c\301]\337\21\6\341\345\275\257#\3\211m\213\214?\3120K\1\235\10d?\242\347\232\213~\204\215"\252\320\252hP\257\317\205\31|oR\2\227\371\7\346?\255\26E\374\316\234z\3146\350\22\24\223e\346\275\333\335V\36\244(T^>\222R\22\262\361\361\320Q@\16\26\27\317\261\247R=\230W\k\356\367\274l\315\344\3467c>\4}\251\346)e,\341\21\220}\32\223\247\340\22\251\251+\217\25\177WV\274\\371\357\26\235"\271\2433d\326\304\271yN?\17a\345\222\364\367\310\30\15\371\305\357\7nJz8"\263\0\12r\2\243\271\177\206\265#\311\24%#~]|\221\17\317\271Oz\301\270$\6\23\202\21>\1eY\7#\232\356\266\217T\353\336", ) \263\0\12r\2\243\271\177\206\265#\311\24%#~]|\221\17\317\271Oz\301\270$\6\23\202\21>\1eY\7#\232\356\266\217T\353\336", ) == 0x0
 00778   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00779   896   NtQuerySystemInformation  (Processor, 12, ... {system info, class 1, size 12}, 0x0, ) == 0x0
 00780   896   NtOpenKey  (0x20019, {24, 32, 0x40, 0, 0,  (0x20019, {24, 32, 0x40, 0, 0, "SYSTEM\CurrentControlSet\Control\Session Manager"}, ... 64, ) }, ... 64, ) == 0x0
 00781   896   NtQueryValueKey  (64,  (64, "CriticalSectionTimeout", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\215'\0"}, 16, ) , Partial, 144, ... TitleIdx=0, Type=4, Data= (64, "CriticalSectionTimeout", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\215'\0"}, 16, ) }, 16, ) == 0x0
 00782   896   NtClose  (64, ... ) == 0x0
 00783   896   NtOpenKey  (0x20019, {24, 32, 0x40, 0, 0,  (0x20019, {24, 32, 0x40, 0, 0, "Software\Microsoft\Ole"}, ... 64, ) }, ... 64, ) == 0x0
 00784   896   NtQueryValueKey  (64,  (64, "RWLockResourceTimeOut", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00785   896   NtClose  (64, ... ) == 0x0
 00786   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00787   896   NtQuerySystemInformation  (Processor, 12, ... {system info, class 1, size 12}, 0x0, ) == 0x0
 00788   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00789   896   NtQuerySystemInformation  (Processor, 12, ... {system info, class 1, size 12}, 0x0, ) == 0x0
 00790   896   NtAllocateVirtualMemory  (-1, 1400832, 0, 4096, 4096, 4, ... 1400832, 4096, ) == 0x0
 00791   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Classes\Interface"}, ... 64, ) }, ... 64, ) == 0x0
 00792   896   NtQueryValueKey  (64,  (64, "InterfaceHelperDisableAll", Full, 0, ... ) , Full, 0, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00793   896   NtQueryValueKey  (64,  (64, "InterfaceHelperDisableAllForOle32", Full, 0, ... ) , Full, 0, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00794   896   NtQueryValueKey  (64,  (64, "InterfaceHelperDisableTypeLib", Full, 0, ... ) , Full, 0, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00795   896   NtClose  (64, ... ) == 0x0
 00796   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Classes\Interface\{00020400-0000-0000-C000-000000000046}"}, ... 64, ) }, ... 64, ) == 0x0
 00797   896   NtQueryValueKey  (64,  (64, "InterfaceHelperDisableAll", Full, 0, ... ) , Full, 0, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00798   896   NtQueryValueKey  (64,  (64, "InterfaceHelperDisableAllForOle32", Full, 0, ... ) , Full, 0, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00799   896   NtClose  (64, ... ) == 0x0
 00800   896   NtOpenEvent  (0x1f0003, {24, 48, 0x0, 0, 0,  (0x1f0003, {24, 48, 0x0, 0, 0, "HookSwitchHookEnabledEvent"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00801   896   NtTestAlert  (... ) == 0x0
 00802   896   NtContinue  (1244464, 1, ...
 00803   896   NtSetInformationThread  (-2, Win32StartAddress(LpcReceivedMessageId), {StartAddress(LpcReceivedMsgId)=0x403962,}, 4, ... ) == 0x0
 00804   896   NtQueryVirtualMemory  (-1, 0x4079aa, Basic, 28, ... {BaseAddress=0x407000,AllocationBase=0x400000,AllocationProtect=0x80,RegionSize=0x2000,State=0x1000,Protect=0x20,Type=0x1000000,}, 28, ) == 0x0
 00805   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\u:\work\talkback.exe"}, 1244624, ... ) }, 1244624, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00806   896   NtOpenKey  (0x1, {24, 32, 0x40, 0, 0,  (0x1, {24, 32, 0x40, 0, 0, "Software\America Online\Loader"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00807   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\rpcss.dll"}, 1242592, ... ) }, 1242592, ... ) == 0x0
 00808   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\rpcss.dll"}, 5, 96, ... 64, {status=0x0, info=1}, ) }, 5, 96, ... 64, {status=0x0, info=1}, ) == 0x0
 00809   896   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 64, ... 68, ) == 0x0
 00810   896   NtClose  (64, ... ) == 0x0
 00811   896   NtMapViewOfSection  (68, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x390000), 0x0, 401408, ) == 0x0
 00812   896   NtClose  (68, ... ) == 0x0
 00813   896   NtUnmapViewOfSection  (-1, 0x390000, ... ) == 0x0
 00814   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00815   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00816   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00817   896   NtDeviceIoControlFile  (60, 0, 0x0, 0x0, 0x390008,  (60, 0, 0x0, 0x0, 0x390008, "\2045\273\302d\232\222Fx\350e,\345wf\245~\261\254\246\347\324\270\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 00818   896   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 00819   896   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 00820   896   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 00821   896   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 00822   896   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 00823   896   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 00824   896   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 00825   896   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147481368, 2, ) }, 0, 0x0, 0, ... -2147481368, 2, ) == 0x0
 00826   896   NtSetValueKey  (-2147481368,  (-2147481368, "Seed", 0, 3, "g\2542h\310\313\345\336\2)A\314\324\267sX\27\334}\346\233~\210x\346\352\336c\323\232\24.\33h\367\252@0e\23\240\327\23B\306A\235\236\30\221\3DrUt\16/\312-?_rW\376U\362Z\252\212\367\315\364\232\3141\340#\322\3P", 80, ... ) , 0, 3,  (-2147481368, "Seed", 0, 3, "g\2542h\310\313\345\336\2)A\314\324\267sX\27\334}\346\233~\210x\346\352\336c\323\232\24.\33h\367\252@0e\23\240\327\23B\306A\235\236\30\221\3DrUt\16/\312-?_rW\376U\362Z\252\212\367\315\364\232\3141\340#\322\3P", 80, ... ) , 80, ... ) == 0x0
 00827   896   NtClose  (-2147481368, ... ) == 0x0
 00817   896   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "\310\5\304\244!\15\351\11\304\342>"\301\5,\364V\323\314\177\205iw\376\177L\307\320M[}\370Q\200\3\321\375uZ\34\12\233\3443*\353\323H\30&\235\332\130\336\323\6\224\265U\221!\271&\340X0\30\206.\5\232\306\211\42\245Tt\202\373\252\22\15\330)\12\333\24qsG9*\334\206\4\245\S\307\34\331nTAB6\342\24\344\314\13\2446\206t\330\246i\244"\1779N\354\26\340\331\256\260\30e\340\3760\3\336\314\300\250\311M?\347\357\254\5.\342\341\356dw_U&\207\225\331\363\361\215\216V\337D!\303\361\276\21\21\211\224O\362\21\244\12j}3M\3025Y.40\217\324\2\375\267\245\227\240V\2733\233\15D\20\335\3757\374\360\300\306\351\30_\35H\360\13\277\276:\210\304v\225S\354\244\325\253\222\232\335\362ED3+uB,r`4\220\304\354v\362\246\314a\33\272\265", ) \301\5,\364V\323\314\177\205iw\376\177L\307\320M[}\370Q\200\3\321\375uZ\34\12\233\3443*\353\323H\30&\235\332\130\336\323\6\224\265U\221!\271&\340X0\30\206.\5\232\306\211\42\245Tt\202\373\252\22\15\330)\12\333\24qsG9*\334\206\4\245\S\307\34\331nTAB6\342\24\344\314\13\2446\206t\330\246i\244 ... {status=0x0, info=256}, "\310\5\304\244!\15\351\11\304\342>"\301\5,\364V\323\314\177\205iw\376\177L\307\320M[}\370Q\200\3\321\375uZ\34\12\233\3443*\353\323H\30&\235\332\130\336\323\6\224\265U\221!\271&\340X0\30\206.\5\232\306\211\42\245Tt\202\373\252\22\15\330)\12\333\24qsG9*\334\206\4\245\S\307\34\331nTAB6\342\24\344\314\13\2446\206t\330\246i\244"\1779N\354\26\340\331\256\260\30e\340\3760\3\336\314\300\250\311M?\347\357\254\5.\342\341\356dw_U&\207\225\331\363\361\215\216V\337D!\303\361\276\21\21\211\224O\362\21\244\12j}3M\3025Y.40\217\324\2\375\267\245\227\240V\2733\233\15D\20\335\3757\374\360\300\306\351\30_\35H\360\13\277\276:\210\304v\225S\354\244\325\253\222\232\335\362ED3+uB,r`4\220\304\354v\362\246\314a\33\272\265", ) , ) == 0x0
 00828   896   NtDeviceIoControlFile  (60, 0, 0x0, 0x0, 0x390008,  (60, 0, 0x0, 0x0, 0x390008, "\2045\273\302d\232\222Fx\350e,\345w\332\243\273\354*\17\311A\335~\261\254\246\347\324\270\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 00829   896   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 00830   896   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 00831   896   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 00832   896   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 00833   896   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 00834   896   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 00835   896   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 00836   896   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147481368, 2, ) }, 0, 0x0, 0, ... -2147481368, 2, ) == 0x0
 00837   896   NtSetValueKey  (-2147481368,  (-2147481368, "Seed", 0, 3, "\221\352%R\306\350\200\235;A\373\256\246q\300[\223\32\273\367\36Y\265\201\213\\271\342\240!\2434\227*\353\313\313\215\301\333{2\16\324k\272\352\275P'\231\301\370\222St\322\307K\274\225\212\3746\350%u'\205\315Al\267\201{\202\5\2\275\12", 80, ... ) , 0, 3,  (-2147481368, "Seed", 0, 3, "\221\352%R\306\350\200\235;A\373\256\246q\300[\223\32\273\367\36Y\265\201\213\\271\342\240!\2434\227*\353\313\313\215\301\333{2\16\324k\272\352\275P'\231\301\370\222St\322\307K\274\225\212\3746\350%u'\205\315Al\267\201{\202\5\2\275\12", 80, ... ) , 80, ... ) == 0x0
 00838   896   NtClose  (-2147481368, ... ) == 0x0
 00828   896   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "|;>\370\240\210I\363\323|<\373\2324\7ay\34\337b4\310\362\\341OV\331~C\1773\252\351\17]\350\\356\24w\245\347`,7z\330\35\213TI3o\315\212\356\204p\302i\27I\223n\255-\177\240H\310\37\6V\12\353\317\351\351\225\326\2518J|\31\301]K\267\253\325\340\302\232\241M\16h\23\3707\26\261\335r(?\213\25\21#8\21\331[\303&2\32Q1{\2\240mR!#?\32\330-\234\357\240Ct\256\366\325\311\265R\226\230\256g2L\366+\214\317L\277\1\12\357\310,]\266\25CC\314*\226\214\3475S\12>\335P3|\17T\252kO%\262e9I\257\27\255\267!\206"_\234'\4\265:\7\374e\36\241\35\373\361\237G\336`&x1^\337o(\260\352\221\356\245\374\7\237\260,\31"\213\344n0\23\227 \216\315eY\375\34h:\14\270u\212\317]", ) _\234'\4\265:\7\374e\36\241\35\373\361\237G\336`&x1^\337o(\260\352\221\356\245\374\7\237\260,\31 ... {status=0x0, info=256}, "|;>\370\240\210I\363\323|<\373\2324\7ay\34\337b4\310\362\\341OV\331~C\1773\252\351\17]\350\\356\24w\245\347`,7z\330\35\213TI3o\315\212\356\204p\302i\27I\223n\255-\177\240H\310\37\6V\12\353\317\351\351\225\326\2518J|\31\301]K\267\253\325\340\302\232\241M\16h\23\3707\26\261\335r(?\213\25\21#8\21\331[\303&2\32Q1{\2\240mR!#?\32\330-\234\357\240Ct\256\366\325\311\265R\226\230\256g2L\366+\214\317L\277\1\12\357\310,]\266\25CC\314*\226\214\3475S\12>\335P3|\17T\252kO%\262e9I\257\27\255\267!\206"_\234'\4\265:\7\374e\36\241\35\373\361\237G\336`&x1^\337o(\260\352\221\356\245\374\7\237\260,\31"\213\344n0\23\227 \216\315eY\375\34h:\14\270u\212\317]", ) , ) == 0x0
 00839   896   NtDeviceIoControlFile  (60, 0, 0x0, 0x0, 0x390008,  (60, 0, 0x0, 0x0, 0x390008, "\2045\273\302d\232\222Fx\350e,\345w\332\243\273\354*\17\311\375\333\273\354*\17\311A\335~\261\254\246\347\324\270\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 00840   896   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 00841   896   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 00842   896   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 00843   896   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 00844   896   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 00845   896   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 00846   896   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 00847   896   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147481368, 2, ) }, 0, 0x0, 0, ... -2147481368, 2, ) == 0x0
 00848   896   NtSetValueKey  (-2147481368,  (-2147481368, "Seed", 0, 3, "\365]\242\207\356\215\343\210?\235'\345\213\252r?\374\301c\374\365k\221\326\25\0-'\341\207da\324\226.\212\230K\243^\325\275\304tQh\20j\244\245$\252\332\303\355V\203+E\35[v\321Y\244\276\326u\340e\331\3304\267\322\14\15\214?\240", 80, ... ) , 0, 3,  (-2147481368, "Seed", 0, 3, "\365]\242\207\356\215\343\210?\235'\345\213\252r?\374\301c\374\365k\221\326\25\0-'\341\207da\324\226.\212\230K\243^\325\275\304tQh\20j\244\245$\252\332\303\355V\203+E\35[v\321Y\244\276\326u\340e\331\3304\267\322\14\15\214?\240", 80, ... ) , 80, ... ) == 0x0
 00849   896   NtClose  (-2147481368, ... ) == 0x0
 00839   896   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "\3\334\225\27BlM\211\206_\320M>\361\335\277h\310=\212\3238\31zt\273\324\227\377i\306m\30\3255T%^\232\271\351\2609\324=L=\364%\25\365\374\255\277\311\323_\255\320\2;\21.\272-\224O 9\11\202\216\261\311\200\312\324\373Q\24W\346i\11<)\371\32`o2d[8\355by\27\217\230N\26M\220h\314\243:N\321\23\223\365x\324z\314\237k\353<\356u\360\234\245\221>^\375%9b\21^\23\353g\25\305\207*\341I\242%]\247\205\30r'_\14\336\350\32\12\10\7=\4\205O\262\267c\305\215\206\375\7\208\351^e\310\257\361\273m\246\3248\33H\4\25\303\177\321\3519\375\246\253:7\303&\261\310\364\373\353\365\374\331&\312[P>\212\177Y\13h\203\365\372%\312n]v\310\252\225\361G\254\245b5\2 \333\375d\272\13\333\342\247\255s\231\17k\12\232\360\212\255", ) , ) == 0x0
 00850   896   NtDeviceIoControlFile  (60, 0, 0x0, 0x0, 0x390008,  (60, 0, 0x0, 0x0, 0x390008, "\2045\273\302d\232\222Fx\350e,\345w\332\243\273\354*\17\311\375\333\273\354*\17\311\375\333\273\354*\17\311A\335~\261\254\246\347\324\270\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 00851   896   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 00852   896   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 00853   896   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 00854   896   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 00855   896   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 00856   896   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 00857   896   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 00858   896   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147481368, 2, ) }, 0, 0x0, 0, ... -2147481368, 2, ) == 0x0
 00859   896   NtSetValueKey  (-2147481368,  (-2147481368, "Seed", 0, 3, "\25\12\242\267\1\335\325@n\200{%{\24\252'\22xD\364N!$V[\357\2533\236\207\351\320\350\1w\253\210\2201\364\354\267\36T\201\271\321\253\210\241[o\216r\344\271R\201\371j\36\305~\3216\325C\247\316\262\5_HH\334\223\30\360E6", 80, ... ) , 0, 3,  (-2147481368, "Seed", 0, 3, "\25\12\242\267\1\335\325@n\200{%{\24\252'\22xD\364N!$V[\357\2533\236\207\351\320\350\1w\253\210\2201\364\354\267\36T\201\271\321\253\210\241[o\216r\344\271R\201\371j\36\305~\3216\325C\247\316\262\5_HH\334\223\30\360E6", 80, ... ) , 80, ... ) == 0x0
 00860   896   NtClose  (-2147481368, ... ) == 0x0
 00850   896   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "\256\341\0t\257\312Z\234\260\337\216\325\220\257\256\314$\2KcZ\256\245\224\307\3217+\244\15\7\352\351"\322K\242y+\311\306\322\327\235\262(K\315\251\300\21\303;\267\240Ri\323W)\34\277[e\320>\216\336\\273i\376cl}#x:\240\322u\253}8\10\206\365\265\2345Sc\24\334\344\222\15\2403\201\302\215\231 y\201\301\26\355\334\13\0\23\332#\202\324\26\0\324a\331\274\15%gw\266\320L+\346\345\331\271\326\303\12\2618TIF\264J\5\271\363\203\206\2003\242\14\230\31\303\25\250\273\2\314\16\325\366\27\205\244\276.\3522\343e\304\35v\364\335\351@i\277\362\6_\2b'\205$\235\372M}U\203f!\333\3331VRk7\243\23S\35\17\225\366\347b\23N$a\355/\1A\2611\226d\6\260\24\257\344N\4\230\200\374\17J(l\360\221x]\6\235\350\31\360\322_\304\346\207a", ) \322K\242y+\311\306\322\327\235\262(K\315\251\300\21\303;\267\240Ri\323W)\34\277[e\320>\216\336\\273i\376cl}#x:\240\322u\253}8\10\206\365\265\2345Sc\24\334\344\222\15\2403\201\302\215\231 y\201\301\26\355\334\13\0\23\332#\202\324\26\0\324a\331\274\15%gw\266\320L+\346\345\331\271\326\303\12\2618TIF\264J\5\271\363\203\206\2003\242\14\230\31\303\25\250\273\2\314\16\325\366\27\205\244\276.\3522\343e\304\35v\364\335\351@i\277\362\6_\2b'\205$\235\372M}U\203f!\333\3331VRk7\243\23S\35\17\225\366\347b\23N$a\355/\1A\2611\226d\6\260\24\257\344N\4\230\200\374\17J(l\360\221x]\6\235\350\31\360\322_\304\346\207a", ) == 0x0
 00861   896   NtDeviceIoControlFile  (60, 0, 0x0, 0x0, 0x390008,  (60, 0, 0x0, 0x0, 0x390008, "\2045\273\302d\232\222Fx\350e,\345w\332\243\273\354*\17\311\375\333\273\354*\17\311\375\333\273\354*\17\311\375\333\273\354*\17\311A\335~\261\254\246\347\324\270\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 00862   896   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 00863   896   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 00864   896   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 00865   896   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 00866   896   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 00867   896   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 00868   896   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 00869   896   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147481368, 2, ) }, 0, 0x0, 0, ... -2147481368, 2, ) == 0x0
 00870   896   NtSetValueKey  (-2147481368,  (-2147481368, "Seed", 0, 3, "z\360\317\212\310\23E'\37.\375\337\354\13a2\336x\251\24N\247e5\240\31(\26nX\275\355S\354h\356\324*\355\306g\346\333\231DIr>\33\25\261\3420\273j\222bv\16\364-\315\250\6\337\3008\266\255\262\23\34d-m=\301\220\340\331", 80, ... ) , 0, 3,  (-2147481368, "Seed", 0, 3, "z\360\317\212\310\23E'\37.\375\337\354\13a2\336x\251\24N\247e5\240\31(\26nX\275\355S\354h\356\324*\355\306g\346\333\231DIr>\33\25\261\3420\273j\222bv\16\364-\315\250\6\337\3008\266\255\262\23\34d-m=\301\220\340\331", 80, ... ) , 80, ... ) == 0x0
 00871   896   NtClose  (-2147481368, ... ) == 0x0
 00861   896   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "8\3\300\361\372e>3\337hO{a\200%\323D\202\206\250\276\30\25?/\211\17oN\23X*\202\3013\276"\223\304\267\336\13\220\273_\33\17A\336\217\273\26\241H\317T1u\365A\234\4\351\354\377\372a\252\3257\206\256\253\340\254\200\323\36\277r\371\213\354\212\253\357/\16\32/\215\207j\236\201v\365(\300\356\267\343%\303 "\355\222A\276H\321\202\35A\240\366^}\310\202\1\241$\353X\10B\260\350\361N+>\256u\227F\207\14\201\211\241\346O\311\350\207\\325\246\177\220\275W \243\320\306\371Q\245\2215o\253\4\236m\330\27\300\367ii"(\\252+\317u\224\4\27\306U\322ecSu\211T_\3308\263\216\211P\300z\337\12\240\213)\272\21"|\321m\6\302\262\223\320\330\34*<\36'c_\316B\11\1770E\225*\265y\37\250\303\320<\236\220\223'B4\361\362\347\31s\221\260\320", ) \223\304\267\336\13\220\273_\33\17A\336\217\273\26\241H\317T1u\365A\234\4\351\354\377\372a\252\3257\206\256\253\340\254\200\323\36\277r\371\213\354\212\253\357/\16\32/\215\207j\236\201v\365(\300\356\267\343%\303  ... {status=0x0, info=256}, "8\3\300\361\372e>3\337hO{a\200%\323D\202\206\250\276\30\25?/\211\17oN\23X*\202\3013\276"\223\304\267\336\13\220\273_\33\17A\336\217\273\26\241H\317T1u\365A\234\4\351\354\377\372a\252\3257\206\256\253\340\254\200\323\36\277r\371\213\354\212\253\357/\16\32/\215\207j\236\201v\365(\300\356\267\343%\303 "\355\222A\276H\321\202\35A\240\366^}\310\202\1\241$\353X\10B\260\350\361N+>\256u\227F\207\14\201\211\241\346O\311\350\207\\325\246\177\220\275W \243\320\306\371Q\245\2215o\253\4\236m\330\27\300\367ii"(\\252+\317u\224\4\27\306U\322ecSu\211T_\3308\263\216\211P\300z\337\12\240\213)\272\21"|\321m\6\302\262\223\320\330\34*<\36'c_\316B\11\1770E\225*\265y\37\250\303\320<\236\220\223'B4\361\362\347\31s\221\260\320", ) (\\252+\317u\224\4\27\306U\322ecSu\211T_\3308\263\216\211P\300z\337\12\240\213)\272\21 ... {status=0x0, info=256}, "8\3\300\361\372e>3\337hO{a\200%\323D\202\206\250\276\30\25?/\211\17oN\23X*\202\3013\276"\223\304\267\336\13\220\273_\33\17A\336\217\273\26\241H\317T1u\365A\234\4\351\354\377\372a\252\3257\206\256\253\340\254\200\323\36\277r\371\213\354\212\253\357/\16\32/\215\207j\236\201v\365(\300\356\267\343%\303 "\355\222A\276H\321\202\35A\240\366^}\310\202\1\241$\353X\10B\260\350\361N+>\256u\227F\207\14\201\211\241\346O\311\350\207\\325\246\177\220\275W \243\320\306\371Q\245\2215o\253\4\236m\330\27\300\367ii"(\\252+\317u\224\4\27\306U\322ecSu\211T_\3308\263\216\211P\300z\337\12\240\213)\272\21"|\321m\6\302\262\223\320\330\34*<\36'c_\316B\11\1770E\225*\265y\37\250\303\320<\236\220\223'B4\361\362\347\31s\221\260\320", ) , ) == 0x0
 00872   896   NtDeviceIoControlFile  (60, 0, 0x0, 0x0, 0x390008,  (60, 0, 0x0, 0x0, 0x390008, "\2045\273\302d\232\222Fx\350e,\345w\332\243\273\354*\17\311\375\333\273\354*\17\311\375\333\273\354*\17\311\375\333\273\354*\17\311\375\333\273\354*\17\311A\335~\261\254\246\347\324\270\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 00873   896   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 00874   896   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 00875   896   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 00876   896   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 00877   896   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 00878   896   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 00879   896   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 00880   896   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147481368, 2, ) }, 0, 0x0, 0, ... -2147481368, 2, ) == 0x0
 00881   896   NtSetValueKey  (-2147481368,  (-2147481368, "Seed", 0, 3, "\346\367\274H\1\243\20\366\315\333\246\310\346\220@ r\253!jM'\44\343\33\311\276N\3m\207\226\362_M\312\241=C0M\255\305rW\34!\265\217\227V\200c^\361uD\365{:\247\30^Xp\203V*}WO\255\305\341>\324\216@", 80, ... ) , 0, 3,  (-2147481368, "Seed", 0, 3, "\346\367\274H\1\243\20\366\315\333\246\310\346\220@ r\253!jM'\44\343\33\311\276N\3m\207\226\362_M\312\241=C0M\255\305rW\34!\265\217\227V\200c^\361uD\365{:\247\30^Xp\203V*}WO\255\305\341>\324\216@", 80, ... ) , 80, ... ) == 0x0
 00882   896   NtClose  (-2147481368, ... ) == 0x0
 00872   896   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "\267.H\345\252\376P\3266r%\200\360k\232\305\304}K\202\4P\240\346L>,nKX\351\207b#\11\340\2\20\34~\207\231\311\3SQ\31\370\234\272\300\242\243p1\253\3\233\324;\341\0\207\224\331\371\177\264'4\7\211\30\301\340\310t\324}\24\246.\344\34\214\246\35\203\22\345\252\347\305\216X\31g\253'\217\225\226/m\334zfp,\373y\266\2432\21=\340W\314\245\316v\237)N\353\337\375l\357V\233;~*\324&\200\16>vO}\305y\370\234\253Wd\232z\260P\367f^\370o\245P\276_\305\224\333\321\261{x0H\10\306\305k\376Q\311\35\2$\25\30\307\347G\27\265\250\360\211\3276\330!\251\233\351fjKQ\340\271\14R\212Rsh\325\237#\342\14M\3605\17\214\324HO\343\6\371\33\314\300#\34\362\27;\243r\3107h}!\317\2\373\372|\312\235;~\260\15\325", ) , ) == 0x0
 00883   896   NtDeviceIoControlFile  (60, 0, 0x0, 0x0, 0x390008,  (60, 0, 0x0, 0x0, 0x390008, "\2045\273\302d\232\222Fx\350e,\345w\332\243\273\354*\17\311\375\333\273\354*\17\311\375\333\273\354*\17\311\375\333\273\354*\17\311\375\333\273\354*\17\311\375\333\273\354*\17\311A\335~\261\254\246\347\324\270\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 00884   896   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 00885   896   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 00886   896   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 00887   896   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 00888   896   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 00889   896   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 00890   896   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 00891   896   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147481368, 2, ) }, 0, 0x0, 0, ... -2147481368, 2, ) == 0x0
 00892   896   NtSetValueKey  (-2147481368,  (-2147481368, "Seed", 0, 3, "<\3\26\12\301d\234\177\344bC\205\34\34z#\305\334\13H\261}\25\267'\353\313\323\317\24\23\233p\6`,\364\326\303\204>Fj\3254^N|\03\212\371\365NU\17'\244I-\2374)\266\26LR\377\30\26\352v\2566\244\21\341\330\325\210", 80, ... ) , 0, 3,  (-2147481368, "Seed", 0, 3, "<\3\26\12\301d\234\177\344bC\205\34\34z#\305\334\13H\261}\25\267'\353\313\323\317\24\23\233p\6`,\364\326\303\204>Fj\3254^N|\03\212\371\365NU\17'\244I-\2374)\266\26LR\377\30\26\352v\2566\244\21\341\330\325\210", 80, ... ) , 80, ... ) == 0x0
 00893   896   NtClose  (-2147481368, ... ) == 0x0
 00883   896   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "J}87o\372\310\224@\377\370\267\365\203F\270\343dw\322\316\322f\373\330\342_\256\337[\305|\252\353\247\326y\275c\4\206|\205K\129(\305\312\257\224\3162\24\271s4M\21\36\253e\240\351c\211h\3520\222\346\367\310\37;\221\227"\262\370]\311\362m\3c\264C\277\312\341\343\271\373\324\15:\272\301\250\223\236{\27\377\216\354\376\332\3461<\227\313\27\241>\256L\\273\5!\373\31\350\10\337\24\202\2\217\311x\0\273i\12,\305o\304\363Zq\26g\3165\22\224\351\374\214\325v*\304\25\355\17\260'\31z\227\276\251+\325\177\301!\242\225\370\206\270;\3143\23\220\237\310\1&\337\210]\254\314\267p\242\27\315N\300\14\221\211\327q\342\13\312]\13w\275\14e\361a\363xj\33k\375!\177\362\2h5\261\233oY\\246\212|\254\361\211\312\74zI>\227M\245\252@\307\262\265\220\275\377;", ) \262\370]\311\362m\3c\264C\277\312\341\343\271\373\324\15:\272\301\250\223\236{\27\377\216\354\376\332\3461<\227\313\27\241>\256L\\273\5!\373\31\350\10\337\24\202\2\217\311x\0\273i\12,\305o\304\363Zq\26g\3165\22\224\351\374\214\325v*\304\25\355\17\260'\31z\227\276\251+\325\177\301!\242\225\370\206\270;\3143\23\220\237\310\1&\337\210]\254\314\267p\242\27\315N\300\14\221\211\327q\342\13\312]\13w\275\14e\361a\363xj\33k\375!\177\362\2h5\261\233oY\\246\212|\254\361\211\312\74zI>\227M\245\252@\307\262\265\220\275\377;", ) == 0x0
 00894   896   NtAllocateVirtualMemory  (-1, 1404928, 0, 16384, 4096, 4, ... 1404928, 16384, ) == 0x0
 00895   896   NtUserRegisterClassExWOW  (1244200, 1244268, 1244284, 1244300, 0, 384, 0, ... ) == 0x8177c038
 00896   896   NtUserGetAtomName  (49208, 1243528, ... ) == 0x15
 00897   896   NtUserCreateWindowEx  (0, 49208, 49208,  (0, 49208, 49208, "OleMainThreadWndName", -2013265920, -2147483648, -2147483648, -2147483648, -2147483648, -3, 0, 2001600512, 0, 1073742848, 0, ... , -2013265920, -2147483648, -2147483648, -2147483648, -2147483648, -3, 0, 2001600512, 0, 1073742848, 0, ...
 00898   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\uxtheme.dll"}, 1241000, ... ) }, 1241000, ... ) == 0x0
 00899   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\uxtheme.dll"}, 5, 96, ... 68, {status=0x0, info=1}, ) }, 5, 96, ... 68, {status=0x0, info=1}, ) == 0x0
 00900   896   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 68, ... 64, ) == 0x0
 00901   896   NtClose  (68, ... ) == 0x0
 00902   896   NtMapViewOfSection  (64, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x390000), 0x0, 221184, ) == 0x0
 00903   896   NtClose  (64, ... ) == 0x0
 00904   896   NtUnmapViewOfSection  (-1, 0x390000, ... ) == 0x0
 00905   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\uxtheme.dll"}, 1241308, ... ) }, 1241308, ... ) == 0x0
 00906   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\uxtheme.dll"}, 5, 96, ... 64, {status=0x0, info=1}, ) }, 5, 96, ... 64, {status=0x0, info=1}, ) == 0x0
 00907   896   NtCreateSection  (0xf, 0x0, 0x0, 16, 16777216, 64, ... 68, ) == 0x0
 00908   896   NtQuerySection  (68, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 00909   896   NtClose  (64, ... ) == 0x0
 00910   896   NtMapViewOfSection  (68, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x5ad70000), 0x0, 229376, ) == 0x0
 00911   896   NtClose  (68, ... ) == 0x0
 00912   896   NtProtectVirtualMemory  (-1, (0x5ad71000), 1300, 4, ... (0x5ad71000), 4096, 32, ) == 0x0
 00913   896   NtProtectVirtualMemory  (-1, (0x5ad71000), 4096, 32, ... (0x5ad71000), 4096, 4, ) == 0x0
 00914   896   NtFlushInstructionCache  (-1, 1524043776, 1300, ... ) == 0x0
 00915   896   NtProtectVirtualMemory  (-1, (0x5ad71000), 1300, 4, ... (0x5ad71000), 4096, 32, ) == 0x0
 00916   896   NtProtectVirtualMemory  (-1, (0x5ad71000), 4096, 32, ... (0x5ad71000), 4096, 4, ) == 0x0
 00917   896   NtFlushInstructionCache  (-1, 1524043776, 1300, ... ) == 0x0
 00918   896   NtProtectVirtualMemory  (-1, (0x5ad71000), 1300, 4, ... (0x5ad71000), 4096, 32, ) == 0x0
 00919   896   NtProtectVirtualMemory  (-1, (0x5ad71000), 4096, 32, ... (0x5ad71000), 4096, 4, ) == 0x0
 00920   896   NtFlushInstructionCache  (-1, 1524043776, 1300, ... ) == 0x0
 00921   896   NtProtectVirtualMemory  (-1, (0x5ad71000), 1300, 4, ... (0x5ad71000), 4096, 32, ) == 0x0
 00922   896   NtProtectVirtualMemory  (-1, (0x5ad71000), 4096, 32, ... (0x5ad71000), 4096, 4, ) == 0x0
 00923   896   NtFlushInstructionCache  (-1, 1524043776, 1300, ... ) == 0x0
 00924   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\uxtheme.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00925   896   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00926   896   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00927   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00928   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 68, ) == 0x0
 00929   896   NtQueryInformationToken  (68, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00930   896   NtClose  (68, ... ) == 0x0
 00931   896   NtOpenKey  (0x2001f, {24, 0, 0x640, 0, 0,  (0x2001f, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... 68, ) }, ... 68, ) == 0x0
 00932   896   NtOpenKey  (0x1, {24, 68, 0x40, 0, 0,  (0x1, {24, 68, 0x40, 0, 0, "Software\Microsoft\Windows\CurrentVersion\ThemeManager"}, ... 64, ) }, ... 64, ) == 0x0
 00933   896   NtQueryValueKey  (64,  (64, "Compositing", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00934   896   NtClose  (64, ... ) == 0x0
 00935   896   NtClose  (68, ... ) == 0x0
 00936   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00937   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 68, ) == 0x0
 00938   896   NtQueryInformationToken  (68, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00939   896   NtClose  (68, ... ) == 0x0
 00940   896   NtOpenKey  (0x20019, {24, 0, 0x640, 0, 0,  (0x20019, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... 68, ) }, ... 68, ) == 0x0
 00941   896   NtOpenKey  (0x1, {24, 68, 0x40, 0, 0,  (0x1, {24, 68, 0x40, 0, 0, "Control Panel\Desktop"}, ... 64, ) }, ... 64, ) == 0x0
 00942   896   NtQueryValueKey  (64,  (64, "LameButtonText", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00943   896   NtClose  (64, ... ) == 0x0
 00944   896   NtClose  (68, ... ) == 0x0
 00945   896   NtUserGetProcessWindowStation  (... ) == 0x1c
 00946   896   NtUserGetObjectInformation  (28, 2, 1243096, 64, 1243092, ... ) == 0x1
 00947   896   NtUserGetGUIThreadInfo  (896, 1243116, ... ) == 0x1
 00948   896   NtConnectPort  ( ("\ThemeApiPort", {12, 2, 1, 1}, 0x0, 0x0, 1242960, 64, ... 68, 0x0, 0x0, 0x0, 64, ) , {12, 2, 1, 1}, 0x0, 0x0, 1242960, 64, ... 68, 0x0, 0x0, 0x0, 64, ) == 0x0
 00949   896   NtRequestWaitReplyPort  (68, {32, 56, new_msg, 0, 0, 0, 0, 0}  (68, {32, 56, new_msg, 0, 0, 0, 0, 0} "\4\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" ... {32, 56, reply, 0, 1252, 896, 81840, 0} "\0\0\0\0\1\0\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" )  ... {32, 56, reply, 0, 1252, 896, 81840, 0}  (68, {32, 56, new_msg, 0, 0, 0, 0, 0} "\4\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" ... {32, 56, reply, 0, 1252, 896, 81840, 0} "\0\0\0\0\1\0\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" )  ) == 0x0
 00950   896   NtRequestWaitReplyPort  (68, {32, 56, new_msg, 0, 0, 0, 0, 0}  (68, {32, 56, new_msg, 0, 0, 0, 0, 0} "\355\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" ... {32, 56, reply, 0, 1252, 896, 81841, 0} "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" )  ... {32, 56, reply, 0, 1252, 896, 81841, 0}  (68, {32, 56, new_msg, 0, 0, 0, 0, 0} "\355\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" ... {32, 56, reply, 0, 1252, 896, 81841, 0} "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" )  ) == 0x0
 00951   896   NtUserCallNoParam  (29, ...
 00952   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\uxtheme.dll"}, 1240356, ... ) }, 1240356, ... ) == 0x0
 00951   896   NtUserCallNoParam  ... ) == 0x0
 00953   896   NtUserSystemParametersInfo  (41, 0, 1524240760, 0, ... ) == 0x1
 00954   896   NtGdiHfontCreate  (1242484, 356, 0, 0, 1395776, ... ) == 0x640a0596
 00955   896   NtGdiHfontCreate  (1242484, 356, 0, 0, 1395768, ... ) == 0x740a05de
 00956   896   NtRequestWaitReplyPort  (68, {32, 56, new_msg, 0, 0, 0, 0, 0}  (68, {32, 56, new_msg, 0, 0, 0, 0, 0} "\7\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" ... {32, 56, reply, 0, 1252, 896, 81842, 0} "\0\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" )  ... {32, 56, reply, 0, 1252, 896, 81842, 0}  (68, {32, 56, new_msg, 0, 0, 0, 0, 0} "\7\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" ... {32, 56, reply, 0, 1252, 896, 81842, 0} "\0\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" )  ) == 0x0
 00957   896   NtMapViewOfSection  (64, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 2, ... (0x390000), {0, 0}, 327680, ) == 0x0
 00958   896   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00959   896   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00960   896   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00961   896   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00962   896   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00963   896   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00964   896   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00965   896   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00966   896   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00967   896   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00968   896   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00969   896   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00970   896   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00971   896   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00972   896   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00973   896   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00974   896   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00975   896   NtGdiCreatePatternBrushInternal  (59048383, 0, 0, ... ) == 0xb91006e8
 00976   896   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00977   896   NtUserCallNoParam  (29, ...
 00978   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\uxtheme.dll"}, 1239796, ... ) }, 1239796, ... ) == 0x0
 00977   896   NtUserCallNoParam  ... ) == 0x0
 00979   896   NtUserCallNoParam  (29, ...
 00980   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\uxtheme.dll"}, 1239792, ... ) }, 1239792, ... ) == 0x0
 00979   896   NtUserCallNoParam  ... ) == 0x0
 00981   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\MSCTF.dll"}, 1241004, ... ) }, 1241004, ... ) == 0x0
 00982   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\MSCTF.dll"}, 5, 96, ... 72, {status=0x0, info=1}, ) }, 5, 96, ... 72, {status=0x0, info=1}, ) == 0x0
 00983   896   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 72, ... 76, ) == 0x0
 00984   896   NtClose  (72, ... ) == 0x0
 00985   896   NtMapViewOfSection  (76, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x920000), 0x0, 294912, ) == 0x0
 00986   896   NtClose  (76, ... ) == 0x0
 00987   896   NtUnmapViewOfSection  (-1, 0x920000, ... ) == 0x0
 00988   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\MSCTF.dll"}, 1241312, ... ) }, 1241312, ... ) == 0x0
 00989   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\MSCTF.dll"}, 5, 96, ... 76, {status=0x0, info=1}, ) }, 5, 96, ... 76, {status=0x0, info=1}, ) == 0x0
 00990   896   NtCreateSection  (0xf, 0x0, 0x0, 16, 16777216, 76, ... 72, ) == 0x0
 00991   896   NtQuerySection  (72, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 00992   896   NtClose  (76, ... ) == 0x0
 00993   896   NtMapViewOfSection  (72, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x74720000), 0x0, 307200, ) == 0x0
 00994   896   NtClose  (72, ... ) == 0x0
 00995   896   NtProtectVirtualMemory  (-1, (0x74721000), 928, 4, ... (0x74721000), 4096, 32, ) == 0x0
 00996   896   NtProtectVirtualMemory  (-1, (0x74721000), 4096, 32, ... (0x74721000), 4096, 4, ) == 0x0
 00997   896   NtFlushInstructionCache  (-1, 1953632256, 928, ... ) == 0x0
 00998   896   NtProtectVirtualMemory  (-1, (0x74721000), 928, 4, ... (0x74721000), 4096, 32, ) == 0x0
 00999   896   NtProtectVirtualMemory  (-1, (0x74721000), 4096, 32, ... (0x74721000), 4096, 4, ) == 0x0
 01000   896   NtFlushInstructionCache  (-1, 1953632256, 928, ... ) == 0x0
 01001   896   NtProtectVirtualMemory  (-1, (0x74721000), 928, 4, ... (0x74721000), 4096, 32, ) == 0x0
 01002   896   NtProtectVirtualMemory  (-1, (0x74721000), 4096, 32, ... (0x74721000), 4096, 4, ) == 0x0
 01003   896   NtFlushInstructionCache  (-1, 1953632256, 928, ... ) == 0x0
 01004   896   NtProtectVirtualMemory  (-1, (0x74721000), 928, 4, ... (0x74721000), 4096, 32, ) == 0x0
 01005   896   NtProtectVirtualMemory  (-1, (0x74721000), 4096, 32, ... (0x74721000), 4096, 4, ) == 0x0
 01006   896   NtFlushInstructionCache  (-1, 1953632256, 928, ... ) == 0x0
 01007   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSCTF.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01008   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\ntdll.dll"}, 1238668, ... ) }, 1238668, ... ) == 0x0
 01009   896   NtQueryInformationProcess  (-1, Wow64, 4, ... {process info, class 26, size 4}, 0x0, ) == 0x0
 01010   896   NtUserCallOneParam  (0, 40, ... ) == 0x4090409
 01011   896   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.Private", ... ) , ... ) == 0xc0a1
 01012   896   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.SetFocus", ... ) , ... ) == 0xc0a2
 01013   896   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.ThreadTerminate", ... ) , ... ) == 0xc0a3
 01014   896   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.ThreadItemChange", ... ) , ... ) == 0xc0a4
 01015   896   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.LangBarModal", ... ) , ... ) == 0xc0a5
 01016   896   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.RpcSendReceive", ... ) , ... ) == 0xc0a6
 01017   896   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.ThreadMarshal", ... ) , ... ) == 0xc0a7
 01018   896   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.CheckThreadInputIdel", ... ) , ... ) == 0xc0a8
 01019   896   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.StubCleanUp", ... ) , ... ) == 0xc0a9
 01020   896   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.ShowFloating", ... ) , ... ) == 0xc0aa
 01021   896   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.LBUpdate", ... ) , ... ) == 0xc0ab
 01022   896   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.MuiMgrDirtyUpdate", ... ) , ... ) == 0xc0ac
 01023   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\imm32.dll"}, 1238676, ... ) }, 1238676, ... ) == 0x0
 01024   896   NtRequestWaitReplyPort  (24, {24, 52, new_msg, 0, 3998, 1241068, 0, 0}  (24, {24, 52, new_msg, 0, 3998, 1241068, 0, 0} "\0\0\0\0\5\4\3\0\0\0\0\0\1\0\0\0\200\3\0\0\0\0\0\0" ... {24, 52, reply, 0, 1252, 896, 81843, 0} "\0\0\0\0\5\4\3\0\0\0\0\0\1\0\0\0\200\3\0\0\0\0\0\0" )  ... {24, 52, reply, 0, 1252, 896, 81843, 0}  (24, {24, 52, new_msg, 0, 3998, 1241068, 0, 0} "\0\0\0\0\5\4\3\0\0\0\0\0\1\0\0\0\200\3\0\0\0\0\0\0" ... {24, 52, reply, 0, 1252, 896, 81843, 0} "\0\0\0\0\5\4\3\0\0\0\0\0\1\0\0\0\200\3\0\0\0\0\0\0" )  ) == 0x0
 01025   896   NtUserGetThreadDesktop  (896, 0, ... ) == 0x28
 01026   896   NtUserGetObjectInformation  (40, 2, 1384080, 520, 1240976, ... ) == 0x1
 01027   896   NtOpenProcessToken  (-1, 0x8, ... 72, ) == 0x0
 01028   896   NtQueryInformationToken  (72, User, 0, ... ) == STATUS_BUFFER_TOO_SMALL
 01029   896   NtQueryInformationToken  (72, User, 36, ... {token info, class 1, size 36}, 36, ) == 0x0
 01030   896   NtClose  (72, ... ) == 0x0
 01031   896   NtCreateSection  (0xf0007, {24, 48, 0x80, 0, 0,  (0xf0007, {24, 48, 0x80, 0, 0, "CiceroSharedMemDefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, {3240, 0}, 4, 134217728, 0, ... 72, ) }, {3240, 0}, 4, 134217728, 0, ... 72, ) == STATUS_OBJECT_NAME_EXISTS
 01032   896   NtMapViewOfSection  (72, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 4, ... (0x3e0000), {0, 0}, 4096, ) == 0x0
 01033   896   NtOpenKey  (0x20019, {24, 32, 0x40, 0, 0,  (0x20019, {24, 32, 0x40, 0, 0, "SOFTWARE\Microsoft\CTF\Compatibility\packed.exe"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01034   896   NtOpenKey  (0x20019, {24, 32, 0x40, 0, 0,  (0x20019, {24, 32, 0x40, 0, 0, "SOFTWARE\Microsoft\CTF\SystemShared\"}, ... 76, ) }, ... 76, ) == 0x0
 01035   896   NtQueryValueKey  (76,  (76, "CUAS", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 144, ... TitleIdx=0, Type=4, Data= (76, "CUAS", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 01036   896   NtClose  (76, ... ) == 0x0
 01037   896   NtUserFindExistingCursorIcon  (1240508, 1240524, 1240572, ... ) == 0x10011
 01038   896   NtUserRegisterClassExWOW  (1240780, 1240876, 1240860, 1240848, 0, 386, 0, ... ) == 0x8177c0ad
 01039   896   NtCreateMutant  (0x1f0001, {24, 48, 0x80, 0, 0,  (0x1f0001, {24, 48, 0x80, 0, 0, "CTF.LBES.MutexDefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, 0, ... 76, ) }, 0, ... 76, ) == STATUS_OBJECT_NAME_EXISTS
 01040   896   NtCreateMutant  (0x1f0001, {24, 48, 0x80, 0, 0,  (0x1f0001, {24, 48, 0x80, 0, 0, "CTF.Compart.MutexDefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, 0, ... 80, ) }, 0, ... 80, ) == STATUS_OBJECT_NAME_EXISTS
 01041   896   NtCreateMutant  (0x1f0001, {24, 48, 0x80, 0, 0,  (0x1f0001, {24, 48, 0x80, 0, 0, "CTF.Asm.MutexDefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, 0, ... 84, ) }, 0, ... 84, ) == STATUS_OBJECT_NAME_EXISTS
 01042   896   NtCreateMutant  (0x1f0001, {24, 48, 0x80, 0, 0,  (0x1f0001, {24, 48, 0x80, 0, 0, "CTF.Layouts.MutexDefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, 0, ... 88, ) }, 0, ... 88, ) == STATUS_OBJECT_NAME_EXISTS
 01043   896   NtCreateMutant  (0x1f0001, {24, 48, 0x80, 0, 0,  (0x1f0001, {24, 48, 0x80, 0, 0, "CTF.TMD.MutexDefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, 0, ... 92, ) }, 0, ... 92, ) == STATUS_OBJECT_NAME_EXISTS
 01044   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 01045   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 96, ) == 0x0
 01046   896   NtQueryInformationToken  (96, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 01047   896   NtClose  (96, ... ) == 0x0
 01048   896   NtOpenKey  (0x2000000, {24, 0, 0x640, 0, 0,  (0x2000000, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... 96, ) }, ... 96, ) == 0x0
 01049   896   NtSetInformationObject  (96, Handle, {Inherit=0,ProtectFromClose=1,}, 1179904, ... ) == 0x0
 01050   896   NtOpenKey  (0x20019, {24, 96, 0x40, 0, 0,  (0x20019, {24, 96, 0x40, 0, 0, "Keyboard Layout\Toggle"}, ... 100, ) }, ... 100, ) == 0x0
 01051   896   NtQueryValueKey  (100,  (100, "Language Hotkey", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01052   896   NtQueryValueKey  (100,  (100, "Hotkey", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01053   896   NtQueryValueKey  (100,  (100, "Layout Hotkey", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01054   896   NtClose  (100, ... ) == 0x0
 01055   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\KERNEL32.dll"}, 1238496, ... ) }, 1238496, ... ) == 0x0
 01056   896   NtQueryDefaultUILanguage  (1241056, ...
 01057   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 01058   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... -2147481368, ) == 0x0
 01059   896   NtQueryInformationToken  (-2147481368, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 01060   896   NtClose  (-2147481368, ... ) == 0x0
 01061   896   NtOpenKey  (0x2000000, {24, 0, 0x640, 0, 0,  (0x2000000, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... -2147481368, ) }, ... -2147481368, ) == 0x0
 01062   896   NtOpenKey  (0x80000000, {24, -2147481368, 0x240, 0, 0,  (0x80000000, {24, -2147481368, 0x240, 0, 0, "Software\Policies\Microsoft\Control Panel\Desktop"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01063   896   NtOpenKey  (0x80000000, {24, -2147481368, 0x640, 0, 0,  (0x80000000, {24, -2147481368, 0x640, 0, 0, "Control Panel\Desktop"}, ... -2147481452, ) }, ... -2147481452, ) == 0x0
 01064   896   NtQueryValueKey  (-2147481452,  (-2147481452, "MultiUILanguageId", Partial, 256, ... ) , Partial, 256, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01065   896   NtClose  (-2147481452, ... ) == 0x0
 01066   896   NtClose  (-2147481368, ... ) == 0x0
 01056   896   NtQueryDefaultUILanguage  ... ) == 0x0
 01067   896   NtOpenKey  (0x20019, {24, 32, 0x40, 0, 0,  (0x20019, {24, 32, 0x40, 0, 0, "SOFTWARE\Microsoft\CTF\"}, ... 100, ) }, ... 100, ) == 0x0
 01068   896   NtQueryValueKey  (100,  (100, "EnableAnchorContext", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01069   896   NtClose  (100, ... ) == 0x0
 01070   896   NtCreateMutant  (0x1f0001, {24, 48, 0x80, 0, 0,  (0x1f0001, {24, 48, 0x80, 0, 0, "CTF.TimListCache.FMPDefaultS-1-5-21-1292428093-1383384898-725345543-1003MUTEX.DefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, 0, ... 100, ) }, 0, ... 100, ) == STATUS_OBJECT_NAME_EXISTS
 01071   896   NtOpenSection  (0xf001f, {24, 48, 0x0, 0, 0,  (0xf001f, {24, 48, 0x0, 0, 0, "CTF.TimListCache.FMPDefaultS-1-5-21-1292428093-1383384898-725345543-1003SFM.DefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, ... 104, ) }, ... 104, ) == 0x0
 01072   896   NtMapViewOfSection  (104, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 4, ... (0x920000), {0, 0}, 262144, ) == 0x0
 01073   896   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 01074   896   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 01075   896   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 01076   896   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 01077   896   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 01078   896   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 01079   896   NtUserSetWindowsHookEx  (1953628160, 1242500, 896, 2, 1953694283, 2, ... ) == 0x2007009d
 01080   896   NtUserSetWindowsHookEx  (1953628160, 1242500, 896, 7, 1953693577, 2, ... ) == 0x250297
 01081   896   NtUserMessageCall  (0x90130, WM_NCCREATE, 0x0, 0x12f934, 0, 670, 0, ... ) == 0x1
 01082   896   NtUserMessageCall  (0x90130, WM_NCCALCSIZE, 0x0, 0x12f95c, 0, 670, 0, ... ) == 0x0
 01083   896   NtUserSetProp  (590128, 43288, -1, ... ) == 0x1
 00897   896   NtUserCreateWindowEx  ... ) == 0x90130
 01084   896   NtUserRegisterWindowMessage  ( ("ObjectLink", ... ) , ... ) == 0xc002
 01085   896   NtAddAtom  ( ("O\0l\0e\0D\0r\0o\0p\0T\0a\0r\0g\0e\0t\0I\0n\0t\0e\0r\0f\0a\0c\0e\0", 44, 1244972, ... ) , 44, 1244972, ... ) == 0x0
 01086   896   NtAddAtom  ( ("O\0l\0e\0D\0r\0o\0p\0T\0a\0r\0g\0e\0t\0M\0a\0r\0s\0h\0a\0l\0H\0w\0n\0d\0", 48, 1244972, ... ) , 48, 1244972, ... ) == 0x0
 01087   896   NtUserRegisterWindowMessage  ( ("OM_POST_WM_COMMAND", ... ) , ... ) == 0xc093
 01088   896   NtUserRegisterWindowMessage  ( ("OLE_MESSAHE", ... ) , ... ) == 0xc094
 01089   896   NtAllocateVirtualMemory  (-1, 1421312, 0, 4096, 4096, 4, ... 1421312, 4096, ) == 0x0
 01090   896   NtCreateFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\C:\DOCUME~1\MARTIM~1\LOCALS~1\Temp\"}, 0x0, 128, 3, 2, 16417, 0, 0, ... ) }, 0x0, 128, 3, 2, 16417, 0, 0, ... ) == STATUS_OBJECT_NAME_COLLISION
 01091   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\DOCUME~1\MARTIM~1\LOCALS~1\Temp"}, 1244624, ... ) }, 1244624, ... ) == 0x0
 01092   896   NtRequestWaitReplyPort  (24, {20, 48, new_msg, 0, 0, 0, 0, 0}  (24, {20, 48, new_msg, 0, 0, 0, 0, 0} "\0\0\0\0\2\0\1\0\0\0\0\0X\2\0\0\2\0\0\0" ... {20, 48, reply, 0, 1252, 896, 81844, 0} "\0\0\0\0\2\0\1\0\3\0\0\0X\2\0\0\3\0\0\0" )  ... {20, 48, reply, 0, 1252, 896, 81844, 0}  (24, {20, 48, new_msg, 0, 0, 0, 0, 0} "\0\0\0\0\2\0\1\0\0\0\0\0X\2\0\0\2\0\0\0" ... {20, 48, reply, 0, 1252, 896, 81844, 0} "\0\0\0\0\2\0\1\0\3\0\0\0X\2\0\0\3\0\0\0" )  ) == 0x0
 01093   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 1244632,  (0x80100080, {24, 0, 0x40, 0, 1244632, "\??\C:\DOCUME~1\MARTIM~1\LOCALS~1\Temp\nsy3.tmp"}, 0x0, 128, 0, 2, 96, 0, 0, ... }, 0x0, 128, 0, 2, 96, 0, 0, ...
 01094   896   NtQueryDirectoryFile  (-2147481368, 0, 0, 0, -518787072, 4096, Names, 1,  (-2147481368, 0, 0, 0, -518787072, 4096, Names, 1, "DOCUME~1", 1, ... {status=0x0, info=56}, ) , 1, ... {status=0x0, info=56}, ) == 0x0
 01095   896   NtClose  (-2147481368, ... ) == 0x0
 01096   896   NtQueryDirectoryFile  (-2147481368, 0, 0, 0, -518787072, 4096, Names, 1,  (-2147481368, 0, 0, 0, -518787072, 4096, Names, 1, "MARTIM~1", 1, ... {status=0x0, info=40}, ) , 1, ... {status=0x0, info=40}, ) == 0x0
 01097   896   NtClose  (-2147481368, ... ) == 0x0
 01098   896   NtQueryDirectoryFile  (-2147481368, 0, 0, 0, -518787072, 4096, Names, 1,  (-2147481368, 0, 0, 0, -518787072, 4096, Names, 1, "LOCALS~1", 1, ... {status=0x0, info=40}, ) , 1, ... {status=0x0, info=40}, ) == 0x0
 01099   896   NtClose  (-2147481368, ... ) == 0x0
 01093   896   NtCreateFile  ... 108, {status=0x0, info=2}, ) == 0x0
 01100   896   NtClose  (108, ... ) == 0x0
 01101   896   NtOpenFile  (0x10080, {24, 0, 0x40, 0, 0,  (0x10080, {24, 0, 0x40, 0, 0, "\??\C:\DOCUME~1\MARTIM~1\LOCALS~1\Temp\nsy3.tmp"}, 7, 2113600, ... 108, {status=0x0, info=1}, ) }, 7, 2113600, ... 108, {status=0x0, info=1}, ) == 0x0
 01102   896   NtQueryInformationFile  (108, 1245012, 8, AttributeFlag, ... {status=0x0, info=8}, ) == 0x0
 01103   896   NtSetInformationFile  (108, 1245063, 1, Disposition, ... {status=0x0, info=0}, ) == 0x0
 01104   896   NtClose  (108, ... ) == 0x0
 01105   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\u:\work\packed.exe"}, 1244856, ... ) }, 1244856, ... ) == 0x0
 01106   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 1244840,  (0x80100080, {24, 0, 0x40, 0, 1244840, "\??\u:\work\packed.exe"}, 0x0, 32, 1, 1, 96, 0, 0, ... 108, {status=0x0, info=1}, ) }, 0x0, 32, 1, 1, 96, 0, 0, ... 108, {status=0x0, info=1}, ) == 0x0
 01107   896   NtQueryInformationFile  (108, 1244908, 24, Standard, ... {status=0x0, info=24}, ) == 0x0
 01108   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "MZ\220\0\3\0\0\0\4\0\0\0\377\377\0\0\270\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\350\0\0\0\16\37\272\16\0\264\11\315!\270\1L\315!This program cannot be run in DOS mode.\15\15\12$\0\0\0\0\0\0\0\10\361\266\250L\220\330\373L\220\330\373L\220\330\373\317\230\207\373M\220\330\373\226\263\304\373M\220\330\373_\230\205\373N\220\330\373\317\230\205\373F\220\330\373\266\263\301\373I\220\330\373L\220\331\373\357\220\330\373I\234\207\373G\220\330\373\240\233\206\373M\220\330\373I\234\202\373M\220\330\373RichL\220\330\373\0\0\0\0\0\0\0\0PE\0\0L\1\5\02\2126D\0\0\0\0\0\0\0\0\340\0\17\1\13\1\7\12\0~\0\0\0\274\2\0\0\4\0\0b9\0\0\0\20\0\0\0\220\0\0\0\0@\0\0\20\0\0\0\2\0\0\4\0\0\0\0\0\0\0\4\0\0\0\0\0\0\0\0\0\4\0\0\4\0\0\215\17\332\0\2\0\0\4\0\0\20\0\0\20\0\0\0\0\20\0\0\20\0\0\0\0\0\0\20\0\0\0\0\0\0\0\0\0\0\0p\265\0\0\264\0\0\0\0\320\3\0\00\0\0\0\0\0\0\0\0\0\0x\362\331\0`\25\0\0\0\0\0\0\0\0\0\0\260\222\0\0\34\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\220\0\0\254\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0.text\0\0\0\254|\0\0\0\20\0\0\0~\0\0", ) , ) == 0x0
 01109   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0 \0\0`.rdata\0\0\2304\0\0\0\220\0\0\06\0\0\0\202\0\0\0\0\0\0\0\0\0\0\0\0\0\0@\0\0@.data\0\0\04r\2\0\0\320\0\0\0\2\0\0\0\270\0\0\0\0\0\0\0\0\0\0\0\0\0\0@\0\0\300.ndata\0\0\0\200\0\0\0P\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\200\0\0\300.rsrc\0\0\0\00\0\0\0\320\3\0\0(\0\0\0\272\0\0\0\0\0\0\0\0\0\0\0\0\0\0@\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) , ) == 0x0
 01110   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "U\213\354\203\354\\203}\14\17t+\203}\14F\213E\24u\15\203H\30\20\213\15\200AC\0\211H\4P\377u\20\377u\14\377u\10\377\25p\222@\0\351B\1\0\0SV\2135\210AC\0W\215E\244P\377u\10\377\25\204\222@\0\203e\364\0\211E\14\215E\344P\377u\10\377\25t\222@\0\213}\360\203e\360\0\213\35@\220@\0\351\200\0\0\0\17\266FR\17\266VV\17\257U\350\213\317+M\350\17\257\301\3\302\231\367\3773\322\211M\20\212\360\17\266FQ\17\257\301\17\266NU\17\257M\350\3\301\213\312\231\367\377\17\266VT\17\257U\350\212\310\17\266FP\17\257E\20\3\302\231\367\377\301\341\10\17\266\300\13\310\215E\364P\211M\370\377\25D\220@\0\203E\360\4P\211E\24\215E\344P\377u\14\377\25x\222@\0\377u\24\377\323\203E\350\49}\350\17\214w\377\377\377\203~X\377te\377v4\377\25H\220@\0\205\300\211E\24tU\213}\14j\1W\307E\344\20\0\0\0\307E\350\10\0\0\0\377\25L\220@\0\377vXW\377\25P\220@\0\377u\24\2135X\220@\0W\377\326h \10\0\0\211E\14\215E\344Pj\377h\2009C\0W\377\25|\222@\0\377u\14W\377\326\377u\24\377\323\215E\244P\377u\10\377\25\200\222@\0_^3\300[\311\302\20\0\213L$\4\241\250AC\0\213\321i\322\30\4\0\0\213T\2\10\366\302\2tUVW\215q\13\377;5\254AC\0sD\213\316i\311\30\4\0\0\215D\1\10S\213\10\366\301\2t\3G\353\36\366\301\4t\11\213\317O\205\311t \353\20\366\301\20u\13\213\3313\332\203\343\13\331\211\30F\5\30\4\0\0;5\254AC\0r\312[_^\302\4\0U\213\354QQ", ) , ) == 0x0
 01111   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0W\213=\250AC\0\213D>\103\311\250\2\211M\374\211M\370t\159M\14u\10\203\340\276\211D>\10B;\25\254AC\0sD\213\302i\300\30\4\0\0\215\8\10\213\13\366\301\2\215B\1t\12j\0R\350\244\377\377\377\213\13\366\301\4u(\366\301@t\3\377E\374\366\301\1t\5\377E\374\353\3\377E\370;\5\254AC\0\213\320r\2743\300_^[\311\302\10\0\203}\374\0t\363\203}\370\0\215L>\10t\5\203\11@\353\344\213\21\201\342\177\377\377\377\203\312\1\211\21\353\325j\1j\0\350H\377\377\377\303\213L$\4\241\250AC\0V3\366\203\371 s695\254AC\0v.\215P\10W\213\2\250\6u\243\377G\323\347\205z\374t\5\203\310\1\353\3\203\340\376\211\2F\201\302\30\4\0\0;5\254AC\0r\327_^\302\4\0U\213\354\203\354\14\241\210AC\0\203e\374\0SV\5\224\0\0\0W\213=\254AC\0\211E\370\213E\3703\3339\30tK;\337sE\2135\250AC\0\203\306\10\213\26\366\302\6u(\213E\10\205\300t\6\203<\230\0t\33\213M\3743\300@\323\340\213N\374\203\342\1#\310\213\301\213M\374\323\342;\302u\13C\201\306\30\4\0\0;\337r\306;\337t\15\377E\374\203E\370\4\203}\374 r\237\213E\374_^[\311\302\4\0\203=\244\320@\0\0Vu-3\311j\10\213\301^\213\320\200\342\1\366\332\33\322\201\342 \203\270\355\321\3503\302Nu\352\211\4\215\240\320@\0A\201\371\0\1\0\0|\325\213t$\20\205\366\213D$\10\367\320v\36\213L$\143\322\212\213\320\201\342\377\0\0\0\301\350\103\4\225\240\320@\0ANu\346\367\320^\302\14\0U\213\354SVW\213}\10\205\377\17\214", ) , ) == 0x0
 01112   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\213\15\260AC\0\213\307\301\340\5\3\301\213\10\203\371\1\17\204\241\0\0\0\205\35\344AC\0t\12\203\371\24t\5\203\371>u3P\350\357\1\0\0\213\360\201\376\377\377\377\177\17\204\204\0\0\0\205\35\344AC\0u\27\205\366}\25F\301\346\12\270\0PC\0+\306P\350>K\0\0\213\360\205\366t\21\205\35\344AC\0u\11N\213\307\213\376+\360\353\2FG\203}\14\0t7\241d9C\0\15l9C\03\311\205\300\17\224\301j\0\3\310Qh0u\0\0\3775l9C\0\377\250\221@\0Ph\2\4\0\0\377u\14\377\25l\222@\0\205\377\17\215G\377\377\3773\300_^[]\302\10\0\270\377\377\377\177\353\362\213D$\4\213\15\210AC\0j\0\377t\201l\350\11\377\377\377\302\4\0h\250\330@\0\377t$\10\350$;\0\0\302\4\0\241\344\360@\0\3774\210j\0\350\266Q\0\0P\350\222J\0\0\303\205\366\213\306}\2\367\330\213\25\344\360@\0\213\310\301\370\4W\203\341\17\3774\212\301\340\12\5\250\324@\0P\350\207Q\0\0\205\366\213\370}\6W\350\362J\0\0\213\307_\303U\213\354\201\354\14\1\0\0SVW\215E\374Pj\103\333S\377u\14\377u\10\377\25\10\220@\0;\303uM\2135\4\220@\0\277\5\1\0\0\353\319]\20uBS\215\205\364\376\377\377P\377u\374\350\271\377\377\377\205\300u\22W\215\205\364\376\377\377PS\377u\374\377\326\205\300t\325\377u\374\377\25 \220@\0\377u\14\377u\10\377\25\0\220@\0_^[\311\302\14\0\377u\374\377\25 \220@\03\300@\353\353\205\300u\12\241\4BC\0\5\1\0\0\200\303U\213\354\241\344\360@\0\213@\4\205\300VWt\4\213\370\353\14\213=\4BC\0\201\307\1", ) , ) == 0x0
 01113   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "j"^\350\0\377\377\377PW\377\25\10\220@\0\367\330\33\300\367\320#E\10_^]\302\4\0U\213\354\201\354\244\1\0\0\241\200AC\0\203e\364\0\203e\374\0SV\213u\10Wj\10Y\215}\304\363\245\213U\314\213u\310\215M\310\211\15\344\360@\0\213M\304\211E\360\213\332\301\343\12\213\306\301\340\12\203\301\376\201\303\0PC\0\203\371B\215\270\0PC\0\17\207q\33\0\0\377$\215\3751@\0Vh\334\230@\0\350\345J\0\0\213E\310YY\351`\33\0\03\366\350k\376\377\377Ph\314\230@\0\350\311J\0\0YYV\377u\310\350`9\0\0\351\256\27\0\0\377\5T9C\0\203}\360\0\17\204\236\27\0\0j\0\377\25\214\221@\0\351\221\27\0\0\205\366}\25\271\0PC\0+\310\201\351\0\4\0\0Q\350\255H\0\0\353\2\213\306\215p\377Vh\300\230@\0\350sJ\0\0YYj\0V\350\337\374\377\377\351\351\32\0\0\205\322t)\366\302\10t\17\241\10\320@\0\243<\320@\0\351\306\32\0\0\241<\320@\0\243\10\320@\0\211\25<\320@\0\351\261\32\0\03\366\350\307\375\377\377Ph\260\230@\0\350%J\0\0YYV\377u\310\350\2748\0\0\351\217\32\0\03\311\350\217\375\377\377\213\360Vh\244\230@\0\350\1J\0\0\203\376\1YY\177\33\366FV\377\25\260\220@\0\351e\32\0\0h\224\230@\0\350\341I\0\0Y\377u\360\377\250\222@\0\351L\32\0\03\311A\350K\375\377\377\213M\310\211\4\215\0BC\0\3515\32\0\0\213M\320\213U\3243\300\215\14\215\0BC\09\1\17\224\300!\21\213D\205\310\351!\32\0\0\3774\225\0BC\0W\351\237\31\0\0\241`9C\0\205\300\213=4\222@\0t\7RP\377", ) ^\350\0\377\377\377PW\377\25\10\220@\0\367\330\33\300\367\320#E\10_^]\302\4\0U\213\354\201\354\244\1\0\0\241\200AC\0\203e\364\0\203e\374\0SV\213u\10Wj\10Y\215}\304\363\245\213U\314\213u\310\215M\310\211\15\344\360@\0\213M\304\211E\360\213\332\301\343\12\213\306\301\340\12\203\301\376\201\303\0PC\0\203\371B\215\270\0PC\0\17\207q\33\0\0\377$\215\3751@\0Vh\334\230@\0\350\345J\0\0\213E\310YY\351`\33\0\03\366\350k\376\377\377Ph\314\230@\0\350\311J\0\0YYV\377u\310\350`9\0\0\351\256\27\0\0\377\5T9C\0\203}\360\0\17\204\236\27\0\0j\0\377\25\214\221@\0\351\221\27\0\0\205\366}\25\271\0PC\0+\310\201\351\0\4\0\0Q\350\255H\0\0\353\2\213\306\215p\377Vh\300\230@\0\350sJ\0\0YYj\0V\350\337\374\377\377\351\351\32\0\0\205\322t)\366\302\10t\17\241\10\320@\0\243<\320@\0\351\306\32\0\0\241<\320@\0\243\10\320@\0\211\25<\320@\0\351\261\32\0\03\366\350\307\375\377\377Ph\260\230@\0\350%J\0\0YYV\377u\310\350\2748\0\0\351\217\32\0\03\311\350\217\375\377\377\213\360Vh\244\230@\0\350\1J\0\0\203\376\1YY\177\33\366FV\377\25\260\220@\0\351e\32\0\0h\224\230@\0\350\341I\0\0Y\377u\360\377\250\222@\0\351L\32\0\03\311A\350K\375\377\377\213M\310\211\4\215\0BC\0\3515\32\0\0\213M\320\213U\3243\300\215\14\215\0BC\09\1\17\224\300!\21\213D\205\310\351!\32\0\0\3774\225\0BC\0W\351\237\31\0\0\241`9C\0\205\300\213=4\222@\0t\7RP\377", ) == 0x0
 01114   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\204\346\31\0\0VP\377\327\351\335\31\0\0j\360^\350\362\374\377\377\377u\314\213\360Vht\230@\0\350KI\0\0\203\304\14\377u\314V\377\25\254\220@\0\205\300\17\205\260\31\0\0hX\230@\0\307E\374\1\0\0\0\350%I\0\0\351s\30\0\0j\360^\350\257\374\377\377\377u\314\213\360Vh<\230@\0\350\10I\0\0\203\304\14\200>\0t\21V\350YJ\0\0\205\300u\7\307E\374\1\0\0\0\203}\314\0t\36j\346\350R\374\377\377Vh\0\250C\0\350\210G\0\0V\377\25\250\220@\0\351E\31\0\0j\365\351\350\16\0\03\366\350T\374\377\377j\20^\213\370\350J\374\377\377W\213\360\350\307H\0\0\205\300t\26\377u\314Vh\20\230@\0\350\231H\0\0\203\304\14\351]\10\0\0\377u\320Vh\334\227@\0\350\203H\0\0\203\304\14\213E\320\351\375\30\0\0j\320^\350\7\374\377\377j\337^\211E\10\350\374\373\377\377\377u\10\273\250\330@\0S\213\370\350\6G\0\0W\350\6G\0\0\377u\10\213\360\350\374F\0\0\3\360\201\376\375\3\0\0}\22\2135\244\220@\0h\330\227@\0S\377\326WS\377\326Sh\314\227@\0\350\36H\0\0YYW\377u\10\377\25\240\220@\0\205\300t\7j\343\351+\16\0\0\203}\320\0t'\377u\10\350\25H\0\0\205\300t\33W\377u\10\350\241I\0\0j\344\350U\373\377\377Sh\264\227@\0\351'\27\0\0S\307E\374\1\0\0\0h\240\227@\0\351\25\27\0\03\366\350X\373\377\377\213\360\215E\10PS\277\0\4\0\0WV\377\25\234\220@\0\205\300t$\213E\10;\306v'\2008\0t"V\350\263G\0\0\205\300t\16\203\300,P\377u\10\3508F\0\0\353\12\307E\374\1\0\0\0\306", ) V\350\263G\0\0\205\300t\16\203\300,P\377u\10\3508F\0\0\353\12\307E\374\1\0\0\0\306", ) == 0x0
 01115   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "WSS\377\25\230\220@\0\351\335\27\0\0\203\316\377\350\362\372\377\377\215M\10QWh\0\4\0\0j\0Pj\0\377\25\224\220@\0\205\300\17\205\270\27\0\0\307E\374\1\0\0\0\306\7\0\351\251\27\0\0j\357^\350\276\372\377\377PW\350"D\0\0\205\300\17\205\222\27\0\0\307E\374\1\0\0\0\351\206\27\0\0\203\346\7\366\5\345AC\0\4\211u\10u\30j1^\350\214\372\377\377\213\330S\211]\360\350\241E\0\0\351\235\0\0\0j6^\350t\372\377\377\213\330S\211]\360\350\211E\0\0\3775\364\314B\0\213\360\350|E\0\0\215L0\1\270\5\1\0\0;\310r\17\3775\364\314B\0\350dE\0\0\215D0\1P\350aB\0\0\213\370\205\377\211}\364\17\204\213\23\0\0\3775\364\314B\0W\350;E\0\0SW\377\25\244\220@\0W\3503E\0\0\215t8\377\353\17\200>\t\16VW\377\258\222@\0\213\360;\367w\355W\306\6\0\350\271G\0\0\205\300\17\204G\23\0\0WS\306\6\\350\371D\0\0\213E\310\301\370\3S\203\340\2P\377u\10hd\227@\0\3500F\0\0\203\304\20S\350\20B\0\0\205\300\276\250\324@\0St\10V\350\310D\0\0\353\30h\0\250C\0V\350\273D\0\0P\350^F\0\0P\377\25\244\220@\0V\350\264D\0\0\273\250\330@\0\277\250\334@\0\203}\10\3|1V\350\375E\0\03\311\205\300t\20\215M\324Q\203\300\24P\377\25\220\220@\0\213\310\213E\10\203\300\375\15\0\0\0\200#\301\367\330\33\300@\211E\10\203}\10\0u\22V\377\25\214\220@\0\203\340\376PV\377\25\254\220@\03\300\203}\10\1\17\225\300@Ph\0\0\0@V\350[B\0\0\203\370\377\211E\370\17\205\267\0\0", ) D\0\0\205\300\17\205\222\27\0\0\307E\374\1\0\0\0\351\206\27\0\0\203\346\7\366\5\345AC\0\4\211u\10u\30j1^\350\214\372\377\377\213\330S\211]\360\350\241E\0\0\351\235\0\0\0j6^\350t\372\377\377\213\330S\211]\360\350\211E\0\0\3775\364\314B\0\213\360\350|E\0\0\215L0\1\270\5\1\0\0;\310r\17\3775\364\314B\0\350dE\0\0\215D0\1P\350aB\0\0\213\370\205\377\211}\364\17\204\213\23\0\0\3775\364\314B\0W\350;E\0\0SW\377\25\244\220@\0W\3503E\0\0\215t8\377\353\17\200>\t\16VW\377\258\222@\0\213\360;\367w\355W\306\6\0\350\271G\0\0\205\300\17\204G\23\0\0WS\306\6\\350\371D\0\0\213E\310\301\370\3S\203\340\2P\377u\10hd\227@\0\3500F\0\0\203\304\20S\350\20B\0\0\205\300\276\250\324@\0St\10V\350\310D\0\0\353\30h\0\250C\0V\350\273D\0\0P\350^F\0\0P\377\25\244\220@\0V\350\264D\0\0\273\250\330@\0\277\250\334@\0\203}\10\3|1V\350\375E\0\03\311\205\300t\20\215M\324Q\203\300\24P\377\25\220\220@\0\213\310\213E\10\203\300\375\15\0\0\0\200#\301\367\330\33\300@\211E\10\203}\10\0u\22V\377\25\214\220@\0\203\340\376PV\377\25\254\220@\03\300\203}\10\1\17\225\300@Ph\0\0\0@V\350[B\0\0\203\370\377\211E\370\17\205\267\0\0", ) == 0x0
 01116   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\350kE\0\0YYh\0PC\0W\350\17D\0\0Vh\0PC\0\350\4D\0\0\377u\334S\350\220J\0\0Wh\0PC\0\350\360C\0\0\213E\310\301\370\3PS\350\256@\0\0\203\350\4u\20h0\227@\0\350#E\0\0Y\3510\377\377\377Ht?h\30\227@\0\350\20E\0\0YVj\372\351D\372\377\377\377u\360j\342\350\2373\0\0\203}\10\2u\6\377\5\10BC\0\377u\10Vh\360\226@\0\350\343D\0\0\203\304\14\351F\25\0\0h\324\226@\0\350\321D\0\0\377\5\10BC\0Y\351H\25\0\0\377u\360j\352\350]3\0\0\377\5<\320@\03\333SS\377u\370\377u\320\350G\27\0\0\377\15<\320@\0\213\370VWh\274\226@\0\350\222D\0\0\203\304\14\203}\324\377u\6\203}\330\377t\17\215E\324PSP\377u\370\377\25\210\220@\0\377u\370\377\25\204\220@\0;\373\17\215\316\24\0\0\203\377\376u\24j\351V\350\234I\0\0\377u\360V\377\25\244\220@\0\353\10j\356V\350\210I\0\0Vh\270\226@\0\3507D\0\0YYh\20\0 \0V\350\246?\0\0\351\32\21\0\03\366\350\265\367\377\377\213\360Vh\250\226@\0\353Vj1^\350\243\367\377\377\213\360V\377u\310h\224\226@\0\350\374C\0\0\203\304\14\377u\310V\350l?\0\0\205\300\17\204\320\374\377\377;E\320\17\204R\1\0\0;E\330\17\205P\24\0\0\213E\334\351S\24\0\0j\360^\350]\367\377\377\213\360Vh\210\226@\0\350\271C\0\0YY\377u\314V\350#K\0\0\351#\24\0\03\366F\3508\367\377\377P\350RB\0\0P\351\0\372\377\377j\2Y\350\16\367\377\377j\3Y\211E\10\350\3\367\377\3773\366F\213\330", ) , ) == 0x0
 01117   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\7\0t\12\203}\10\0\17\204\335\23\0\0V\350\24B\0\0\205\333}\10\3\330\17\210\313\23\0\0;\330~\2\213\330\3\363VW\350\363A\0\0\213u\10\205\366\17\204\261\23\0\0}\21W\350\346A\0\0\3\360y\7\203e\10\0\213u\10\201\376\0\4\0\0\17\215\222\23\0\0\306\4>\0\351\211\23\0\0j ^\350\236\366\377\377j1^\213\370\350\224\366\377\377PW\377\25\200\220@\0\205\300ud\351l\372\377\3773\366F\350{\366\377\377\203}\320\0h\0\4\0\0WPt\21\377\25|\220@\0\205\300u\15\211u\374\210\7\353\6\377\25x\220@\0\306\207\377\3\0\0\0\351.\23\0\03\311\350.\366\377\3773\311A\213\360\350$\366\377\377\203}\334\0u\14;\360|\14\17\216\23\372\377\377\353\22;\360s\10\213E\324\351\12\23\0\0\17\206\377\371\377\377\213E\330\351\374\22\0\03\333C\213\313\350\356\365\377\377j\2Y\213\360\350\344\365\377\377\213\310\213E\324\203\370\14wh\377$\205\113@\0\3\361\353]+\361\353Y\17\257\316\213\361\353R\205\311tA\213\306\231\367\371\213\360\353E\13\361\353A#\361\353=3\361\35393\300\205\366\17\224\300\353\347\205\366u\16\353\103\366\353&\205\366t\370\205\311t\364\213\363\353\32\205\311t\11\213\306\231\367\371\213\362\353\153\366\211]\374\353\6\323\346\353\2\323\376V\351V\370\377\3773\366F\350z\365\377\377j\2Y\213\360\350Z\365\377\377PVW\377\25<\222@\0\3512\13\0\0\213E\320\205\300\2135\240\324@\0tPH\205\366t\12\205\300\2136u\365\205\366u\24\377u\320hl\226@\0\350\242A\0\0YY\351d\10\0\0\215~\4W\276\250\324@\0V\350=@\0\0\241\240\324@\0\203\300\4PW\350.@\0\0", ) , ) == 0x0
 01118   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\20\0\0\205\322t+\205\366u\20hX\226@\0\350\A\0\0Y\351>\372\377\377\215F\4PW\350\375?\0\0\213\6\243\240\324@\0V\351\263\21\0\0h\4\4\0\0\350\363<\0\0\377u\310\213\360\215F\4P\350mF\0\0\241\240\324@\0\211\6\2115\240\324@\0\351\217\21\0\0j3^\350\244\364\377\377jD^\211E\364\350\231\364\377\3773\366F\366E\334\1\211E\10u\13\377u\364\350\26?\0\0\211E\364\366E\334\2u\13\377u\10\350\5?\0\0\211E\10\203}\304!uH\213\316\350N\364\377\377j\2Y\213\360\350D\364\377\377\213M\334\301\371\2t\37\215U\370RQj\0\377u\10\377u\364PV\377\25@\222@\0\367\330\33\300@\211E\374\353@\377u\10\377u\364PV\377\25l\222@\0\353-\350\36\364\377\377j\22^\213\330\350\24\364\377\377\212\10\366\331\33\311#\310\212\3\366\330Q\33\300#\303P\377u\10\377u\364\377\25D\222@\0\211E\370\203}\310\0\17\214\314\20\0\0\377u\370\351\265\366\377\3773\311\350\304\363\377\377P\377\25H\222@\0\205\300\17\204\264\367\377\377\213E\314\351\261\20\0\0j\2Y\350\245\363\377\3773\311PA\350\234\363\377\377P\377\25L\222@\0\351t\374\377\377\241\310AC\0\3\302Pj\3533\311\350\177\363\377\377P\377\25P\222@\0\351l\20\0\0R\377u\360\377\25L\222@\0\213\370\215E\254PW\377\25t\222@\0\213E\270\17\257E\320j\20P\213E\264\17\257E\320P3\333S3\366\350V\363\377\377PS\377\25T\222@\0PShr\1\0\0W\377\25l\222@\0;\303\17\204\33\20\0\0P\377\25@\220@\0\351\17\20\0\0jHjZ\377u\360\377\25X\222@\0P\377\25<\220@\0Pj\2Y", ) , ) == 0x0
 01119   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "j\3\367\330Y\243\250\360@\0\350\343\362\377\377\377u\314\243\270\360@\0\212E\330\212\310\200\341\1\210\15\274\360@\0\212\310\200\341\2$\4h\304\360@\0\210\15\275\360@\0\242\276\360@\0\306\5\277\360@\0\1\350oD\0\0h\250\360@\0\377\25H\220@\0\351~\373\377\3773\311\350\223\362\377\3773\311A\213\360\350\211\362\377\377\203}\320\0\213\370t\13hL\226@\0\350\366>\0\0Y\203}\324\0WVu\13\377\254\222@\0\351\\17\0\0\377\25\\222@\0\351Q\17\0\03\366\350g\362\377\377j1^\213\370\350]\362\377\377j"^\213\330\350S\362\377\377SWhD\226@\0h\250\330@\0\213\360\377\25<\222@\0\203\304\20j\354\350\16\362\377\377\212\6\377u\324\366\330h\0\250C\0\33\300#\306P\212\7\366\330S\33\300#\307P\377u\360\377\25p\221@\0\203\370!}\26PVSWh\10\226@\0\350g>\0\0\203\304\24\351G\367\377\377VSWh\324\225@\0\350R>\0\0\203\304\20\351\304\16\0\03\366\350\332\361\377\377\213\360Vh\300\225@\0\3506>\0\0YYVj\353\350\316,\0\0h\0\250C\0V\350%9\0\0\205\300\211E\10V\17\204\214\0\0\0h\250\225@\0\350\13>\0\0\203}\320\0YYtrjd\377u\10\377\25t\220@\0\276\2\1\0\0;\306u3\213=`\222@\0\353\12\215E\240P\377\25d\222@\0j\1j\17j\17\215E\240j\0P\377\327\205\300u\344jd\377u\10\377\25t\220@\0;\306t\337\215E\350P\377u\10\377\25p\220@\0\203}\314\0|\13\377u\350S\350\257;\0\0\353\15\203}\350\0t\7\307E\374\1\0\0\0\377u\10\351\336\7\0\0\307E\374\1\0\0\0h\204\225@\0", ) ^\213\330\350S\362\377\377SWhD\226@\0h\250\330@\0\213\360\377\25<\222@\0\203\304\20j\354\350\16\362\377\377\212\6\377u\324\366\330h\0\250C\0\33\300#\306P\212\7\366\330S\33\300#\307P\377u\360\377\25p\221@\0\203\370!}\26PVSWh\10\226@\0\350g>\0\0\203\304\24\351G\367\377\377VSWh\324\225@\0\350R>\0\0\203\304\20\351\304\16\0\03\366\350\332\361\377\377\213\360Vh\300\225@\0\3506>\0\0YYVj\353\350\316,\0\0h\0\250C\0V\350%9\0\0\205\300\211E\10V\17\204\214\0\0\0h\250\225@\0\350\13>\0\0\203}\320\0YYtrjd\377u\10\377\25t\220@\0\276\2\1\0\0;\306u3\213=`\222@\0\353\12\215E\240P\377\25d\222@\0j\1j\17j\17\215E\240j\0P\377\327\205\300u\344jd\377u\10\377\25t\220@\0;\306t\337\215E\350P\377u\10\377\25p\220@\0\203}\314\0|\13\377u\350S\350\257;\0\0\353\15\203}\350\0t\7\307E\374\1\0\0\0\377u\10\351\336\7\0\0\307E\374\1\0\0\0h\204\225@\0", ) == 0x0
 01120   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377P\350\206=\0\0\213\360\205\366t\21\377v\24S\350j;\0\0\377v\30\351\276\363\377\377\306\7\0\306\3\0\3510\366\377\377j\356\215E\254^\211E\10\350\321\360\377\377\215M\300QP\211E\354\350`U\0\0\213\360\205\366\306\7\0\306\3\0\307E\374\1\0\0\0\17\204\220\15\0\0V\350\3168\0\0\205\300\211E\350\17\204\177\15\0\0PVj\0\377u\354\350&U\0\0\205\300t5\215E\354P\215E\10Ph\200\225@\0\377u\350\350\7U\0\0\205\300t\34\213E\10\377p\10W\350\337:\0\0\213E\10\377p\14S\350\323:\0\0\203e\374\0\377u\350\351,\15\0\03\377Gh\1\200\0\0\211}\374\377\25l\220@\0\203=0BC\0\0\17\214+\1\0\0j\360^\350)\360\377\377\213\367\211E\10\350\37\360\377\377\203}\330\0\211E\370t\20\377u\10\377\25h\220@\0\205\300\211E\364uU\2135d\220@\03\377WW\215E\354Ph\0\4\0\0\377\326\213\35`\220@\0PW\277\0\23\0\0W\377\323\377u\10j\366\350\342*\0\0\377u\354\377u\10h\\225@\0\3500<\0\0\203\304\14\377u\10\377\25\304\220@\0\205\300\211E\364t}3\377G\377u\370\377u\364\377\258\221@\0\213\3603\333;\363t99]\320\211]\374t\23\377u\320\350f\357\377\377\377\326\205\300t@\211}\374\353;h\0\320@\0h\240\324@\0h\0PC\0h\0\4\0\0\377u\360\377\326\203\304\24\353\35\377u\370j\367\350e*\0\0\377u\10\377u\370h0\225@\0\350\263;\0\0\203\304\149]\324uN\377u\364\377\25<\221@\0\353Cj\0j\0\215E\354Ph\0\4\0\0\377\326Pj\0W\377\323j\366\350\364\356\377\377\377u\354\377u\10h", ) , ) == 0x0
 01121   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\353\22j\347\350\330\356\377\377h\314\224@\0\350^;\0\0Yj\0\377\25l\220@\0\351\312\13\0\0j\360^\350\337\356\377\377j\337^\211E\370\350\324\356\377\377j\2^\213\370\350\312\356\377\377j\315^\211E\300\350\277\356\377\377jE^\211E\350\350\264\356\377\377W\211E\354\350\3756\0\0\205\300u\10j!^\350\237\356\377\377\213E\330\213\310\301\371\20Q\17\266\314Q\276\377\0\0\0#\306P\377u\350\377u\300W\377u\370h\210\224@\0\350\337:\0\0\203\304 \215E\10Ph\220\255@\0j\1j\0h\300\257@\0\377\25\244\222@\0\205\300\17\214\323\0\0\0\213E\10\213\10\215U\364Rh\360\263@\0P\377\21\213\330\205\333\17\214\253\0\0\0\213E\10\213\10WP\377QP\213\330\213E\10\213\10h\0\250C\0P\377Q$\213M\330\213\301\301\370\10#\306t\15\213M\10\213\21PQ\377R<\213M\330\213E\10\213\20\301\371\20QP\377R4\213M\350\2009\0t\20\213}\330\213E\10\213\20#\376WQP\377RD\213E\10\377u\300\213\10P\377Q,\213E\10\377u\354\213\10P\377Q\343\300;\330|,h\0\4\0\0\276\250\350@\0Vj\377\377u\370f\243\250\350@\0PP\377\25D\221@\0\213E\364\213\10j\1VP\377Q\30\213\330\213E\364\213\10P\377Q\10\213E\10\213\10P\377Q\10\205\333}\13\307E\374\1\0\0\0j\360\353\2j\364\350G\355\377\377\351L\12\0\03\366\350b\355\377\377j\21^\213\330\350X\355\377\377\213\360VShp\224@\0\350\2639\0\0\213E\360\203\304\14S\211E\240\307E\244\2\0\0\0\350T8\0\0V\306D\30\1\0\350I8\0\0j\370\277\250\334@\0W\306D0\1\0\350\306>\0\0VW\377", ) , ) == 0x0
 01122   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\211]\250\211u\254\211}\272f\211E\260\350\1(\0\0\215E\240P\377\25\200\221@\0\205\300\17\204\307\11\0\0j\0j\371\350\346'\0\0\351'\362\377\377\201\376\15\360\255\13t\24h\20\0 \0j\350j\0\350o>\0\0P\351\364\364\377\377\377\5\24BC\0\351\222\11\0\03\366hh\224@\0\273\250\330@\0S\211u\300\211u\350\211u\10\350\2567\0\0S\277\250\334@\0W\350\2427\0\09u\310t\10\350~\354\377\377\211E\300\203}\314\0t\13j\21^\350m\354\377\377\211E\350\203}\330\0t\13j"^\350\\354\377\377\211E\10j\315^\350Q\354\377\377\213\360VWSh\250\324@\0hD\224@\0\350\2468\0\0\203\304\24V\377u\10\377u\350\377u\300\377\25H\221@\0\351n\361\377\3773\366F\307E\10!N~\0\350\26\354\377\377j\22^\213\330\350\14\354\377\377j\335^\211E\354\350\1\354\377\377Ph\377\3\0\0W\215E\10P\377u\354S\377\25L\221@\0\213\7;E\10\351\7\361\377\377\203}\330\0uDj\2\350\243\354\377\377\213\370\205\377\17\204\34\361\377\377j3^\350\303\353\377\377\213\360VW\377\25\20\220@\0Vh\250\334@\0\377u\314\213\330h(\224@\0\350\158\0\0\203\304\20W\377\25 \220@\0\353"^\350\220\353\377\377\213\360V\377u\314h\24\224@\0\350\3517\0\0\213E\314\203\304\14\205\300u\12\241\4BC\0\5\1\0\0\200\213M\330\203\341\2QVP\350\226\353\377\377\213\330\205\333\17\2047\10\0\0\351\240\360\377\3773\333;\363t\5\211u\10\353\15\241\4BC\0\5\1\0\0\200\211E\10\213E\330\211E\370\213E\334j\2^\211E\354\350#\353\377\377j\21^\211E\364\350\30\353\377\377S\215M\350", ) ^\350\\354\377\377\211E\10j\315^\350Q\354\377\377\213\360VWSh\250\324@\0hD\224@\0\350\2468\0\0\203\304\24V\377u\10\377u\350\377u\300\377\25H\221@\0\351n\361\377\3773\366F\307E\10!N~\0\350\26\354\377\377j\22^\213\330\350\14\354\377\377j\335^\211E\354\350\1\354\377\377Ph\377\3\0\0W\215E\10P\377u\354S\377\25L\221@\0\213\7;E\10\351\7\361\377\377\203}\330\0uDj\2\350\243\354\377\377\213\370\205\377\17\204\34\361\377\377j3^\350\303\353\377\377\213\360VW\377\25\20\220@\0Vh\250\334@\0\377u\314\213\330h(\224@\0\350\158\0\0\203\304\20W\377\25 \220@\0\353"\211]\250\211u\254\211}\272f\211E\260\350\1(\0\0\215E\240P\377\25\200\221@\0\205\300\17\204\307\11\0\0j\0j\371\350\346'\0\0\351'\362\377\377\201\376\15\360\255\13t\24h\20\0 \0j\350j\0\350o>\0\0P\351\364\364\377\377\377\5\24BC\0\351\222\11\0\03\366hh\224@\0\273\250\330@\0S\211u\300\211u\350\211u\10\350\2567\0\0S\277\250\334@\0W\350\2427\0\09u\310t\10\350~\354\377\377\211E\300\203}\314\0t\13j\21^\350m\354\377\377\211E\350\203}\330\0t\13j"^\350\\354\377\377\211E\10j\315^\350Q\354\377\377\213\360VWSh\250\324@\0hD\224@\0\350\2468\0\0\203\304\24V\377u\10\377u\350\377u\300\377\25H\221@\0\351n\361\377\3773\366F\307E\10!N~\0\350\26\354\377\377j\22^\213\330\350\14\354\377\377j\335^\211E\354\350\1\354\377\377Ph\377\3\0\0W\215E\10P\377u\354S\377\25L\221@\0\213\7;E\10\351\7\361\377\377\203}\330\0uDj\2\350\243\354\377\377\213\370\205\377\17\204\34\361\377\377j3^\350\303\353\377\377\213\360VW\377\25\20\220@\0Vh\250\334@\0\377u\314\213\330h(\224@\0\350\158\0\0\203\304\20W\377\25 \220@\0\353"^\350\220\353\377\377\213\360V\377u\314h\24\224@\0\350\3517\0\0\213E\314\203\304\14\205\300u\12\241\4BC\0\5\1\0\0\200\213M\330\203\341\2QVP\350\226\353\377\377\213\330\205\333\17\2047\10\0\0\351\240\360\377\3773\333;\363t\5\211u\10\353\15\241\4BC\0\5\1\0\0\200\211E\10\213E\330\211E\370\213E\334j\2^\211E\354\350#\353\377\377j\21^\211E\364\350\30\353\377\377S\215M\350", ) , ) == 0x0
 01123   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "E\360\307E\374\1\0\0\0\377\25\24\220@\0\205\300\17\205\261\0\0\03\366\203}\370\1\277\250\334@\0u(j#^\350\334\352\377\377W\350\3665\0\0W\377u\364\213\360\377u\360F\377u\10h\364\223@\0\350(7\0\0\203\304\24\203}\370\4u'j\3Y\350\230\352\377\377j\4^P\377u\364\243\250\334@\0\377u\360\377u\10h\320\223@\0\350\3736\0\0\203\304\24\203}\370\3u(h\0\14\0\0WS\377u\324\350\204\11\0\0\213\360V\377u\364\377u\360\377u\10h\250\223@\0\350\3156\0\0\203\304\24VW\377u\354S\377u\364\377u\350\377\25\30\220@\0\205\300u\3\211]\374\377u\350\351\343\0\0\0\377u\360\377u\10h\204\223@\0\350\2316\0\0\203\304\14\351\13\7\0\0h\31\0\2\0\350\354\352\377\377j3^\213\330\350\24\352\377\3773\366;\336\306\7\0\17\204X\357\377\377\215M\354QW\215M\10QVPS\307E\354\0\4\0\0\377\25\34\220@\03\311A\205\300u.\203}\10\4t\229M\10t\6\203}\10\2u\359u\330t\36\353\319u\330u\7\307E\374\1\0\0\0\3777W\35034\0\0\353\6\306\7\0\211M\374S\353Sh\31\0\2\0\350t\352\377\377j\3Y\213\360\350\206\351\377\3773\322;\362\306\7\0\17\204\340\356\377\3779U\330\271\377\3\0\0\211M\10t\14QWPV\377\25\4\220@\0\353\21RRRR\215M\10QWPV\377\25\14\220@\0\306\207\377\3\0\0\0V\377\25 \220@\0\3515\6\0\0\200?\0\17\204,\6\0\0W\350\3243\0\0P\377\25\204\220@\0\351\32\6\0\0j\355^\350/\351\377\377\377u\320\377u\314P\350_2\0\0\203\370\377\17\205\350\361\377\377\306\7\0\351c\356", ) , ) == 0x0
 01124   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\356\350\377\377\242\250\330@\03\300@\353\16j\21^\350\362\350\377\377P\350\144\0\0\200?\0\17\2044\356\377\377j\0\215M\10QPh\250\330@\0W\350b3\0\0P\377\25P\221@\0\351\16\356\377\377j\2Y3\366\350\245\350\377\377\203\370\1\211E\370\17\214\222\5\0\0\271\377\3\0\0;\301~\3\211M\370\200?\0\17\204\211\0\0\0W\306E\13\0\350!3\0\0\203}\370\0\213\370~wj\0\215E\354Pj\1\215E\347PW\377\25T\221@\0\205\300t`\203}\354\1uZ\203}\324\0u!\200}\13\15t+\200}\13\12t%\212E\347\210\4\36F\204\300\210E\13t:;u\370|\276\3533\17\266E\347PS\350\2612\0\0\351 \5\0\0\212E\3478E\13t\16<\15t\4<\12u\6\210\4\36F\353\15j\1j\0j\377W\377\25X\221@\0\306\4\36\0\205\366\351Q\355\377\377\200?\0\17\204\340\4\0\0\377u\324j\0j\2Y\350\332\347\377\377PW\350z2\0\0P\377\25X\221@\0\203}\314\0\17\214\273\4\0\0\351J\4\0\0\200?\0\17\204\255\4\0\0W\350U2\0\0P\377\25\\221@\0\351\233\4\0\0\200;\0\17\204\332\354\377\377\215\205\\376\377\377PS\35032\0\0P\377\25`\221@\0\205\300\17\204\276\354\377\377\215\205\210\376\377\377PW\351|\3\0\0j\2^\350~\347\377\377\215\215\\376\377\377QP\377\25d\221@\0\203\370\377u\10\306\3\0\351I\376\377\377PS\350\3241\0\0\353\3073\366\307E\300f\375\377\377\350L\347\377\377!u\350\366\5\345AC\0\4\213=\244\220@\0\211E\10\17\204\247\0\0\0P\350M2\0\0\3775\364\314B\0\213\360\350@2\0\0\215L0\1\270\5\1\0\0;\310r", ) , ) == 0x0
 01125   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\215D0\1P\350%/\0\0\213\330\205\333\211]\364tS\3775\364\314B\0S\350\32\0\0j\\377u\10\350\3173\0\0\205\300t\4@P\353\3\377u\10S\377\327S\350\3531\0\0\215t\30\377\353\17\200>\t\21VS\377\258\222@\0\213\360;\363\211u\350w\352S\306\6\0\350n4\0\0\205\300u\12\270\377\377\377\177\351\206\3\0\0S\377u\10\306\6\\350\2461\0\0\377u\10\350\326.\0\0\205\300\377u\10\273\250\330@\0t\10S\350\2141\0\0\353\24h\0\244C\0S\350\1771\0\0P\350"3\0\0P\377\327S\350|1\0\0j\2h\0\0\0@S\350\205/\0\0\203\370\377\211E\370\17\204\254\0\0\0\241\350AC\0P\211E\354\350V.\0\0\205\300\211E\360\17\204\212\0\0\0j\0\350\20\5\0\0\377u\354\377u\360\350\323\4\0\0\377u\320\3501.\0\0\213\360\205\366\211u\300t9\377u\320Vj\0\377u\314\350\375\4\0\0\353\33\213\16\213F\4Q\211M\264\213M\360\203\306\10V\3\301P\350\365.\0\0\3u\264\200>\0u\340\377u\300\377\25@\221@\03\366V\215E\234P\377u\354\377u\360\377u\370\377\25P\221@\0\377u\360\377\25@\221@\0VV\377u\370j\377\350\247\4\0\0\211E\300\377u\370\377\25\204\220@\0S\377u\300hd\223@\0\350\3541\0\0\203\304\14\203}\300\0j\363^}\21j\357^S\377\254\221@\0\307E\374\1\0\0\0V\3509\345\377\377\366\5\345AC\0\4\17\204'\2\0\0\213E\350\213u\10h\\223@\0V\306\0\0\377\327\3775\364\314B\0V\377\327hT\223@\0V\377\327\377u\364V\377\327\377u\364V\350\217,\0\0\205\300\211E\10Vtuh4\223@\0\350", ) 3\0\0P\377\327S\350|1\0\0j\2h\0\0\0@S\350\205/\0\0\203\370\377\211E\370\17\204\254\0\0\0\241\350AC\0P\211E\354\350V.\0\0\205\300\211E\360\17\204\212\0\0\0j\0\350\20\5\0\0\377u\354\377u\360\350\323\4\0\0\377u\320\3501.\0\0\213\360\205\366\211u\300t9\377u\320Vj\0\377u\314\350\375\4\0\0\353\33\213\16\213F\4Q\211M\264\213M\360\203\306\10V\3\301P\350\365.\0\0\3u\264\200>\0u\340\377u\300\377\25@\221@\03\366V\215E\234P\377u\354\377u\360\377u\370\377\25P\221@\0\377u\360\377\25@\221@\0VV\377u\370j\377\350\247\4\0\0\211E\300\377u\370\377\25\204\220@\0S\377u\300hd\223@\0\350\3541\0\0\203\304\14\203}\300\0j\363^}\21j\357^S\377\254\221@\0\307E\374\1\0\0\0V\3509\345\377\377\366\5\345AC\0\4\17\204'\2\0\0\213E\350\213u\10h\\223@\0V\306\0\0\377\327\3775\364\314B\0V\377\327hT\223@\0V\377\327\377u\364V\377\327\377u\364V\350\217,\0\0\205\300\211E\10Vtuh4\223@\0\350", ) == 0x0
 01126   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "jd\377u\10\377\327\276\2\1\0\0;\306u/\213\35`\222@\0\353\12\215E\240P\377\25d\222@\0j\1j\17j\17\215E\240j\0P\377\323\205\300u\344jd\377u\10\377\327;\306t\343\215E\354P\377u\10\377\25p\220@\0\203}\354\0t\3\377E\374\377u\10\377\25\204\220@\0\351y\1\0\0\377E\374h\370\222@\0\350\11\0\0YY\351e\1\0\0\205\366t5Rh\340\222@\0\350\3530\0\0\213E\314Ph\314\222@\0\243\4\35C\0\350\3300\0\0\203\304\20\203}\314\0\17\204E\1\0\0\350\301\16\0\0\351;\1\0\03\366F\350P\344\377\377Ph\270\226@\0\350\2560\0\0YY\351!\1\0\03\311\350!\344\377\377\213\370;=\254AC\0\17\203z\351\377\377\213E\320\213\367i\366\30\4\0\0\35\250AC\0\205\300|\27\213\14\206u\17\203\306\30VS\350\37/\0\0\351\343\0\0\0Q\353u\203\311\377+\310\211M\320t\153\311A\350\325\343\377\377\211E\314\353\20\377u\330\215F\30P\350\2115\0\0\200N\11\1\213E\320\213M\314\211\14\206\203}\324\0\17\204\246\0\0\0W\3502\340\377\377\351\233\0\0\03\311\350\233\343\377\377\203\370 \17\203\371\350\377\3773\3119M\324t!9M\320t\15P\3506\341\377\377\350'\341\377\377\353rQ\350t\341\377\377PS\350\372-\0\0\353c9M\320t\22\213M\314\213\25\210AC\0\211\214\202\224\0\0\0\353L\213\15\210AC\0\377\264\201\224\0\0\0S\350\55\0\0\3537\241(\365B\0j\0#\306Pj\13\377u\360\377\25l\222@\0\203}\310\0t\34j\0j\0\377u\360\377\25h\222@\0\203}\364\0t\11\377u\364\377\25@\221@\0\213E\374\1\5\10BC\0", ) , ) == 0x0
 01127   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\226\26@\0\270\26@\0\325\26@\0\15\27@\0\\27@\0\206\27@\0\342\27@\0\16\30@\0Q\30@\0\255\30@\0\237\27@\0\266\27@\0\325\27@\0\371\30@\0\251\31@\0\16\32@\0B\32@\0e\32@\0L\35@\0]\35@\0\243\35@\0\310\35@\0\334\35@\0b\36@\0\205\36@\0\275\36@\0\372\36@\0\206\37@\0\246\37@\0\ @\0\ @\0'!@\0E!@\0b!@\0\177!@\0\334!@\0X"@\0\232"@\0'#@\0\371#@\0)$@\0\271$@\0!&@\0\237'@\02(@\0Y(@\0\343(@\0&)@\0\271)@\0\340*@\0X+@\0\266+@\0\321+@\0\366+@\0C,@\0\2-@\05-@\0P-@\0\202-@\0\256-@\0w0@\0\3120@\0P1@\0\3531@\0\3531@\0\2641@\0\37\37@\0#\37@\0'\37@\0.\37@\0;\37@\0?\37@\0C\37@\0G\37@\0P\37@\0Z\37@\0f\37@\0z\37@\0~\37@\0U\213\354\201}\14\20\1\0\0VW\213}\10\276\23\1\0\0u\33j\0h\372\0\0\0j\1W\377\25\224\221@\0\213E\24\243\354\314B\0\211u\149u\14uN\213\15\350\314B\0\241\360\314B\0;\310|\2\213\310PjdQ\377\250\221@\0P\3775\354\314B\0\276\350\260A\0V\377\25<\222@\0\203\304\14VW\377\25\220\221@\0Vh\6\4\0\0W\350\23)\0\0j\5W\377\254\222@\0_3\300^]\302\20\0U\213\354V\213u\14j\0\215E\14PV\377u\10\3775\14\320@\0\377\25T\221@\0\205\300t\129u\14u\53\300@\353\2", ) @\0\232 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\226\26@\0\270\26@\0\325\26@\0\15\27@\0\\27@\0\206\27@\0\342\27@\0\16\30@\0Q\30@\0\255\30@\0\237\27@\0\266\27@\0\325\27@\0\371\30@\0\251\31@\0\16\32@\0B\32@\0e\32@\0L\35@\0]\35@\0\243\35@\0\310\35@\0\334\35@\0b\36@\0\205\36@\0\275\36@\0\372\36@\0\206\37@\0\246\37@\0\ @\0\ @\0'!@\0E!@\0b!@\0\177!@\0\334!@\0X"@\0\232"@\0'#@\0\371#@\0)$@\0\271$@\0!&@\0\237'@\02(@\0Y(@\0\343(@\0&)@\0\271)@\0\340*@\0X+@\0\266+@\0\321+@\0\366+@\0C,@\0\2-@\05-@\0P-@\0\202-@\0\256-@\0w0@\0\3120@\0P1@\0\3531@\0\3531@\0\2641@\0\37\37@\0#\37@\0'\37@\0.\37@\0;\37@\0?\37@\0C\37@\0G\37@\0P\37@\0Z\37@\0f\37@\0z\37@\0~\37@\0U\213\354\201}\14\20\1\0\0VW\213}\10\276\23\1\0\0u\33j\0h\372\0\0\0j\1W\377\25\224\221@\0\213E\24\243\354\314B\0\211u\149u\14uN\213\15\350\314B\0\241\360\314B\0;\310|\2\213\310PjdQ\377\250\221@\0P\3775\354\314B\0\276\350\260A\0V\377\25<\222@\0\203\304\14VW\377\25\220\221@\0Vh\6\4\0\0W\350\23)\0\0j\5W\377\254\222@\0_3\300^]\302\20\0U\213\354V\213u\14j\0\215E\14PV\377u\10\3775\14\320@\0\377\25T\221@\0\205\300t\129u\14u\53\300@\353\2", ) , ) == 0x0
 01128   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "t$\14\3775\14\320@\0\377\25X\221@\0\302\4\0U\213\354\203\354XV\213u\24W\213}\20\205\377\211u\370u\7\307E\370\0\200\0\0\203e\374\0\205\377\211}\364u\7\307E\364\3500A\0\213E\10\205\300|\16\213\15\330AC\0\3\310Q\350\246\377\377\377j\4\215E\24P\350i\377\377\377\205\300u\10j\375X\351\215\1\0\0\366E\27\200S\17\204d\1\0\0\213\35\264\220@\0\377\323\203%T6B\0\0\203%P6B\0\0\201e\24\377\377\377\177\211E\360\270\330LB\0\243\340\314B\0\243\334\314B\0\213E\24\307\581B\0\10\0\0\0\307\5\330\314B\0\330\314B\0\211E\10\17\216/\1\0\0\276\0@\0\09u\24}\3\213u\24V\277\350\360@\0W\350\352\376\377\377\205\300\17\204\353\0\0\0)u\24\211=(1B\0\2115,1B\0\213E\370\213}\364h(1B\0\211=01B\0\24341B\0\350p9\0\0\205\300\211E\350\17\214\273\0\0\0\213501B\0+\367\377\323\366\5<\320@\0\1\213\370tC+E\360=\310\0\0\0w\6\203}\24\0u3\377u\10\213E\10+E\24jdP\377\250\221@\0P\215E\250h\350\230@\0P\377\25<\222@\0\203\304\14\215E\250Pj\0\350\242\32\0\0\211}\3603\300;\360tM9E\20u(P\215E\354PV\377u\364\377u\14\377\25P\221@\0\205\300\17\204\251\0\0\09u\354\17\205\240\0\0\0\1u\374\353\24)u\370\1u\374\203}\370\1\24101B\0\211E\364|:\203}\350\1\17\2051\377\377\377\353.9E\24\17\217\366\376\377\377\353#j\375X\353!j\374\353\371\205\377t[9u\24}\3\213u\24VW\350\333\375\377\377\205\300t\340\211u", ) , ) == 0x0
 01129   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "u\3709u\24}\3\213u\24V\277\350\360@\0W\350\263\375\377\377\205\300t\270j\0\215E\20PVW\377u\14\377\25P\221@\0\205\300t\23;u\20u\16\1u\374)u\24\203}\24\0\177\277\353\263j\376\353\216U\213\354\203\354HSV3\366W\211u\374\377\25\264\220@\0h\0\4\0\0\211u\364\211u\370\276\0\254C\0V\3775\204AC\0\213\370\201\307\350\3\0\0\377\25\274\220@\0j\3h\0\0\0\200V\350\270'\0\0\213\330\203\373\377\211]\360\211\35\14\320@\0u\12\270H\232@\0\351E\2\0\0V\350\200+\0\0j\0S\377\25\270\220@\0\205\300\243\360\314B\0\213\360\17\216!\1\0\0\241\350AC\0\367\330\33\300%\0~\0\0\5\0\2\0\0;\360\213\336|\2\213\330Sh(\261A\0\350\337\374\377\377\205\300\17\204\202\1\0\03\3009\5\350AC\0u{j\34h(\261A\0\215E\324P\350\30'\0\0\213M\324\367\301\340\377\377\377\17\205\222\0\0\0\201}\330\357\276\255\336\17\205\205\0\0\0\201}\344Instu|\201}\340softus\201}\334Nulluj\213E\354;\306\17\217\370\0\0\0\11M\10\366E\10\10\213\25\350\314B\0\211\25\350AC\0u\6\366E\10\4um\377E\370\215p\374;\336v:\213\336\3536\366E\10\2u09E\374\17\205\326\0\0\0\377\25\264\220@\0;\307v\35h,\232@\0h=3@\0j\0jo\3775\204AC\0\377\25\234\221@\0\211E\374;5\360\314B\0}\21Sh(\261A\0\377u\364\350\273\333\377\377\211E\364\1\35\350\314B\0+\363\205\366\17\217\356\376\377\377\203}\374\0t\11\377u\374\377\25\230\221@\03\3779=\350AC\0tW9}\370t"", ) ", ) == 0x0
 01130   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\4\215E\370P\350\277\373\377\377\205\300t8\213E\364;E\370u0\377u\350\350\21%\0\0\213\360\241\350AC\0\203\300\34P\350\315\373\377\377\377u\350VWj\377\350\330\373\377\377;E\350tFV\377\25@\221@\0\270\370\230@\0\351\233\0\0\0\215E\270P\377\25d\222@\03\300j\1PPP\215E\270P\377\25`\222@\0\205\300u\341\3519\377\377\377\203}\374\0t\314\377u\374\377\25\230\221@\0\353\301\366E\10\2\2115\210AC\0t\3\203\16\10\213\6\203\340\30\366E\10\20\243 BC\0t\4\200N\1\4\366E\324\1\213\6\243\344AC\0t\6\377\5\340AC\0j\10\215FDY\203\350\10\10Iu\370j\1WW\377u\360\377\25X\221@\0\211F, ) , ) == 0x0
 01131   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377\323j\0\377\25h\220@\0\200=\0\240C\0"\243\204AC\0u\12\306D$\20"\276\1\240C\0\377t$\20V\350\22#\0\0P\377\25\244\221@\0\213\360\211t$\30\351\21\1\0\0< u\6F\200> t\372\200>"\306D$\20 u\6F\306D$\20"\200>/\17\205\334\0\0\0F\212\6NCRCu\16\212N\4\200\311 \200\371 u\3\203\317\4\201~\376 /D=\17\204\27\1\0\0\211|$\34u\11\210L$\20\203\306\3\353\30\200\371 \17\204\261\0\0\0\204\311\17\204\251\0\0\0\306D$\20 \213\360\377t$\20V\350P"\0\0\205\300\17\204\316\0\0\0+\306@@U\213\370\350-"\0\0\205\300\243\364\314B\0\17\204\274\0\0\0;\375v\2\213\375OWVP\377\323\3775\364\314B\0\350\245&\0\0j\0\3775\364\314B\0\377\25\300\220@\0\213|$\34\306D$\20/\377t$\20V\350\367!\0\0\213\360\200>"u\1F\212\6\204\300\17\205\345\376\377\377W\350\347\372\377\377\213\3303\355;\335\17\205\274\0\0\09-\340AC\0\17\204\231\0\0\0\213|$\30UW\350\274!\0\0\213\360\353UU\350\243!\0\0\205\300\243\364\314B\0t\20h<\233@\0P\350\202$\0\0\241\364\314B\0j\0P\377\25\300\220@\0\353\237\306F\376\0\203\306\2Vh\0\244C\0\350`$\0\0\353\225\273\350\232@\0\353\\273\330\232@\0\353U\201> _?=t\5N;\367s\363;\367\273H\232@\0rd\306\6\0\203\306\4V\350^&\0\0", ) \243\204AC\0u\12\306D$\20 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377\323j\0\377\25h\220@\0\200=\0\240C\0"\243\204AC\0u\12\306D$\20"\276\1\240C\0\377t$\20V\350\22#\0\0P\377\25\244\221@\0\213\360\211t$\30\351\21\1\0\0< u\6F\200> t\372\200>"\306D$\20 u\6F\306D$\20"\200>/\17\205\334\0\0\0F\212\6NCRCu\16\212N\4\200\311 \200\371 u\3\203\317\4\201~\376 /D=\17\204\27\1\0\0\211|$\34u\11\210L$\20\203\306\3\353\30\200\371 \17\204\261\0\0\0\204\311\17\204\251\0\0\0\306D$\20 \213\360\377t$\20V\350P"\0\0\205\300\17\204\316\0\0\0+\306@@U\213\370\350-"\0\0\205\300\243\364\314B\0\17\204\274\0\0\0;\375v\2\213\375OWVP\377\323\3775\364\314B\0\350\245&\0\0j\0\3775\364\314B\0\377\25\300\220@\0\213|$\34\306D$\20/\377t$\20V\350\367!\0\0\213\360\200>"u\1F\212\6\204\300\17\205\345\376\377\377W\350\347\372\377\377\213\3303\355;\335\17\205\274\0\0\09-\340AC\0\17\204\231\0\0\0\213|$\30UW\350\274!\0\0\213\360\353UU\350\243!\0\0\205\300\243\364\314B\0t\20h<\233@\0P\350\202$\0\0\241\364\314B\0j\0P\377\25\300\220@\0\353\237\306F\376\0\203\306\2Vh\0\244C\0\350`$\0\0\353\225\273\350\232@\0\353\\273\330\232@\0\353U\201> _?=t\5N;\367s\363;\367\273H\232@\0rd\306\6\0\203\306\4V\350^&\0\0", ) \306D$\20 u\6F\306D$\20 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377\323j\0\377\25h\220@\0\200=\0\240C\0"\243\204AC\0u\12\306D$\20"\276\1\240C\0\377t$\20V\350\22#\0\0P\377\25\244\221@\0\213\360\211t$\30\351\21\1\0\0< u\6F\200> t\372\200>"\306D$\20 u\6F\306D$\20"\200>/\17\205\334\0\0\0F\212\6NCRCu\16\212N\4\200\311 \200\371 u\3\203\317\4\201~\376 /D=\17\204\27\1\0\0\211|$\34u\11\210L$\20\203\306\3\353\30\200\371 \17\204\261\0\0\0\204\311\17\204\251\0\0\0\306D$\20 \213\360\377t$\20V\350P"\0\0\205\300\17\204\316\0\0\0+\306@@U\213\370\350-"\0\0\205\300\243\364\314B\0\17\204\274\0\0\0;\375v\2\213\375OWVP\377\323\3775\364\314B\0\350\245&\0\0j\0\3775\364\314B\0\377\25\300\220@\0\213|$\34\306D$\20/\377t$\20V\350\367!\0\0\213\360\200>"u\1F\212\6\204\300\17\205\345\376\377\377W\350\347\372\377\377\213\3303\355;\335\17\205\274\0\0\09-\340AC\0\17\204\231\0\0\0\213|$\30UW\350\274!\0\0\213\360\353UU\350\243!\0\0\205\300\243\364\314B\0t\20h<\233@\0P\350\202$\0\0\241\364\314B\0j\0P\377\25\300\220@\0\353\237\306F\376\0\203\306\2Vh\0\244C\0\350`$\0\0\353\225\273\350\232@\0\353\\273\330\232@\0\353U\201> _?=t\5N;\367s\363;\367\273H\232@\0rd\306\6\0\203\306\4V\350^&\0\0", ) \211|$\34u\11\210L$\20\203\306\3\353\30\200\371 \17\204\261\0\0\0\204\311\17\204\251\0\0\0\306D$\20 \213\360\377t$\20V\350P (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377\323j\0\377\25h\220@\0\200=\0\240C\0"\243\204AC\0u\12\306D$\20"\276\1\240C\0\377t$\20V\350\22#\0\0P\377\25\244\221@\0\213\360\211t$\30\351\21\1\0\0< u\6F\200> t\372\200>"\306D$\20 u\6F\306D$\20"\200>/\17\205\334\0\0\0F\212\6NCRCu\16\212N\4\200\311 \200\371 u\3\203\317\4\201~\376 /D=\17\204\27\1\0\0\211|$\34u\11\210L$\20\203\306\3\353\30\200\371 \17\204\261\0\0\0\204\311\17\204\251\0\0\0\306D$\20 \213\360\377t$\20V\350P"\0\0\205\300\17\204\316\0\0\0+\306@@U\213\370\350-"\0\0\205\300\243\364\314B\0\17\204\274\0\0\0;\375v\2\213\375OWVP\377\323\3775\364\314B\0\350\245&\0\0j\0\3775\364\314B\0\377\25\300\220@\0\213|$\34\306D$\20/\377t$\20V\350\367!\0\0\213\360\200>"u\1F\212\6\204\300\17\205\345\376\377\377W\350\347\372\377\377\213\3303\355;\335\17\205\274\0\0\09-\340AC\0\17\204\231\0\0\0\213|$\30UW\350\274!\0\0\213\360\353UU\350\243!\0\0\205\300\243\364\314B\0t\20h<\233@\0P\350\202$\0\0\241\364\314B\0j\0P\377\25\300\220@\0\353\237\306F\376\0\203\306\2Vh\0\244C\0\350`$\0\0\353\225\273\350\232@\0\353\\273\330\232@\0\353U\201> _?=t\5N;\367s\363;\367\273H\232@\0rd\306\6\0\203\306\4V\350^&\0\0", ) \0\0\205\300\243\364\314B\0\17\204\274\0\0\0;\375v\2\213\375OWVP\377\323\3775\364\314B\0\350\245&\0\0j\0\3775\364\314B\0\377\25\300\220@\0\213|$\34\306D$\20/\377t$\20V\350\367!\0\0\213\360\200> (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377\323j\0\377\25h\220@\0\200=\0\240C\0"\243\204AC\0u\12\306D$\20"\276\1\240C\0\377t$\20V\350\22#\0\0P\377\25\244\221@\0\213\360\211t$\30\351\21\1\0\0< u\6F\200> t\372\200>"\306D$\20 u\6F\306D$\20"\200>/\17\205\334\0\0\0F\212\6NCRCu\16\212N\4\200\311 \200\371 u\3\203\317\4\201~\376 /D=\17\204\27\1\0\0\211|$\34u\11\210L$\20\203\306\3\353\30\200\371 \17\204\261\0\0\0\204\311\17\204\251\0\0\0\306D$\20 \213\360\377t$\20V\350P"\0\0\205\300\17\204\316\0\0\0+\306@@U\213\370\350-"\0\0\205\300\243\364\314B\0\17\204\274\0\0\0;\375v\2\213\375OWVP\377\323\3775\364\314B\0\350\245&\0\0j\0\3775\364\314B\0\377\25\300\220@\0\213|$\34\306D$\20/\377t$\20V\350\367!\0\0\213\360\200>"u\1F\212\6\204\300\17\205\345\376\377\377W\350\347\372\377\377\213\3303\355;\335\17\205\274\0\0\09-\340AC\0\17\204\231\0\0\0\213|$\30UW\350\274!\0\0\213\360\353UU\350\243!\0\0\205\300\243\364\314B\0t\20h<\233@\0P\350\202$\0\0\241\364\314B\0j\0P\377\25\300\220@\0\353\237\306F\376\0\203\306\2Vh\0\244C\0\350`$\0\0\353\225\273\350\232@\0\353\\273\330\232@\0\353U\201> _?=t\5N;\367s\363;\367\273H\232@\0rd\306\6\0\203\306\4V\350^&\0\0", ) , ) == 0x0
 01132   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "$\0\0Vh\0\250C\0\350\24$\0\03\333\203\15,BC\0\377\350\262\35\0\0j\1\211D$\30\350\253$\0\0\350\372\374\377\377\377\25\234\222@\0\205\333\17\204\23\1\0\0h\20\0 \0S\350\250 \0\0j\2\351\275\1\0\0\211l$\20\277\371\314B\0\276\370\314B\0\275\370\324B\0h\0\264C\0W\306\5\370\314B\0"\350\261#\0\0h\20\320@\0V\377\25\244\220@\0W\377\254\221@\0\205\333\17\204\247\0\0\0h\0\4\0\0U\3775\204AC\0\377\25\274\220@\0h\21\320@\0\215\200\355\324B\0P\377\25\200\220@\0\205\300\17\204o\377\377\377j\0WU\377\25\314\220@\0\205\300tmj\0W\350X&\0\0\200=\0\244C\0\0t\15h\0\244C\0U\350@#\0\0\353\6U\350B%\0\0h\324\232@\0V\377\25\244\220@\0\377t$\30V\377\25\244\220@\0h\314\232@\0V\377\25\244\220@\0UV\377\25\244\220@\0V\350\260$\0\0h\0\264C\0V\350O\37\0\0\205\300t\11P\377\25\204\220@\03\333\376\5\20\320@\0\377D$\20\203|$\20\32\17\214\27\377\377\377\351\332\376\377\377\203=\24BC\0\0\17\204\235\0\0\0h\274\232@\0\377\25h\220@\0\213\3703\333;\373tv\21358\221@\0h\250\232@\0W\377\326h\220\232@\0W\211D$ \377\326hx\232@\0W\213\350\377\3269\$\30\213\360tJ;\353tF;\363tB\215D$\34Pj(\377\25\310\220@\0P\377T$$\205\300t,\215D$$Phd\232@\0S\377\325SSS\215D$,PS\377t$0\307D$8\1\0\0\0\307D$D\2\0\0\0\377\326Sj\2\377\25\240\221@\0\205\300u\7j\11\350\322", ) \350\261#\0\0h\20\320@\0V\377\25\244\220@\0W\377\254\221@\0\205\333\17\204\247\0\0\0h\0\4\0\0U\3775\204AC\0\377\25\274\220@\0h\21\320@\0\215\200\355\324B\0P\377\25\200\220@\0\205\300\17\204o\377\377\377j\0WU\377\25\314\220@\0\205\300tmj\0W\350X&\0\0\200=\0\244C\0\0t\15h\0\244C\0U\350@#\0\0\353\6U\350B%\0\0h\324\232@\0V\377\25\244\220@\0\377t$\30V\377\25\244\220@\0h\314\232@\0V\377\25\244\220@\0UV\377\25\244\220@\0V\350\260$\0\0h\0\264C\0V\350O\37\0\0\205\300t\11P\377\25\204\220@\03\333\376\5\20\320@\0\377D$\20\203|$\20\32\17\214\27\377\377\377\351\332\376\377\377\203=\24BC\0\0\17\204\235\0\0\0h\274\232@\0\377\25h\220@\0\213\3703\333;\373tv\21358\221@\0h\250\232@\0W\377\326h\220\232@\0W\211D$ \377\326hx\232@\0W\213\350\377\3269\$\30\213\360tJ;\353tF;\363tB\215D$\34Pj(\377\25\310\220@\0P\377T$$\205\300t,\215D$$Phd\232@\0S\377\325SSS\215D$,PS\377t$0\307D$8\1\0\0\0\307D$D\2\0\0\0\377\326Sj\2\377\25\240\221@\0\205\300u\7j\11\350\322", ) == 0x0
 01133   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\4\211D$\24\377t$\24\377\25h\221@\0\314\203|$\4xu\6\377\5T9C\0j\0\377t$\10h\10\4\0\0\3775\200AC\0\377\25l\222@\0\302\4\0\377t$\14j\0\350u(\0\0P\213D$\14\5\350\3\0\0P\377t$\14\350u\36\0\0\302\14\0\203=\14BC\0\0\241\10\335B\0u\5\241\30\365B\0j\1j\1h\364\0\0\0P\377\25l\222@\0\303\377t$\4\3775\30\365B\0\377\25\\222@\0\302\4\0j\1\377t$\10j(\3775\200AC\0\377\25l\222@\0\302\4\0\241H9C\0\205\300t\17j\0j\0\377t$\14P\377\25l\222@\0\302\4\0U\213\354\203\354\14\5\315\376\377\377\203\370\5V\17\207\216\0\0\0j\353\377u\14\377\25\254\221@\0\213\360\205\366t}\366F\24\2\213\6W\213=\250\221@\0t\3P\377\327\366F\24\1t\12P\377u\10\377\25P\220@\0\377v\20\377u\10\377\25L\220@\0\366F\24\10\213F\4\211E\370t\6P\377\327\211E\370\366F\24\4_t\12P\377u\10\377\25T\220@\0\366F\24\20t!\213F\10\211E\364\213F\14\205\300t\7P\377\25@\220@\0\215E\364P\377\25D\220@\0\211F\14\213F\14\353\23\300^\311\302\10\0U\213\354\201\354\0\4\0\0h\0\244C\0\215\205\0\374\377\377P\377\25\340\220@\0h\274\233@\0\215\205\0\374\377\377Ph 5C\0\350\205 \0\0P\350("\0\0P\377\25\244\220@\0\311\303\200=\0\260C\0\0SUVW\277\377\377\0\0\273\0\260C\0t\10S\350\320\37\0\0\353\6\377\25\344\220@\03\311\2135\304AC\0\205\366tI\213\15\210AC\0\213Id\213\321\17\257\316\367\332\3\15\300AC\03", ) \0\0P\377\25\244\220@\0\311\303\200=\0\260C\0\0SUVW\277\377\377\0\0\273\0\260C\0t\10S\350\320\37\0\0\353\6\377\25\344\220@\03\311\2135\304AC\0\205\366tI\213\15\210AC\0\213Id\213\321\17\257\316\367\332\3\15\300AC\03", ) == 0x0
 01134   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "f\205\355t\6\205\366u\352\353\33\213Q\2\211\25\9C\0\213Q\6\211\25(BC\0\215Q\12\211\25h9C\0\203=h9C\0\0u\22f\201\377\377\377u\7\277\377\3\0\0\353\2263\377\353\222\17\267\1PS\3505\37\0\0j\376h\2009C\0\350`&\0\0P\3775\24\335B\0\377\25\220\221@\0\241\254AC\0\205\300\2135\250AC\0t\33\213\370\213\6\205\300t\12P\215F\30P\3502&\0\0\201\306\30\4\0\0Ou\347_^][\303U\213\354\203}\14\1V\2135l\222@\0u\34\377u\24h\373\3\0\0\350!\34\0\0\377u\24j\1hf\4\0\0\377u\10\377\326\203}\14\2u-\377u\24\377u\20\377\25\204\221@\0\205\300t\16j\7\350\355\323\377\377\205\300u\3@\353\23\300Pj\0he\4\0\0\377u\10\377\3263\300^]\302\20\0U\213\354\377u\20\213E\10\213\15\370\330B\0\3\310Q\377u\14\377\25\320\220@\0\377u\14\350\14\37\0\0\213M\24\1\5\370\330B\0\211\13\300]\302\20\0U\213\354\203\354\14\201}\14\20\1\0\0SVW\17\205\12\1\0\0\213]\24\213{0\205\377}\21\213\15h9C\0\215\4\275\4\0\0\0+\310\2139\241\270AC\0\377s4\3\370\17\276\7\203e\370\0\211E\24\213C\24\213\360\301\356\5\367\326j"\377u\10\13\360G\211}\364\307E\374\371@@\0\203\346\1\350\241\374\377\377\377s8j#\377u\10\350\224\374\377\3773\300\205\366\17\224\300j\1\5\12\4\0\0P\377u\10\377\25\270\221@\0V\350\274\374\377\377h\350\3\0\0\377u\10\377\25L\222@\0\213\330S\350\271\374\377\377\2135l\222@\0j\0j\1h[\4\0\0S\377\326\241\210AC\0\213@h\205\300}", ) \377u\10\13\360G\211}\364\307E\374\371@@\0\203\346\1\350\241\374\377\377\377s8j#\377u\10\350\224\374\377\3773\300\205\366\17\224\300j\1\5\12\4\0\0P\377u\10\377\25\270\221@\0V\350\274\374\377\377h\350\3\0\0\377u\10\377\25L\222@\0\213\330S\350\271\374\377\377\2135l\222@\0j\0j\1h[\4\0\0S\377\326\241\210AC\0\213@h\205\300}", ) == 0x0
 01135   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0hC\4\0\0S\377\326h\0\0\1\4j\0hE\4\0\0S\377\326\203%\370\330B\0\0W\350\3\36\0\0Pj\0h5\4\0\0S\377\326\215E\364P\377u\24hI\4\0\0S\377\326\203%$\365B\0\03\300\351~\1\0\0\201}\14\21\1\0\0\213=L\222@\0\213\35l\222@\0uZ\213E\20\301\350\20f\205\300\17\205K\1\0\03\3009\5$\365B\0\17\205=\1\0\0\2135\34\365B\0\203\306\24\366\6 \17\204+\1\0\0PPh\360\0\0\0h\12\4\0\0\377u\10\377\327P\377\323\213\16\203\340\1\203\341\376\13\310P\211\16\350\306\373\377\377\350\235\373\377\377\203}\14N\17\205\347\0\0\0h\350\3\0\0\377u\10\377\327\213M\24\201y\10\13\7\0\0\17\205\210\0\0\0\201y\14\1\2\0\0\2135\264\221@\0\213=\260\221@\0u^\213Q\30\211U\364\213Q\34\211U\370+U\364\307E\374 -C\0\201\372\0\10\0\0s@\215M\364Qj\0hK\4\0\0P\377\323h\2\177\0\0j\0\377\327P\377\326j\1j\0j\0\377u\374h\310\233@\0\377u\10\377\25p\221@\0h\0\177\0\0j\0\377\327P\377\326\213M\24\203y\14 u\17h\211\177\0\0j\0\377\327P\377\326\213M\24\201y\10\0\7\0\0uN\201y\14\0\1\0\0uE\203y\20\15u\24j\0j\1h\21\1\0\0\3775\200AC\0\377\323\213M\24\203y\20\33u\16j\0j\0j\20\3775\200AC\0\377\3233\300@\353\36\201}\14\13\4\0\0u\6\377\5$\365B\0\213M\24\213E\14Q\377u\20\350\367\372\377\377_^[\311\302\20\0U\213\354\201}\14\20\1\0\0V\213u\24u&\377v0j\35\377u\10\350H\372\377\377\213F<\301\340", ) , ) == 0x0
 01136   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377u\10\350\303\30\0\0\213E\14V\377u\20\350\256\372\377\377^]\302\20\0U\213\354\203\354@SVWj\24_\213\360\201\376\0\4\0\0j\334[s\63\377j\336\353\15\201\376\0\0\20\0s\6j\12_j\335[j\337\215E\340P\350f"\0\0PS\215E\300P\350["\0\0P\215\4\266j\12\321\340\213\317\323\350Y3\322\367\361\213\317\323\356RVh\320\233@\0\377u\14\276\30\345B\0V\3501"\0\0V\213\370\350\232\33\0\0\3\370W\377\25<\222@\0\203\304\30V\377u\10\3775H9C\0\350"\30\0\0_^[\311\302\10\0\213\25\254AC\0\213\15\250AC\03\300\205\322t\30V\366A\10\1t\7\213t$\10\3\4\261\201\301\30\4\0\0Ju\352^\302\4\0U\213\354\203\354H\241\34\365B\0SV\213p<\301\346\12\211E\340\213@8\201\306\0PC\0\201}\14\13\4\0\0W\211E\374\273\373\3\0\0u%VS\350\274\27\0\0V\350\23\33\0\0\350L\372\377\377h\360\3\0\0\377u\10\377\25\300\221@\0\243\4\35C\0\201}\14\20\1\0\0\17\205\206\0\0\0j\20\377\25\274\221@\0\204\344\213=L\222@\0y$h\360\3\0\0\377u\10\377\327j\340j\10\377u\10\211E\370\350\314\370\377\377j\10\377u\370\377\254\222@\0V\350\336\27\0\0\205\300t\20V\350\373\27\0\0\205\300u\6V\350;\34\0\0VS\377u\10\3501\27\0\0\213E\24\377p4j\1\377u\10\350\215\370\377\377\213E\24\377p0j\24\377u\10\350}\370\377\377S\377u\10\377\327P\350\312\370\377\377\201}\14\21\1\0\0\17\205\273\0\0\0\17\267E\20;\303u\30\213M\20\301\351\20f\201\371\0\3\17\205\1\2\0\0\307E\14\17\4\0\0=", ) \0\0PS\215E\300P\350[ (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377u\10\350\303\30\0\0\213E\14V\377u\20\350\256\372\377\377^]\302\20\0U\213\354\203\354@SVWj\24_\213\360\201\376\0\4\0\0j\334[s\63\377j\336\353\15\201\376\0\0\20\0s\6j\12_j\335[j\337\215E\340P\350f"\0\0PS\215E\300P\350["\0\0P\215\4\266j\12\321\340\213\317\323\350Y3\322\367\361\213\317\323\356RVh\320\233@\0\377u\14\276\30\345B\0V\3501"\0\0V\213\370\350\232\33\0\0\3\370W\377\25<\222@\0\203\304\30V\377u\10\3775H9C\0\350"\30\0\0_^[\311\302\10\0\213\25\254AC\0\213\15\250AC\03\300\205\322t\30V\366A\10\1t\7\213t$\10\3\4\261\201\301\30\4\0\0Ju\352^\302\4\0U\213\354\203\354H\241\34\365B\0SV\213p<\301\346\12\211E\340\213@8\201\306\0PC\0\201}\14\13\4\0\0W\211E\374\273\373\3\0\0u%VS\350\274\27\0\0V\350\23\33\0\0\350L\372\377\377h\360\3\0\0\377u\10\377\25\300\221@\0\243\4\35C\0\201}\14\20\1\0\0\17\205\206\0\0\0j\20\377\25\274\221@\0\204\344\213=L\222@\0y$h\360\3\0\0\377u\10\377\327j\340j\10\377u\10\211E\370\350\314\370\377\377j\10\377u\370\377\254\222@\0V\350\336\27\0\0\205\300t\20V\350\373\27\0\0\205\300u\6V\350;\34\0\0VS\377u\10\3501\27\0\0\213E\24\377p4j\1\377u\10\350\215\370\377\377\213E\24\377p0j\24\377u\10\350}\370\377\377S\377u\10\377\327P\350\312\370\377\377\201}\14\21\1\0\0\17\205\273\0\0\0\17\267E\20;\303u\30\213M\20\301\351\20f\201\371\0\3\17\205\1\2\0\0\307E\14\17\4\0\0=", ) \0\0V\213\370\350\232\33\0\0\3\370W\377\25<\222@\0\203\304\30V\377u\10\3775H9C\0\350 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377u\10\350\303\30\0\0\213E\14V\377u\20\350\256\372\377\377^]\302\20\0U\213\354\203\354@SVWj\24_\213\360\201\376\0\4\0\0j\334[s\63\377j\336\353\15\201\376\0\0\20\0s\6j\12_j\335[j\337\215E\340P\350f"\0\0PS\215E\300P\350["\0\0P\215\4\266j\12\321\340\213\317\323\350Y3\322\367\361\213\317\323\356RVh\320\233@\0\377u\14\276\30\345B\0V\3501"\0\0V\213\370\350\232\33\0\0\3\370W\377\25<\222@\0\203\304\30V\377u\10\3775H9C\0\350"\30\0\0_^[\311\302\10\0\213\25\254AC\0\213\15\250AC\03\300\205\322t\30V\366A\10\1t\7\213t$\10\3\4\261\201\301\30\4\0\0Ju\352^\302\4\0U\213\354\203\354H\241\34\365B\0SV\213p<\301\346\12\211E\340\213@8\201\306\0PC\0\201}\14\13\4\0\0W\211E\374\273\373\3\0\0u%VS\350\274\27\0\0V\350\23\33\0\0\350L\372\377\377h\360\3\0\0\377u\10\377\25\300\221@\0\243\4\35C\0\201}\14\20\1\0\0\17\205\206\0\0\0j\20\377\25\274\221@\0\204\344\213=L\222@\0y$h\360\3\0\0\377u\10\377\327j\340j\10\377u\10\211E\370\350\314\370\377\377j\10\377u\370\377\254\222@\0V\350\336\27\0\0\205\300t\20V\350\373\27\0\0\205\300u\6V\350;\34\0\0VS\377u\10\3501\27\0\0\213E\24\377p4j\1\377u\10\350\215\370\377\377\213E\24\377p0j\24\377u\10\350}\370\377\377S\377u\10\377\327P\350\312\370\377\377\201}\14\21\1\0\0\17\205\273\0\0\0\17\267E\20;\303u\30\213M\20\301\351\20f\201\371\0\3\17\205\1\2\0\0\307E\14\17\4\0\0=", ) , ) == 0x0
 01137   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "Y\377u\3743\300\215}\274\363\253\213E\10\277\30\345B\0j\0\211E\270\211}\300\307E\314\223@@\0\211u\320\350\215 \0\0\211E\304\215E\270P\307E\310A\0\0\0\377\25t\221@\0\205\300tLP\350\2\26\0\0\241\210AC\0\213\200\34\1\0\0\205\300t'Pj\0\350X \0\0W\277 -C\0W\377\25\200\220@\0\205\300t\16WV\350T\33\0\0P\377\25\244\220@\0\377\5\4\331B\0VS\377u\10\350=\26\0\0\201}\14\17\4\0\0t\15\201}\14\5\4\0\0\17\205I\1\0\0\203e\374\0\203e\370\0VS\203\317\377\350\33\26\0\0V\350\226\33\0\0\205\300u\7\307E\374\1\0\0\0V\276\10\331B\0V\350O\31\0\0V\350\250\26\0\0\205\300t\3\306\0\0h\360\233@\0\377\25h\220@\0\205\300\273\0\4\0\0t2h\334\233@\0P\377\258\221@\0\205\300t"\215M\344Q\215M\354Q\215M\330QV\377\320\205\300t\17\213}\330\213E\334\17\254\307\12\301\350\12\353/\215E\334P\215E\364P\215E\350P\215E\360PV\377\25\350\220@\0\205\300t\33\213E\360\17\257E\350S\377u\364P\377\250\221@\0\213\370\307E\370\1\0\0\0j\5\350M\375\377\377;\370s\7\307E\374\2\0\0\0\213\15h9C\03\3669q\20t+j\373h\377\3\0\0\350\222\374\377\3779u\370t\14j\374S\213\307\350\203\374\377\377\353\16h\332\233@\0S\377u\10\350%\25\0\0\213E\374;\306\243$BC\0u\12j\7\350\20\315\377\377\211E\374\213E\340\205X\24t\3\211u\3743\3009u\374\17\224\300P\350\250\366\377\3779u\374u\1595\4\331B\0u\5\350r\366\377\377\2115\4\331B\0\377u\24\213E\14\377", ) \215M\344Q\215M\354Q\215M\330QV\377\320\205\300t\17\213}\330\213E\334\17\254\307\12\301\350\12\353/\215E\334P\215E\364P\215E\350P\215E\360PV\377\25\350\220@\0\205\300t\33\213E\360\17\257E\350S\377u\364P\377\250\221@\0\213\370\307E\370\1\0\0\0j\5\350M\375\377\377;\370s\7\307E\374\2\0\0\0\213\15h9C\03\3669q\20t+j\373h\377\3\0\0\350\222\374\377\3779u\370t\14j\374S\213\307\350\203\374\377\377\353\16h\332\233@\0S\377u\10\350%\25\0\0\213E\374;\306\243$BC\0u\12j\7\350\20\315\377\377\211E\374\213E\340\205X\24t\3\211u\3743\3009u\374\17\224\300P\350\250\366\377\3779u\374u\1595\4\331B\0u\5\350r\366\377\377\2115\4\331B\0\377u\24\213E\14\377", ) == 0x0
 01138   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\20\0U\213\354\203\354,\241\250AC\03\3119\15\254AC\0\307E\3400\360\0\0\211M\374\17\216\254\0\0\0SV\2135l\222@\0W\215x\10\213E\14\213\4\210\205\300tz\213\27j\10\211E\330X\213\312#\310\213\332\203\343 \321\341\13\313\366\306\1\211E\324\211M\334t\24\215G\20\307E\324\11\0\0\0\211E\344\200g\1\376\213M\334\366\302@t\5j\3X\353\16\213\302\203\340\1@\366\302\20t\3\203\300\3\377u\330\301\340\14\13\3103\300\205\333\17\225\300\211M\334@Ph\2\21\0\0\377u\10\377\326\215E\324Pj\0h\15\21\0\0\377u\10\377\326\213M\374A\201\307\30\4\0\0;\15\254AC\0\211M\374\17\214c\377\377\377_^[\311\302\10\0U\213\354\203\354\20\377\25\310\221@\0\17\277\310\301\350\20\17\277\300\211E\364\215E\360P\377u\10\211M\360\377\25\304\221@\0\215E\360Pj\0h\21\21\0\0\377u\10\377\25l\222@\0\212E\370$f\366\330\33\300#E\374\311\302\4\0U\213\354\203\354(\201}\14\2\1\0\0VWu\33\203}\20 \17\205\255\0\0\0h\23\4\0\0\350a\365\377\3773\300\351\265\0\0\0\203\317\377\203}\14\2u\6\211=8\320@\0\201}\14\0\2\0\0\276\31\4\0\0u?\377u\10\377\25\320\221@\0\205\300tr\377u\10\350V\377\377\377\205\300\211E\334t\36\215E\330Pj\0h\14\21\0\0\377u\10\307E\330\4\0\0\0\377\25l\222@\0\213}\374\211u\14\353\3\213}\249u\14u;9=8\320@\0t3S\276\0PC\0V\273\30\345B\0S\211=8\320@\0\350Q\26\0\0WV\350\250\25\0\0j\6\350\352\312\377\377SV\350<\26\0\0[\353\3\213}\24W\377u\20\377u\14\377", ) , ) == 0x0
 01139   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "@\0_^\311\302\20\0U\213\354\203\354TSV\2135L\222@\0Wh\371\3\0\0\377u\10\377\326h\10\4\0\0\377u\10\211E\370\377\326\2135l\222@\0\211E\374\241\250AC\0\211E\350\241\210AC\0\5\224\0\0\03\333\201}\14\20\1\0\0j\20\211E\344_\17\205\32\2\0\0\213E\10\243\354AC\0\241\254AC\0\301\340\2P\211]\340\307E\354\2\0\0\0\350\261\22\0\0jn\3775\204AC\0\243\20\335B\0\377\25\324\221@\0h!I@\0j\374\377u\374\211E\360\377\25P\222@\0Sj\6j!WW\243\0\331B\0\377\254\220@\0h\377\0\377\0\377u\360\243\14\335B\0P\377\25,\220@\0\3775\14\335B\0j\2h\11\21\0\0\377u\374\377\326SSh\34\21\0\0\377u\374\377\326;\307}\14SWh\33\21\0\0\377u\374\377\326\377u\360\377\25@\220@\03\377\213E\344\213\4\270;\303t'\203\377 t\3\211]\354PS\350\233\33\0\0PShC\1\0\0\377u\370\377\326WPhQ\1\0\0\377u\370\377\326G\203\377!|\311\213E\354\213}\24\377t\2070j\25\377u\10\350\351\362\377\377\213E\354\377t\2074j\26\377u\10\350\330\362\377\3773\3779\35\254AC\0\211]\364\17\216\274\0\0\0\213E\350\203\300\10\211E\360\273\0\21\0\0\213U\360\215B\20\2008\0\17\204\204\0\0\0\213M\364\211E\304\213\2j \211M\254Y\213\320#\321\250\2\307E\260\2\0\377\377\307E\264\15\0\0\0\211M\300\211}\330\211U\274t&\215E\254Pj\0S\377u\374\307E\264M\0\0\0\307E\324\1\0\0\0\377\326\211E\364\307E\340\1\0\0\0\353(\213E\360\366\0\4t\24\377u\364j\3h\12\21\0\0\377u", ) , ) == 0x0
 01140   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "j\0S\377u\374\377\326\213\15\20\335B\0\211\4\271\201E\360\30\4\0\0G;=\254AC\0\17\214Y\377\377\3773\3339]\340u\32j\360\377u\374\377\25\254\221@\0\203\340\373Pj\360\377u\374\377\25P\222@\0Sj\6h\25\1\0\0\377u\374\377\3269]\354u\30j\5\377u\370\377\254\222@\0\377u\370\350%\362\377\377\351\216\3\0\0\377u\374\350\30\362\377\377\201}\14\5\4\0\0u\223\377G\211]\20\211}\24\307E\14\17\4\0\0\353\3\213}\24\203}\14N\270\23\4\0\0t\119E\14\17\205\376\0\0\09E\14t\15\201\177\4\10\4\0\0\17\205\354\0\0\0\366\5\345AC\0\2\17\205\235\0\0\09E\14t\24\203\177\10\376\17\205\216\0\0\0\377u\374\350\365\373\377\377\353\15Sj\11h\12\21\0\0\377u\374\377\326;\303\211E\274tp\215E\270PSh\14\21\0\0\377u\374\307E\270\4\0\0\0\377\326\205\300tV\213E\334\213M\350i\300\30\4\0\0\215L\10\10\213\1\250\20u@\250@t\235\200\0\0\0\204\300y\5\203\310\1\353\10\203\340\376\353\3\203\360\1\211\1\377u\334\3503\304\377\377\241\344AC\03\311\301\350\10A\367\320#\301\211M\20\211E\24\307E\14\17\4\0\0;\373t>\201\177\10n\376\377\377u\16\377w\Sh\31\4\0\0\377u\374\377\326\201\177\10j\376\377\377u\36\213G\\213M\350i\300\30\4\0\0\203\177\14\2\215D\10\10u\5\203\10 \353\3\203 \337\201}\14\21\1\0\0urf\201}\20\371\3\17\205A\2\0\0\213E\20\301\350\20f=\1\0\17\2051\2\0\0SShG\1\0\0\377u\370\377\326\203\370\377\17\204\34\2\0\0SPhP\1\0\0\377u\370\377\326\213\370\203\377\377t", ) , ) == 0x0
 01141   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "W\350\242\304\377\377WSh \4\0\0\377u\10\377\326\307E\20\1\0\0\0\211]\24\307E\14\17\4\0\0\201}\14\0\2\0\0u\14SSh\0\2\0\0\377u\374\377\326\201}\14\13\4\0\0u2\241\14\335B\0;\303t\7P\377\250\220@\0\241\20\335B\0;\303t\7P\377\25@\221@\0\211\35\14\335B\0\211\35\20\335B\0\211\35\354AC\0\201}\14\17\4\0\0\17\205@\1\0\0\350\31\304\377\3779]\20t\7j\10\3508\306\377\3779]\24t?\3775\20\335B\0\350R\304\377\377\213\370W\350\377\303\377\3773\3003\311;\373~\16\213U\3449\34\202t\1A@;\307|\362SQhN\1\0\0\377u\370\377\326\211}\24\307E\14 \4\0\0\350\304\303\377\3779\35\254AC\0\241\20\335B\0\213=\250AC\0\211E\340\307E\3040\360\0\0\211]\354\17\216\245\0\0\0\203\307\10\213E\340\213M\354\213\4\210;\303t}\213\27j\10\211E\274X\213\312#\310\211U\350\203e\350 \321\341\13M\350\366\306\1\211E\270\211M\300t\24\215G\20\307E\270\11\0\0\0\211E\310\200g\1\376\213M\300\366\302@t\5j\3X\353\16\213\302\203\340\1@\366\302\20t\3\203\300\3\377u\274\301\340\14\13\3103\3009]\350\211M\300\17\225\300@Ph\2\21\0\0\377u\374\377\326\215E\270PSh\15\21\0\0\377u\374\377\326\377E\354\213E\354\201\307\30\4\0\0;\5\254AC\0\17\214^\377\377\377\241h9C\09X\20t\23j\5\350\374\364\377\377j\373h\377\3\0\0\350Y\364\377\377\201}\14 \4\0\0u5\366\5\345AC\0\1t,\21354\222@\03\300\203}\24 \17\224\300\301\340\3\213\370W\377u\374\377\326Wh\376\3\0\0\377u", ) , ) == 0x0
 01142   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\24\213E\14\377u\20\350\266\356\377\377_^[\311\302\20\0U\213\354\203\3540\241L9C\0W3\377;\307\211E\370\17\204\272\0\0\0S\213\35<\320@\0\211]\374\203e\374\1V\276\30\335B\0u\11\377u\10V\350l\26\0\0V\350\327\17\0\09}\14\211E\10t\34\377u\14\350\307\17\0\0\3E\10=\0\10\0\0sy\377u\14V\377\25\244\220@\0\366\303\4t\15V\3775X9C\0\377\25\220\221@\0\366\303\2tIWWh\4\20\0\0\377u\370\211u\344\2135l\222@\0\307E\320\1\0\0\0\377\326+E\374\367\323\211E\324\215E\320PW\203\343\1\201\313\6\20\0\0S\377u\370\211}\330\377\326W\377u\324h\23\20\0\0\377u\370\377\3269}\374t\12\213E\10\306\200\30\335B\0\0^[_\311\302\10\0V\2135\250AC\0W\213=\254AC\0j\0\377\25\240\222@\0\11\50BC\0\205\377tQ\203\306\30O\366F\360\1u\30\366\5\345AC\0\4u\17Vh\20\234@\0\350H\20\0\0YY\353\35Vh\0\234@\0\3509\20\0\0YY\377t$\14\377v\364\350\241\302\377\377\205\300u\14\201\306\30\4\0\0\205\377u\272\353\6\377\5\14BC\0h\4\4\0\0\350A\355\377\377\377\25\234\222@\0\241\14BC\0_^\302\4\0U\213\354\203\354, ) , ) == 0x0
 01143   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\211E\374\350\210\354\377\377j\4\350\241\362\377\377h\0\244C\0j\375S\243d9C\0\211\35l9C\0\350\220\24\0\0Ph(\234@\0\350?\17\0\0\203\304\14\215E\354P\377u\374\377\25t\222@\0j\25\377\25\370\221@\0\213M\364\2135l\222@\0+\310\215E\314PSh\33\20\0\0\377u\374\211M\324\377\326\270\0@\0\0PPh6\20\0\0\377u\374\377\3269]\14|\34\377u\14Sh\1\20\0\0\377u\374\377\326\377u\14Sh&\20\0\0\377u\374\377\3269]\20|\16\377u\20Sh$\20\0\0\377u\374\377\326\213E\24\377p0j\33\377u\10\350{\353\377\377\366\5\344AC\0\3t)S\3775`9C\0\377\254\222@\0\366\5\344AC\0\2u\15j\10\377u\374\377\254\222@\0\353\6\211\35`9C\0h\354\3\0\0\377u\10\377\327h\0\00uS\213\370h\1\4\0\0W\377\326\366\5\344AC\0\4\17\204\357\1\0\0\377u\20Sh\11\4\0\0W\377\326\377u\14Sh\1 \0\0W\377\326\351\322\1\0\0\201}\14\5\4\0\0u(\215E\10PSh\354\3\0\0\377u\10\377\25L\222@\0Ph\353P@\0SS\377\25\370\220@\0P\377\25\204\220@\0\201}\14\21\1\0\0\213=4\222@\0u\33f\201}\20\3\4u5S\3775`9C\0\377\327j\10V\377\327\350\314\352\377\377\201}\14\4\4\0\0uU9\35T9C\0t&jx\307\5 \365B\0\2\0\0\0\350a\352\377\377\377u\24\213E\14\377u\20\350\5\353\377\377_^[\311\302\20\0j\10\3775\200AC\0\377\3279\35\14BC\0u\16\241\34\365B\0S\377p4\350/\374\377\377j\1\350%\352\377\377\203}\14{u\2769u\20", ) , ) == 0x0
 01144   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "l\222@\0;\303\211E\10\17\216\365\0\0\0\377\25\364\221@\0j\341S\213\370\350\230\22\0\0Pj\1SW\377\25\360\221@\0\213E\24\203\370\377u\23\215E\354PV\377\25\354\221@\0\213M\354\213E\360\353\11\17\277\310\301\350\20\17\277\300SVSPQh\200\1\0\0W\377\25\350\221@\03\377G;\307\17\205\232\0\0\0\213u\10\211]\314\307E\330\30\345B\0\307E\334\377\17\0\0\215E\304PNVh-\20\0\0\377u\374\377\25l\222@\0;\363\215|\7\2u\344S\377\25\344\221@\0\377\25\340\221@\0WjB\377\25\364\220@\0P\211E\14\377\25\360\220@\0\213\360\215E\304PSh-\20\0\0\377u\374\211u\330\211}\334\377\25l\222@\0V\350M\13\0\0\3\360f\307\6\15\12FFC;]\10|\322\377u\14\377\25\354\220@\0\377u\14j\1\377\25\334\221@\0\377\25\330\221@\03\300\351\262\376\377\377\203\354\20SU\213l$ \271\20\1\0\0;\351VW\17\204t\1\0\0\201\375\10\4\0\0\17\204h\1\0\0\203\375G\213\$$u\25j\233\300PPPPS\3775\24\335B\0\377\25\10\222@\0\203\375\5u\30\213D$,H\367\330\33\300#\305P\3775\24\335B\0\377\254\222@\0\201\375\15\4\0\0u\32\3775H9C\0\377\25\230\221@\0\213D$,\243H9C\0\351\21\4\0\0\203\375\21u\23j\0j\0S\377\25P\222@\03\300@\351 \4\0\0\203\375\20u3\241\244AC\0H9\5 \320@\0\17\205\310\0\0\0\3775\10\335B\0\377\25\4\222@\0\205\300\17\205\264\0\0\0\275\21\1\0\0\307D$,\1\0\0\0\201\375\21\1\0\0\17\205\233\0\0\0\17\267t$,VS\377\25L\222@", ) , ) == 0x0
 01145   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\33j\0j\0h\363\0\0\0W\377\323W\377\25\4\222@\0\205\300\17\204\246\3\0\03\377G;\367u\3W\353A\203\376\3u\15\203= \320@\0\0~:j\377\353/\203\376\2u1\203=\14BC\0\0t\16V\350}\276\377\377\2115 \365B\0\353\21j\3\350n\276\377\377\205\300u$\211= \365B\0jx\350\244\347\377\377\353\25\377t$0\377t$0h\21\1\0\0\3775H9C\0\377\323\377t$0\213\305\377t$0\3500\350\377\377\351-\3\0\0;\351\213D$,\213\$$\243\374\330B\0uM\2135L\222@\0j\1S\211\35\200AC\0\377\326j\2S\243\30\365B\0\377\326j\377j\34S\243\10\335B\0\350e\347\377\377\3775P9C\0j\362S\377\25\0\222@\0j\4\350\341\275\377\377\243T9C\03\300@\243\374\330B\0\213\15 \320@\0\213\361\301\346\6\35\240AC\03\377;\317|>\203\370\1u1W\377v\20\350\315\274\377\377\205\300t$j\1Wh\17\4\0\0\3775H9C\0\377\25l\222@\03\3009=T9C\0\17\224\300\351\202\2\0\09>\17\204x\2\0\0h\13\4\0\0\350S\347\377\377\241\374\330B\0\1\5 \320@\0\301\340\6\3\360\241 \320@\0;\5\244AC\0u\7j\1\350Q\275\377\377\203=T9C\0\0\17\205\370\1\0\0\241\244AC\09\5 \320@\0\17\203\347\1\0\0\377v$\213~\24h\0\300C\0\350\21\17\0\0\377v h\31\374\377\377S\350\203\346\377\377\377v\34h\33\374\377\377S\350u\346\377\377\377v(h\32\374\377\377S\350g\346\377\377j\3S\377\25L\222@\0\203=\14BC\0\0\213\350t\11\201\347\375\376\377\377\203\317\4\213\307\203\340\10PU", ) , ) == 0x0
 01146   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0PU\377\25\\222@\0\213\307\203\340\2P\350i\346\377\377\203\347\4W\3775\10\335B\0\377\25\\222@\0j\13\377Wh\364\0\0\0U\213-l\222@\0\377\3259=\14BC\0t\23Wj\2h\1\4\0\0S\377\325\3775\10\335B\0\353\6\3775\30\365B\0\3503\346\377\377h\2009C\0\275\30\345B\0U\350\265\7\0\0\377v\30U\350\262\7\0\0\3\305P\3509\16\0\0US\377\25\220\221@\0W\377v\10\350X\273\377\377\205\300\17\205\275\376\377\3779\6\17\204\265\376\377\377\203~\4\5u\359\5\14BC\0\17\205\21\1\0\09\5\0BC\0\17\205\227\376\377\377\351\0\1\0\0\3775H9C\0\377\25\230\221@\0\203>\0\2115\34\365B\0\17\216\300\0\0\0\213F\4V\3774\205$\320@\0f\213\6f\3\5\9C\0S\17\267\300P\3775\204AC\0\377\25\234\221@\0\205\300\243H9C\0\17\204\215\0\0\0\377v,j\6P\350\34\345\377\377\215D$\20Ph\372\3\0\0S\377\25L\222@\0P\377\25\354\221@\0\215D$\20PS\377\25\304\221@\0j\253\377WW\377t$ \377t$ W\3775H9C\0\377\25\10\222@\0W\377v\14\350\204\272\377\377j\10\3775H9C\0\377\254\222@\0h\5\4\0\0\350,\345\377\377\353 \3775H9C\0\377\25\230\221@\0\3775 \365B\0\203%\200AC\0\0S\377\25\374\221@\0\203=(\365B\0\0u\34\203=H9C\0\0t\23j\12S\377\254\222@\0\307\5(\365B\0\1\0\0\03\300_^][\203\304\20\302\20\0\241\344AC\0\203\354\24SUV\2135\210AC\0\203\340 W\243\0BC\0\350\277\345\377\377\275\0\244C\0U\350", ) , ) == 0x0
 01147   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\213NH;\313ty\241\270AC\0\213VL\277 -C\0W\3\320R\3\310Q\377vD\350\226\4\0\0\240 -C\0:\303tT<"u\17j"\277!-C\0W\350\377\2\0\0\210\30W\350\341\5\0\0\215D8\374;\307v&hD\234@\0P\377\25\200\220@\0\205\300u\26W\377\25\214\220@\0\203\370\377t\4\250\20u\6W\350\267\7\0\0W\350P\7\0\0PU\350\240\5\0\0U\350\312\7\0\0\205\300u\14\377\266\30\1\0\0U\350\37\14\0\03\355E\366\5\344AC\0\20t\239\35\340AC\0u\13\350\273\344\377\377\211-\4\35C\0h@\200\0\0SSUjg\3775\204AC\0\377\25T\222@\0\243P9C\0\203~P\377\277 9C\0\17\204\211\0\0\0\213\15\204AC\0\24349C\0\215D$\20W\307D$\24_Nb\0\307\5$9C\0\0\20@\0\211\1509C\0\243D9C\0\377\25\34\222@\0f\205\300\17\204#\1\0\0S\215D$\30PSj0\377\25\30\222@\0\213D$ +D$\30S\3775\204AC\0SSP\213D$0+D$(P\377t$0\215D$,\377t$0h\0\0\0\200SPh\200\0\0\0\377\25\24\222@\0\243\24\335B\0S\350Y\271\377\377\205\300t\10j\2X\351\306\0\0\0\350+\344\377\3779\35 BC\0\17\205\213\0\0\0j\5\3775\24\335B\0\377\254\222@\0\2135\304\220@\0\275L\320@\0U\377\326\205\300u\14Uf\307\5R\320@\032\377\326\213-\20\222@\0W\276@\320@\0VS\377\325\205\300u\37WVS\210\35H\320@\0\377\325W\2115D9C\0\306\5H\320@\02\377\25\34\222@\0\241\9C\0Sh\13", ) u\17j (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\213NH;\313ty\241\270AC\0\213VL\277 -C\0W\3\320R\3\310Q\377vD\350\226\4\0\0\240 -C\0:\303tT<"u\17j"\277!-C\0W\350\377\2\0\0\210\30W\350\341\5\0\0\215D8\374;\307v&hD\234@\0P\377\25\200\220@\0\205\300u\26W\377\25\214\220@\0\203\370\377t\4\250\20u\6W\350\267\7\0\0W\350P\7\0\0PU\350\240\5\0\0U\350\312\7\0\0\205\300u\14\377\266\30\1\0\0U\350\37\14\0\03\355E\366\5\344AC\0\20t\239\35\340AC\0u\13\350\273\344\377\377\211-\4\35C\0h@\200\0\0SSUjg\3775\204AC\0\377\25T\222@\0\243P9C\0\203~P\377\277 9C\0\17\204\211\0\0\0\213\15\204AC\0\24349C\0\215D$\20W\307D$\24_Nb\0\307\5$9C\0\0\20@\0\211\1509C\0\243D9C\0\377\25\34\222@\0f\205\300\17\204#\1\0\0S\215D$\30PSj0\377\25\30\222@\0\213D$ +D$\30S\3775\204AC\0SSP\213D$0+D$(P\377t$0\215D$,\377t$0h\0\0\0\200SPh\200\0\0\0\377\25\24\222@\0\243\24\335B\0S\350Y\271\377\377\205\300t\10j\2X\351\306\0\0\0\350+\344\377\3779\35 BC\0\17\205\213\0\0\0j\5\3775\24\335B\0\377\254\222@\0\2135\304\220@\0\275L\320@\0U\377\326\205\300u\14Uf\307\5R\320@\032\377\326\213-\20\222@\0W\276@\320@\0VS\377\325\205\300u\37WVS\210\35H\320@\0\377\325W\2115D9C\0\306\5H\320@\02\377\25\34\222@\0\241\9C\0Sh\13", ) , ) == 0x0
 01148   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "5\204AC\0\377\25\14\222@\0j\5\213\360\350\265\270\377\377\213\306\353*S\350\315\364\377\377\205\300t\309\35T9C\0\17\205F\377\377\377j\2\350\224\270\377\377\351:\377\377\377U\350\211\270\377\3773\300_^][\203\304\24\303U\213\354Q\215E\374P\377\25x\221@\0\213E\374\205\300t\22\377u\10\213\10P\377Q\24\213E\374\213\10P\377Q\10\311\302\4\0U\213\354\203\354\20\377u\14\307\50\365B\0D\0\0\0\377\25\214\220@\03\311\203\370\377t\4\250\20u\3\211M\14\215E\360Ph0\365B\0\377u\14QQQQQ\377u\10Q\377\25\374\220@\0\205\300t\14\377u\364\377\25\204\220@\0\213E\360\311\302\10\0\377% \222@\0h\0\4\0\0\377t$\14\377t$\14\3775H9C\0\377\25$\222@\0\302\10\0\213D$\10\213\310\201\341\377\377\37\0\203= BC\0\0t\5\301\350\25u%\203=(BC\0\0t\6\201\361\0\0\30\0Qh\2009C\0\377t$\14\3775\200AC\0\377\25(\222@\0\302\10\0\377t$\4j@\377\25\364\220@\0\302\4\0\213D$\4\353\15:L$\10t\15P\377\25\244\221@\0\212\10\204\311u\355\302\10\0\213L$\4\212\1\14 f\2019\\t\22, ) , ) == 0x0
 01149   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\374\210\340t\32V\377\25\244\221@\0\213\360V\377\327;E\374}\3213\300_^[\311\302\10\0\213\306\353\365\213L$\4V\213t$\20\205\366~\17\213D$\14+\301\212\24\10\210\21ANu\367^\302\14\0\377t$\4\377\25\214\220@\0\213\310Aj\0\367\331\33\311#\310Q\377t$\24j\0j\1\377t$\34\377t$\34\377\25\4\221@\0\302\14\0U\213\354V\213u\10Wjd_O\307E\10nsa\0\377\25\264\220@\0j\32Y3\322\367\361Vj\0\215E\10P\377u\14\0U\12\377\25\10\221@\0\205\300u\15\205\377u\320\306\6\0_^]\302\10\0\213\306\353\366U\213\354SV\213u\24\215E\14Ph\31\0\2\03\333S\377u\14\210\36\377u\10\377\25\10\220@\0\205\300u>\215E\10PV\215E\24PS\377u\20\307E\10\0\4\0\0\377u\14\377\25\34\220@\0\205\300u\14\203}\24\1t\10\203}\24\2t\2\210\36\377u\14\210\236\377\3\0\0\377\25 \220@\0^[]\302\20\0U\213\354QQVW\215E\370P3\366\215E\374PVh?\0\17\0VVV\377u\14\211u\374\377u\10\211u\370\377\25\24\220@\0\213\370;\376u!\377u\34\377u\30\377u\24V\377u\20\377u\374\377\25\30\220@\0\377u\374\213\370\377\25 \220@\0\213\307_^\311\302\30\0\377t$\10hP\234@\0\377t$\14\377\25<\222@\0\203\304\14\302\10\0U\213\354Q\213M\10SVW3\377\2009-\307E\374\1\0\0\0\260\12\2639u\5A\203M\374\377\20090u\34A\212\21\200\3720|\11\200\3727\177\4\260\10\2637\200\342\337\200\372Xu\3\260\20A\17\276\21A\203\3720|\14\17\276\363;\326\177\5\203\3520\353\31<\20u!", ) , ) == 0x0
 01150   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "F\177\22\203\342\7\203\302\11\17\276\360\17\257\367\3\362\213\376\353\306\213E\374\17\257\307_^[\311\302\4\0\377%\340\220@\0\377%\0\221@\0SU\213-\244\221@\0V\213t$\20W\353\5V\377\325\213\360\200> t\366\200>\u\25\200~\1\u\17\200~\2?u\11\200~\3\u\3\203\306\4\200>\0t\14V\350\355\374\377\377\205\300t\2FF\213\336\213\3763\300\353+<\37v"PhT\234@\0\350\264\374\377\377\2008\0u\22V\377\325+\306PVW\350\210\375\377\377W\377\325\213\370V\377\325\213\360\212\6\204\300u\317\210\7WS\377\258\222@\0\213\370\212\7< t\4<\u\7;\337\306\7\0r\345_^]\213\303[\302\4\0U\213\354S3\3339]\10t\32\241\\320@\0\203\370\377t\7P\377\25\204\220@\0\203\15\\320@\0\377\353u9\35\4\35C\0tm8\35 5C\0t/\203=\\320@\0\377u/j\4h\0\0\0@h 5C\0\350#\375\377\377\203\370\377\243\\320@\0tAj\2SSP\377\25X\221@\0\203=\\320@\0\377t-Vh`\234@\0\276 \35C\0V\377\25\244\220@\0S\215E\10PV\377\25\0\221@\0PV\3775\\320@\0\377\25P\221@\0^[]\302\4\0\215D$\10P\377t$\10h \35C\0\377\25,\222@\0j\0\350F\377\377\377\303SV\2135l\220@\0Wh\1\200\0\0\377\326\277x\375B\0W\377t$\24\377\25d\221@\0j\0\213\330\377\326\203\373\377t\13S\377\25\\221@\0\213\307\353\23\300_^[\302\4\0V\213t$\10V\377\25\0\221@\0\3\306PV\377\258\222@\0\2008\t\14h\200\225@\0V\377\25\244\220@\0\213\306", ) PhT\234@\0\350\264\374\377\377\2008\0u\22V\377\325+\306PVW\350\210\375\377\377W\377\325\213\370V\377\325\213\360\212\6\204\300u\317\210\7WS\377\258\222@\0\213\370\212\7< t\4<\u\7;\337\306\7\0r\345_^]\213\303[\302\4\0U\213\354S3\3339]\10t\32\241\\320@\0\203\370\377t\7P\377\25\204\220@\0\203\15\\320@\0\377\353u9\35\4\35C\0tm8\35 5C\0t/\203=\\320@\0\377u/j\4h\0\0\0@h 5C\0\350#\375\377\377\203\370\377\243\\320@\0tAj\2SSP\377\25X\221@\0\203=\\320@\0\377t-Vh`\234@\0\276 \35C\0V\377\25\244\220@\0S\215E\10PV\377\25\0\221@\0PV\3775\\320@\0\377\25P\221@\0^[]\302\4\0\215D$\10P\377t$\10h \35C\0\377\25,\222@\0j\0\350F\377\377\377\303SV\2135l\220@\0Wh\1\200\0\0\377\326\277x\375B\0W\377t$\24\377\25d\221@\0j\0\213\330\377\326\203\373\377t\13S\377\25\\221@\0\213\307\353\23\300_^[\302\4\0V\213t$\10V\377\25\0\221@\0\3\306PV\377\258\222@\0\2008\t\14h\200\225@\0V\377\25\244\220@\0\213\306", ) == 0x0
 01151   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\25\0\221@\0\21358\222@\0\3\307PW\377\326\205\377t\22;\307v\16\212\10:L$\20t\6PW\377\326\353\356_^\302\10\0V\213t$\10V\377\25\0\221@\0\3\306\2008\t\14PV\377\258\222@\0;\306w\357\306\0\0^\302\4\0V\377t$\10\276x\365B\0V\377\25\340\220@\0V\350\30\373\377\377\205\300u\43\300\353W\366\5\344AC\0\200t\13\212\10\204\311t\355\200\371\t\350S\213\35\0\221@\0W\213\370+\376\353\25V\350\364\376\377\377\205\300t\5\366\0\20t*V\350\204\377\377\377V\377\323;\307\177\344V\350\26\377\377\377V\377\25\214\220@\03\311\203\370\377\17\225\301\213\301_[^\302\4\03\300\353\366UVW\213|$\20W\350\244\372\377\377\213\3603\355\205\366t4Sj\V\350P\372\377\377\213\360\212\36W\306\6\0\350\222\376\377\377\205\300u\14PW\377\25\300\220@\0\205\300\353\3\366\0\20u\1E\210\36F\204\333u\316[_3\300\205\355^\17\224\300]\302\4\0\201\354(\10\0\0\203$$\0SUWh\360\233@\0\377\25h\220@\0\213\254$<\10\0\0\213\274$8\10\0\0;\357\213\330\17\204U\3\0\0WU\377\25\200\220@\0\205\300\17\204E\3\0\0V\2135\0\221@\0W\377\326\200|8\377\u\10\307D$\20\1\0\0\0\205\355t\22U\377\326\200|(\377\u\10\307D$\20\1\0\0\0\205\333t\36h\254\235@\0S\377\258\221@\0\205\300t\16j\5UW\377\320\205\300\17\205\355\2\0\0\273\0\4\0\0S\276\270\6C\0VW\307\5x\371B\0NUL\0\377\25\230\220@\0\205\300\17\204\316\2\0\0;\303\17\217\306\2\0\0\213=<\222@\0V\273x\371B\0Sh\244\235", ) , ) == 0x0
 01152   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\205\355\211D$\24t4j\1j\0U\3502\372\377\377P\377\25\204\220@\0\277\0\4\0\0WSU\377\25\230\220@\0\205\300\17\204{\2\0\0;\307\17\217s\2\0\0\351\343\0\0\0h\240\235@\0S\377\25\340\220@\0\203|$\20\0\17\204\314\0\0\0j\4hL\234@\0j\4h\230\235@\0hd\235@\0h\2\0\0\200\350\265\372\377\377\205\300\17\205\224\0\0\0h\4\1\0\0\215\204$<\4\0\0Pj\0\377\25\274\220@\0\213-\0\221@\0\213\336VK\377\325\200<\30\u\7V\377\325\306\4\30\0\241\270\12C\0\377\5\270\12C\0P\215\204$<\4\0\0P\215D$,hX\235@\0P\377\327V\215D$Lh@\235@\0P\377\327\203\304\34\215D$8P\377\325@P\215D$, ) , ) == 0x0
 01153   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\25\364\220@\0\213\350\205\355t>h\270\376B\0U\377\25\340\220@\0\213D$\24\3\305\3\367;\336s\10\212\13\210\10@C\353\364+\305PU\377t$(\350\354\367\377\377+\337\3\$\24U\213\363\377\25@\221@\0\353,W\377\25\20\221@\0\377t$\20\2135\204\220@\0\377\326\377t$\30\377\326\353FUh\270\376B\0\215\47P\350\261\367\377\377\213\363W\377\25\20\221@\0\377t$\20\377\25\204\220@\0\213|$\303\311QQVW\377\25X\221@\0W\377\25\14\221@\0W\377\25\204\220@\0\377\5\20BC\0^_][\201\304(\10\0\0\302\10\0\203\354\24U\213l$ \205\355V}\21\213\15h9C\0\215\4\255\4\0\0\0+\310\213)\241\270AC\0\213L$ \3\350\270 -C\0+\310\201\371\0\10\0\0\213\360s\11\213t$ \203d$ \0\212U\0\204\322\17\204\277\1\0\0SW\213\316+\310\201\371\0\4\0\0\17\215\253\1\0\0E\200\372\374\17\206\203\1\0\0\17\276E\1\17\276M\0\213\370\203\347\177\213\331\203\343\177\301\347\7\13\373\273\0\200\0\0\211L$\24\13\313\211D$\34\13\303EE\200\372\376\211L$\30\211D$ \17\205\362\0\0\03\377\203|$\34\4\211|$,\306\6\0u\13j\2\307D$0\30\236@\0_\213\$\24\203\373+u\25Vh\10\236@\0h\334\235@\0h\2\0\0\200\350&\367\377\377\203\373&u&Vh\314\235@\0h\334\235@\0h\2\0\0\200\350\14\367\377\377\200>\0u}h\270\235@\0V\377\25\340\220@\0\203\373%u\14h\0\4\0\0V\377\25\34\221@\0\203\373$u\14h\0\4\0\0V\377\25\330\220@\0\200>\0uJ\203=\4BC\0\0j\4_u\5j", ) , ) == 0x0
 01154   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\24O\3775\200AC\0\377\25|\221@\0\205\300u\34V\377t$\24\377\25\204\221@\0\377t$\20\213\330\350"\364\377\377\205\333u\11\353\3\306\6\0\205\377u\303\200>\0tF\203|$,\0t?\377t$,V\377\25\244\220@\0\3532\200\372\375u>\203\377\33u\16\3775\200AC\0V\350\34\367\377\377\353\22\213\307\301\340\12\5\0PC\0PV\377\25\340\220@\0\203\307\353\203\377\6s\6V\350\250\367\377\377V\377\25\0\221@\0\3\360\353!\200\372\377u\34\203\310\377+\307PV\350\25\376\377\377\353\342u\11\212E\0\210\6FE\353\3\210\26F\212U\0\204\322\270 -C\0\17\205E\376\377\377_[\203|$ \0\306\6\0^]t\20h\0\4\0\0P\377t$ \377\25\320\220@\0\203\304\24\302\10\0U\213\354\201\354D\1\0\0S\213]\10S\350Y\371\377\377S\211E\374\350\213\370\377\377\205\300u\22Sh\30\237@\0\350`\370\377\377YY\351\332\1\0\0\213E\14\250\10t\27S\377\254\221@\0\367\330\33\300@\1\5\10BC\0\351\274\1\0\0\211E\10\203e\10\1Vt\22\203}\374\0\17\204\247\1\0\0\250\2\17\2046\1\0\0WS\276\270\2C\0V\377\25\340\220@\0\203}\10\0\213=\244\220@\0t\12h\20\237@\0V\377\327\353\6S\350\260\370\377\377h\200\225@\0S\377\327S\377\25\0\221@\0\213\370\215\205\274\376\377\377PV\3\373\377\25d\221@\0\213\360\203\376\377\17\204\325\0\0\0\200\275\350\376\377\377.u\32\200\275\351\376\377\377.\17\204\242\0\0\0\200\275\351\376\377\377\0\17\204\225\0\0\0\215\205\350\376\377\377PW\377\25\340\220@\0\366\205\274\376\377\377\20t\25\213E\14\203\340\3<\3ut\377u\14S\350\361\376\377", ) \364\377\377\205\333u\11\353\3\306\6\0\205\377u\303\200>\0tF\203|$,\0t?\377t$,V\377\25\244\220@\0\3532\200\372\375u>\203\377\33u\16\3775\200AC\0V\350\34\367\377\377\353\22\213\307\301\340\12\5\0PC\0PV\377\25\340\220@\0\203\307\353\203\377\6s\6V\350\250\367\377\377V\377\25\0\221@\0\3\360\353!\200\372\377u\34\203\310\377+\307PV\350\25\376\377\377\353\342u\11\212E\0\210\6FE\353\3\210\26F\212U\0\204\322\270 -C\0\17\205E\376\377\377_[\203|$ \0\306\6\0^]t\20h\0\4\0\0P\377t$ \377\25\320\220@\0\203\304\24\302\10\0U\213\354\201\354D\1\0\0S\213]\10S\350Y\371\377\377S\211E\374\350\213\370\377\377\205\300u\22Sh\30\237@\0\350`\370\377\377YY\351\332\1\0\0\213E\14\250\10t\27S\377\254\221@\0\367\330\33\300@\1\5\10BC\0\351\274\1\0\0\211E\10\203e\10\1Vt\22\203}\374\0\17\204\247\1\0\0\250\2\17\2046\1\0\0WS\276\270\2C\0V\377\25\340\220@\0\203}\10\0\213=\244\220@\0t\12h\20\237@\0V\377\327\353\6S\350\260\370\377\377h\200\225@\0S\377\327S\377\25\0\221@\0\213\370\215\205\274\376\377\377PV\3\373\377\25d\221@\0\213\360\203\376\377\17\204\325\0\0\0\200\275\350\376\377\377.u\32\200\275\351\376\377\377.\17\204\242\0\0\0\200\275\351\376\377\377\0\17\204\225\0\0\0\215\205\350\376\377\377PW\377\25\340\220@\0\366\205\274\376\377\377\20t\25\213E\14\203\340\3<\3ut\377u\14S\350\361\376\377", ) == 0x0
 01155   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377\377\213\205\274\376\377\377YY\203\340\376PS\377\25\254\220@\0S\377\254\221@\0\205\300Su8\366E\14\4t\36h\320\236@\0\350@\367\377\377YYSj\361\350\330\345\377\377j\0S\350\343\370\377\377\353\33h\260\236@\0\350"\367\377\377\377\5\10BC\0YY\353\7j\362\350\263\345\377\377\215\205\274\376\377\377PV\377\25`\221@\0\205\300\17\2052\377\377\377V\377\25\\221@\0\203}\10\0t\4\306G\377\0_3\3669u\374tb9u\10t]S\3501\367\377\377Sh\220\236@\0\350\314\366\377\377YYS\377\25 \221@\0\205\300Su7\366E\14\4t\35hh\236@\0\350\256\366\377\377YYSj\361\350F\345\377\377VS\350R\370\377\377\353\33hD\236@\0\350\221\366\377\377\377\5\10BC\0YY\353\7j\345\350"\345\377\377^[\311\302\10\0SW\213\276\264\233\0\0\213\236\270\233\0\0;\373v\6\213\236\260\233\0\0\213F\14+\337;\330r\2\213\330SW\377v\10+\303\211F\14\350\373\362\377\377\1^\10\213\206\260\233\0\0\3\373;\370u\269\206\270\233\0\0\215\276\260\33\0\0u\271\211\276\270\233\0\0\353\261\211\276\264\233\0\0_[\303U\215l$\250\201\354\360\0\0\0VWj\20\213\360Y3\300\215}\344\363\253\213}d\213M`\213\327\213\1\215D\205\344\377\0\203\301\4Ju\3629}\344u\20\213Et\203 \0\203&\03\300\351\335\2\0\0\213\26j\173\377GX\211UT\213\317S3\3339\\215\344u\5A;\310v\363;\321\211MPs\3\211MT9\\205\344u\3Hu\3679ET\211E@v\3\211ET\213UT\211\26\323\347\353\15+|\215\344\17\210\211\2\0\0A\321\347;\310r\357\213\320\301\342\2\215", ) \367\377\377\377\5\10BC\0YY\353\7j\362\350\263\345\377\377\215\205\274\376\377\377PV\377\25`\221@\0\205\300\17\2052\377\377\377V\377\25\\221@\0\203}\10\0t\4\306G\377\0_3\3669u\374tb9u\10t]S\3501\367\377\377Sh\220\236@\0\350\314\366\377\377YYS\377\25 \221@\0\205\300Su7\366E\14\4t\35hh\236@\0\350\256\366\377\377YYSj\361\350F\345\377\377VS\350R\370\377\377\353\33hD\236@\0\350\221\366\377\377\377\5\10BC\0YY\353\7j\345\350 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377\377\213\205\274\376\377\377YY\203\340\376PS\377\25\254\220@\0S\377\254\221@\0\205\300Su8\366E\14\4t\36h\320\236@\0\350@\367\377\377YYSj\361\350\330\345\377\377j\0S\350\343\370\377\377\353\33h\260\236@\0\350"\367\377\377\377\5\10BC\0YY\353\7j\362\350\263\345\377\377\215\205\274\376\377\377PV\377\25`\221@\0\205\300\17\2052\377\377\377V\377\25\\221@\0\203}\10\0t\4\306G\377\0_3\3669u\374tb9u\10t]S\3501\367\377\377Sh\220\236@\0\350\314\366\377\377YYS\377\25 \221@\0\205\300Su7\366E\14\4t\35hh\236@\0\350\256\366\377\377YYSj\361\350F\345\377\377VS\350R\370\377\377\353\33hD\236@\0\350\221\366\377\377\377\5\10BC\0YY\353\7j\345\350"\345\377\377^[\311\302\10\0SW\213\276\264\233\0\0\213\236\270\233\0\0;\373v\6\213\236\260\233\0\0\213F\14+\337;\330r\2\213\330SW\377v\10+\303\211F\14\350\373\362\377\377\1^\10\213\206\260\233\0\0\3\373;\370u\269\206\270\233\0\0\215\276\260\33\0\0u\271\211\276\270\233\0\0\353\261\211\276\264\233\0\0_[\303U\215l$\250\201\354\360\0\0\0VWj\20\213\360Y3\300\215}\344\363\253\213}d\213M`\213\327\213\1\215D\205\344\377\0\203\301\4Ju\3629}\344u\20\213Et\203 \0\203&\03\300\351\335\2\0\0\213\26j\173\377GX\211UT\213\317S3\3339\\215\344u\5A;\310v\363;\321\211MPs\3\211MT9\\205\344u\3Hu\3679ET\211E@v\3\211ET\213UT\211\26\323\347\353\15+|\215\344\17\210\211\2\0\0A\321\347;\310r\357\213\320\301\342\2\215", ) , ) == 0x0
 01156   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "l\2\0\0\3\367\21113\311H\211]\250t\203\366\3L5\350\203\306\4H\211L5\250u\362\213]`3\366\213\3\203\303\4\205\300t\20\215D\205\244\213\10\2114\215\310\12C\0A\211\10F;udr\341\213D\25\244\213MP\203MH\377\211Ed\213ET3\333\367\330;M@\211]L\211]\244\307E8\310\12C\0\211\235h\377\377\377\211](\17\217\356\1\0\0\215Q\377\215L\215\344\211U0\211M4\213M4\2131\205\366\17\204\276\1\0\0\353\3\213u,\213MT\3\310N9MP\211u,\211M<\17\216\314\0\0\0F\211uD\213u@+u<\377EH;uTv\3\213uT\213MP+M<3\322B\323\342;UDv#\213]4\203\317\377+},\3\327;\316s\24\353\15\203\303\4\213;\321\342;\327v\7+\327A;\316r\356\213U|\213\223\366F\323\346\215<2\201\377\240\5\0\0\211u(\17\207`\1\0\0\213ux\215\34\226\213U|\213uH\211:\213UH\205\322\215\264\265h\377\377\377\211\36t.\213}L\213v\374\211|\225\244\212UT\210Ua\210M`\213\310\213\327\323\352\213\303+\306\301\370\2+\302f\211Eb\213E`\211\4\226\353\5\213Et\211\30\213M<\213\301\3MT9MP\211M<\17\217;\377\377\377\213}$\212MP\213u8*\310\210Ma\213Md\215\14\215\310\12C\0;\361r\6\306E`\300\353F\213\16;Mhs\34\201\371\0\1\0\0\17\222\301\376\311\203\341`\210M`f\213\16\203\306\4\211u8\353\37+Mh\213Up\213}$\321\341\212\24\21\200\302P\203E8\4\210U`\213Ulf\213\14\21f\211Mb\213MP\213UL3\366+\310F\323\346\213\310\323\352\353\10\213M`\211", ) , ) == 0x0
 01157   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\213uL3\322B\323\342\353\43\362\321\352\205\326u\3703\311A3\362\213\321\213\310\323\342\211uLJ#\326\213\312\213UH;L\225\244t\30+ET3\366F\213\310\323\346JN#uL;t\225\244u\353\211UH\203},\0\17\205D\376\377\377\377EP\203E4\4\213MP\377E0;M@\17\216\37\376\377\377\205\377t\13\203}@\1t\5\203\310\377\353\23\300[_^\203\305X\311\302 \0U\213\354\203\354@\213E\10\213\10S\215X\20\213@\4\211E\320\213\203\34\5\0\0\211E\304\213\203\30\5\0\0\211M\314\213\213\250\233\0\0\211E\310\213\203\244\233\0\0;\310VW\211M\324s\5+\301H\353\10\213\203\240\233\0\0+\301\211E\330\351\15\12\0\0\377$\205?y@\0\213u\310\353!3\3779}\320\17\204"\12\0\0\213E\314\17\266\0\377M\320\213\316\323\340\11E\304\377E\314\203\306\10\203\376\3r\332\213E\304\301m\304\3\203\340\7\213\310\200\341\1\203\356\3\366\331\211u\310\33\311\203\341\7\203\301\10\321\350\203\350\0\211\213\24\5\0\0\17\204,\1\0\0HtXHtJH\17\205\236\11\0\0\203\317\377\307\3\21\0\0\0\213E\304\213M\10\211\203\34\5\0\0\213E\310\211\203\30\5\0\0\213E\320\211A\4\213E\314\213u\10\211\6\213E\324\211\203\250\233\0\0\350y\373\377\377\213\307_^[\311\302\4\0\307\3\13\0\0\0\351P\11\0\0\200=L\34C\0\0\17\205\234\0\0\0\203e\374\0\276H\17C\0\213\306=\204\21C\0\261\10~\24=H\23C\0}\4\376\301\353\11=\250\23C\0}\2\261\7\17\276\311\211\10\203\300\4=\310\23C\0|\324\215E\374Ph\310\23C\0h\300\12C\0h\244\237@\0hd\237@\0h\1\1\0\0h", ) \12\0\0\213E\314\17\266\0\377M\320\213\316\323\340\11E\304\377E\314\203\306\10\203\376\3r\332\213E\304\301m\304\3\203\340\7\213\310\200\341\1\203\356\3\366\331\211u\310\33\311\203\341\7\203\301\10\321\350\203\350\0\211\213\24\5\0\0\17\204,\1\0\0HtXHtJH\17\205\236\11\0\0\203\317\377\307\3\21\0\0\0\213E\304\213M\10\211\203\34\5\0\0\213E\310\211\203\30\5\0\0\213E\320\211A\4\213E\314\213u\10\211\6\213E\324\211\203\250\233\0\0\350y\373\377\377\213\307_^[\311\302\4\0\307\3\13\0\0\0\351P\11\0\0\200=L\34C\0\0\17\205\234\0\0\0\203e\374\0\276H\17C\0\213\306=\204\21C\0\261\10~\24=H\23C\0}\4\376\301\353\11=\250\23C\0}\2\261\7\17\276\311\211\10\203\300\4=\310\23C\0|\324\215E\374Ph\310\23C\0h\300\12C\0h\244\237@\0hd\237@\0h\1\1\0\0h", ) == 0x0
 01158   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\373\377\377j\36Yj\5X\213\376\363\253\215E\374Ph\310\23C\0hH\34C\0h \240@\0h\344\237@\0j\0j\36V\270\210\320@\0\350#\373\377\377\306\5L\34C\0\1\240\204\320@\0\210C\20\240\210\320@\0\210C\21\241\300\12C\0\211C\24\241H\34C\0\211C\30\203#\0\351\177\10\0\0\213\316\203\341\7\323m\304+\361\211u\310\307\3\11\0\0\0\351g\10\0\0\213M\3103\377\203\371\20s\379}\320\17\204d\10\0\0\213E\314\17\266\0\377M\320\323\340\11E\304\377E\314\203\301\10\353\334\213E\304%\377\377\0\0;\307\211C\4\211}\310\211}\304\17\204\352\0\0\0j\12X\351\350\0\0\03\3779}\320\17\204*\10\0\09}\330\17\205\227\0\0\0\213\213\240\233\0\09M\324u'\213\203\244\233\0\0\215\223\240\33\0\0;\320t\27\211U\324s\10+\302H\211E\330\353\5+\312\211M\3309}\330ue\213E\324\213u\10\211\203\250\233\0\0\350\333\371\377\377\213\263\250\233\0\0\213\213\244\233\0\0;\361\211u\324s\7\213\301+\306H\353\10\213\203\240\233\0\0+\306\213\223\240\233\0\0;\362\211E\330u\35\215\263\240\33\0\0;\361t\23\211u\324s\7+\316I\213\301\353\4+\326\213\302\211E\330\205\300\17\204\300\7\0\0\213E\330;E\320\213\360r\3\213u\320\213C\4;\306s\2\213\360V\377u\314\377u\324\350\222\354\377\377\1u\314)u\320\1u\324)u\330)s\4\17\205;\7\0\0\213\203\24\5\0\0\211\3\351.\7\0\0\213u\310\353$3\3779}\320\17\204J\7\0\0\213E\314\17\266\0\377M\320\213\316\323\340\11E\304\377E\314\203\306\10\211u\310\203\376\16r\327\213E\304%\377?\0\0\213\310\203\341\37\200\371\35\211C", ) , ) == 0x0
 01159   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "=\240\3\0\0\17\2079\375\377\377\301m\304\16\203\356\16\203c\10\0\307\3\14\0\0\0\353I\213u\310\353G3\3779}\320\17\204\340\6\0\0\213E\314\17\266\0\377M\320\213\316\323\340\11E\304\377E\314\203\306\10\203\376\3r\332\213K\10\213E\304\17\276\211P\237@\0\301m\304\3\203\340\7\211D\213\14\377C\10\203\356\3\211u\310\213C\4\301\350\12\203\300\49C\10r\314j\23Y\353\22\213C\10\17\276\200P\237@\0\203d\203\14\0\377C\109K\10r\351\215U\364R\215\223 \5\0\0R3\300\215\223\20\5\0\0RPPQ\211E\364Q\215C\14\215\273\14\5\0\0P\213\307\307\7\7\0\0\0\350\221\370\377\377\205\300u\229\7t\16!C\10\307\3\15\0\0\0\351-\1\0\0\307\3\21\0\0\0\351\373\5\0\0\213u\310\351\32\1\0\0\213\203\14\5\0\0\353!3\3779}\320\17\204\14\6\0\0\213M\314\17\266\21\377M\320\213\316\323\342\11U\304\377E\314\203\306\10;\360r\333\17\267\4E`\320@\0#E\304\213\213\20\5\0\0\215\4\201\17\266P\1\17\267@\2\203\370\20\211E\364s\31\213\312\323m\304\213K\10+\362\211D\213\14\377C\10\211u\310\351\260\0\0\0\203\370\22u\14j\7X\307E\374\13\0\0\0\353-\203\300\362\307E\374\3\0\0\0\353!3\3779}\320\17\204\215\5\0\0\213M\314\17\2669\377M\320\213\316\323\347\11}\304\377E\314\203\306\10\215\14\20;\361r\330\213\312\323m\304\17\267\14E`\320@\0#M\304+\362\213U\374\3\321\213\310\323m\304\213K\10+\360\213C\4\213\370\301\357\5\203\347\37\203\340\37\215\204\7\2\1\0\0\215<\12;\370\211u\310\17\207b\373\377\377\203}\364\20u\17\203\371\1\17\202S\373\377\377\213|\213", ) , ) == 0x0
 01160   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\203\300\4Ju\367\211K\10\213C\4\213\310\301\351\5\203\341\37\203\340\37\215\204\1\2\1\0\09C\10\17\202\310\376\377\377\213C\4\203\243\20\5\0\0\0\203e\370\0\213\370\301\350\5\203\340\37\271\1\1\0\0\203\347\37\3\371@\211E\360\215U\370R\215\203 \5\0\0P\215E\354Ph\244\237@\0hd\237@\0QW\215C\14P\215E\374\307E\374\11\0\0\0\307E\364\6\0\0\0\350\327\366\377\377\203}\374\0u\3\203\310\377\205\300\17\205\263\372\377\377\215E\370P\215\203 \5\0\0P\215E\350Ph \240@\0h\344\237@\0j\0\377u\360\215D\273\14P\215E\364\350\233\366\377\377\205\300\17\205\200\372\377\377\213E\364\205\300u\14\201\377\1\1\0\0\17\217m\372\377\377\212M\374\203#\0\210C\21\213E\354\211C\24\213E\350\210K\20\211C\30\353\3\213u\310\17\266C\20\211C\14\213C\24\211C\10\307\3\1\0\0\0\353\3\213u\310\213C\14\353!3\3779}\320\17\204\362\3\0\0\213M\314\17\266\21\377M\320\213\316\323\342\11U\304\377E\314\203\306\10;\360r\333\17\267\4E`\320@\0#E\304\213K\10\215\4\201\17\266H\1\323m\304+\361\17\266\10\205\311\211u\310u\22\17\267@\2\211C\10\307\3\6\0\0\0\351v\3\0\0\366\301\20t\30\203\341\17\211K\10\17\267@\2\211C\4\307\3\2\0\0\0\351Y\3\0\0\366\301@\17\204\336\0\0\0\366\301 \17\204\251\371\377\377\307\3\7\0\0\0\351<\3\0\0\213C\10\213U\310\353!3\3779}\320\17\204]\3\0\0\213M\314\17\2661\377M\320\213\312\323\346\11u\304\377E\314\203\302\10;\320r\333\17\267\14E`\320@\0#M\304\1K\4\213\310\323m\304+\320\17\266C\21\211C\14\213C\30\211C", ) , ) == 0x0
 01161   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\213C\14\353!3\3779}\320\17\204\6\3\0\0\213M\314\17\2661\377M\320\213\312\323\346\11u\304\377E\314\203\302\10;\320r\333\17\267\4E`\320@\0#E\304\213K\10\215\4\201\17\266H\1\323m\304+\321\17\266\10\366\301\20\211U\310t\30\203\341\17\211K\10\17\267@\2\211C\14\307\3\4\0\0\0\351{\2\0\0\366\301@\17\205\324\370\377\377\211K\14\17\267H\2\215\4\210\211C\10\351`\2\0\0\213C\10\213U\310\353!3\3779}\320\17\204\201\2\0\0\213M\314\17\2661\377M\320\213\312\323\346\11u\304\377E\314\203\302\10;\320r\333\17\267\14E`\320@\0#M\304\1K\14\213\310\323m\304+\320\211U\310\307\3\5\0\0\0\213M\324\213C\14\213\321+\323\201\352\240\33\0\0;\320s\23\213\223\240\233\0\0+\320+\323\215\274\12`\344\377\377\353\4\213\371+\370\203{\4\0\211}\344\17\204V\371\377\377\213u\330\213E\324\205\366\17\205\220\0\0\0\213\263\240\233\0\0;\306u#\213\213\244\233\0\0\215\223\240\33\0\0;\312t\23\213\302;\301s\7+\310I\213\361\353\2+\360\205\366uc\213u\10\211\203\250\233\0\0\350\251\363\377\377\213\203\250\233\0\0\213\213\244\233\0\0;\301\211E\324s\7\213\361+\360N\353\10\213\263\240\233\0\0+\360\213\223\240\233\0\0;\302u\36\215\273\240\33\0\0;\317t\24\213\307;\301\211E\324s\7+\310I\213\361\353\4+\320\213\362\205\366\17\204\220\1\0\0\213}\344\212\17\210\10@GN;\273\240\233\0\0\211E\324\211}\344\211u\330u\11\215\273\240\33\0\0\211}\344\377K\4\203{\4\0\17\205:\377\377\377\351\205\370\377\377\203}\330\0\17\205\230\0\0\0\213\213\240\233\0\09M\324u(\213\203\244\233\0\0\215\223\240", ) , ) == 0x0
 01162   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "+\302H\211E\330\353\5+\312\211M\330\203}\330\0ue\213E\324\213u\10\211\203\250\233\0\0\350\323\362\377\377\213\263\250\233\0\0\213\213\244\233\0\0;\361\211u\324s\7\213\301+\306H\353\10\213\203\240\233\0\0+\306\213\223\240\233\0\0;\362\211E\330u\35\215\263\240\33\0\0;\361t\23\211u\324s\7+\316I\213\301\353\4+\326\213\302\211E\330\205\300\17\204\270\0\0\0\213M\324\212C\10\377E\324\377M\330\210\1\351\320\367\377\377\203}\310\7v\12\203m\310\10\377E\320\377M\314\213E\324\213u\10\211\203\250\233\0\0\350K\362\377\377\213\213\250\233\0\0\213\223\244\233\0\0;\312\211M\324s\7\213\302+\301H\353\10\213\203\240\233\0\0+\301;\312\211E\330u[\213\203\24\5\0\0\203\370\10\211\3uU\213\3\203\370\17\17\206\350\365\377\377\351R\366\377\377\211\213\30\5\0\0\353"\213E\304\211\203\34\5\0\0\213E\310\211\203\30\5\0\0\353\27\211\263\30\5\0\0\353\6\211\223\30\5\0\0\213E\304\211\203\34\5\0\0\213E\10\211x\4\3518\366\377\3773\377\351\26\366\377\3773\377G\351\16\366\377\377\361t@\0\11u@\0\246u@\0\375u@\0\202v@\0\315v@\0\326w@\0\213x@\0\334n@\0{p@\0\305p@\0\264q@\0\36r@\0\347r@\0Do@\0\233x@\0\314\377%(\220@\0\377%0\220@\0\377%,\220@\0\377%4\220@\0\377%\224\222@\0\377%\220\222@\0\377%\214\222@\0U\213\354\203\354\34Vj\34\215E\344Ph\252y@\03\366\377\25$\221@\0\205\300t\3\213u\350\213\306^\311\303V\21358\221@\0h\\240@\0W\377\326hh\240@\0W\243P\34C\0\377\326hx\240@\0W\243T", ) \213E\304\211\203\34\5\0\0\213E\310\211\203\30\5\0\0\353\27\211\263\30\5\0\0\353\6\211\223\30\5\0\0\213E\304\211\203\34\5\0\0\213E\10\211x\4\3518\366\377\3773\377\351\26\366\377\3773\377G\351\16\366\377\377\361t@\0\11u@\0\246u@\0\375u@\0\202v@\0\315v@\0\326w@\0\213x@\0\334n@\0{p@\0\305p@\0\264q@\0\36r@\0\347r@\0Do@\0\233x@\0\314\377%(\220@\0\377%0\220@\0\377%,\220@\0\377%4\220@\0\377%\224\222@\0\377%\220\222@\0\377%\214\222@\0U\213\354\203\354\34Vj\34\215E\344Ph\252y@\03\366\377\25$\221@\0\205\300t\3\213u\350\213\306^\311\303V\21358\221@\0h\\240@\0W\377\326hh\240@\0W\243P\34C\0\377\326hx\240@\0W\243T", ) == 0x0
 01163   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "X\34C\0\377\326h\240\240@\0W\243\\34C\0\377\326h\274\240@\0W\243`\34C\0\377\326h\334\240@\0W\243d\34C\0\377\326h\354\240@\0W\243h\34C\0\377\326h\0\241@\0W\243l\34C\0\377\326h\20\241@\0W\243p\34C\0\377\326h$\241@\0W\243t\34C\0\377\326h8\241@\0W\243x\34C\0\377\326hx\241@\0W\243|\34C\0\377\326h\210\241@\0W\243\200\34C\0\377\326h\234\241@\0W\243\204\34C\0\377\326h\254\241@\0W\243\210\34C\0\377\326h\300\241@\0W\243\214\34C\0\377\326h\324\241@\0W\243\220\34C\0\377\326hP\241@\0W\243\224\34C\0\377\326hd\241@\0W\243\230\34C\0\377\326h\370\242@\0W\243\234\34C\0\377\326h\350\242@\0W\243\240\34C\0\377\326h\30\242@\0W\243\370\34C\0\377\326h(\242@\0W\243\320\34C\0\377\326h<\242@\0W\243\324\34C\0\377\326h\\242@\0W\243\330\34C\0\377\326ht\242@\0W\243\334\34C\0\377\326h\214\242@\0W\243\340\34C\0\377\326h\240\242@\0W\243\344\34C\0\377\326h\304\242@\0W\243\350\34C\0\377\326h\344\241@\0W\243\364\34C\0\377\326h\370\241@\0W\243\354\34C\0\377\326h\14\243@\0W\243\360\34C\0\377\326h\34\243@\0W\243\244\34C\0\377\326h(\243@\0W\243\250\34C\0\377\326h8\243@\0W\243\254\34C\0\377\326hD\243@\0W\243\260\34C\0\377\326hP\243@\0W\243\264\34C\0\377\326h`\243@\0W\243\270\34C\0\377\326ht\243@\0W\243\274\34C\0\377\326\243\300\34C\0h\200\243@\0W\377\326h\230\243@\0W\243\304\34C\0\377\326", ) , ) == 0x0
 01164   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\326\243\314\34C\0^\303U\213\354\241P\34C\0\205\300Vj\2^t%P\377\25(\221@\0\205\300u\32\377u\30\377u\24\377u\20\377u\14\377u\10\377\25P\34C\0\203\304\24\213\360\213\306^]\303U\213\354\241X\34C\0\205\300Vj\2^t%P\377\25(\221@\0\205\300u\32\377u\30\377u\24\377u\20\377u\14\377u\10\377\25X\34C\0\203\304\24\213\360\213\306^]\303U\213\354\241\\34C\0\205\300Vj\2^t\27P\377\25(\221@\0\205\300u\14\377u\10\377\25\\34C\0Y\213\360\213\306^]\303U\213\354\241`\34C\0\205\300Vj\2^t\27P\377\25(\221@\0\205\300u\14\377u\10\377\25`\34C\0Y\213\360\213\306^]\303\241\250\34C\0\205\300Vj\2^t\23P\377\25(\221@\0\205\300u\10\377\25\250\34C\0\213\360\213\306^\303\241\254\34C\0\205\300Vj\2^t\23P\377\25(\221@\0\205\300u\10\377\25\254\34C\0\213\360\213\306^\303U\213\354\241\260\34C\0\205\300Vj\2^t\27P\377\25(\221@\0\205\300u\14\377u\10\377\25\260\34C\0Y\213\360\213\306^]\303U\213\354\241\264\34C\0\205\300Vj\2^t\27P\377\25(\221@\0\205\300u\14\377u\10\377\25\264\34C\0Y\213\360\213\306^]\303U\213\354\241h\34C\0\205\300Vj\2^t\37P\377\25(\221@\0\205\300u\24\377u\20\377u\14\377u\10\377\25h\34C\0\203\304\14\213\360\213\306^]\303U\213\354\241p\34C\0\205\300Vj\2^t\33P\377\25(\221@\0\205\300u\20\377u\14\377u\10\377\25p\34C\0YY\213\360\213\306^]\303U\213\354\241x\34C\0\205\300Vj\2^t\33P\377\25(\221@\0\205\300u\20\377", ) , ) == 0x0
 01165   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "Y\213\360\213\306^]\303U\213\354\241\230\34C\0\205\300Vj\2^t(P\377\25(\221@\0\205\300u\35\377u\34\377u\30\377u\24\377u\20\377u\14\377u\10\377\25\230\34C\0\203\304\30\213\360\213\306^]\303U\213\354\241\234\34C\0\205\300Vj\2^t\27P\377\25(\221@\0\205\300u\14\377u\10\377\25\234\34C\0Y\213\360\213\306^]\303U\213\354\241\200\34C\0\205\300Vj\2^t\33P\377\25(\221@\0\205\300u\20\377u\14\377u\10\377\25\200\34C\0YY\213\360\213\306^]\303U\213\354\241\210\34C\0\205\300Vj\2^t\33P\377\25(\221@\0\205\300u\20\377u\14\377u\10\377\25\210\34C\0YY\213\360\213\306^]\303U\213\354\241\214\34C\0\205\300Vj\2^t\33P\377\25(\221@\0\205\300u\20\377u\14\377u\10\377\25\214\34C\0YY\213\360\213\306^]\303U\213\354\241\220\34C\0\205\300Vj\2^t\33P\377\25(\221@\0\205\300u\20\377u\14\377u\10\377\25\220\34C\0YY\213\360\213\306^]\303U\213\354\241\224\34C\0V3\366\205\300t\27P\377\25(\221@\0\205\300u\14\377u\10\377\25\224\34C\0Y\213\360\213\306^]\303U\213\354\241\320\34C\0\205\300t\32P\377\25(\221@\0\205\300u\17\215E\14P\377u\10\377\25\320\34C\0YY]\303U\213\354\241\240\34C\0\205\300t\22P\377\25(\221@\0\205\300u\7]\377%\240\34C\0]\303\241\330\34C\0\205\300Vj\2^t\23P\377\25(\221@\0\205\300u\10\377\25\330\34C\0\213\360\213\306^\303U\213\354\203\354\14\213E\0\211E\374\213E\4\211E\370\211m\364\213E\364\203\300\10\211E\364\203=\324\34C\0\0t"\3775\324\34C", ) \3775\324\34C", ) == 0x0
 01166   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "u\374\377u\364\377u\370\377\25\324\34C\0\203\304\14\311\303U\213\354\203\354\14\203=\334\34C\0\0t@\3775\334\34C\0\377\25(\221@\0\205\300u0\213E\0\211E\374\213E\4\211E\370\211m\364\213E\364\203\300\10\211E\364\377u\14\377u\10\377u\374\377u\364\377u\370\377\25\334\34C\0\203\304\24\311\303U\213\354\203\354\24SVW\307E\360\2\0\0\0`\211e\364\213E\0\211E\374\213E\4\211E\370\211m\354\213E\354\203\300\10\211E\354\203=\354\34C\0\0t-\3775\354\34C\0\377\25(\221@\0\205\300u\35j\0\377u\364\377u\374\377u\354\377u\370\377u\10\377\25\354\34C\0\203\304\30\211E\360a\213E\360_^[\311\303U\213\354\203\354\24SVW\307E\360\2\0\0\0`\211e\364\213E\0\211E\374\213E\4\211E\370\211m\354\213E\354\203\300\10\211E\354\203=\244\34C\0\0t\31\3775\244\34C\0\377\25(\221@\0\205\300u\11j\0\377\25\244\34C\0Y\203=\354\34C\0\0t-\3775\354\34C\0\377\25(\221@\0\205\300u\35j\0\377u\364\377u\374\377u\354\377u\370\377u\10\377\25\354\34C\0\203\304\30\211E\360\203=\244\34C\0\0t\31\3775\244\34C\0\377\25(\221@\0\205\300u\11j\1\377\25\244\34C\0Ya\213E\360_^[\311\303U\213\354\203\354\24SVW\307E\360\2\0\0\0`\211e\364\213E\0\211E\374\213E\4\211E\370\211m\354\213E\354\203\300\10\211E\354\203=\360\34C\0\0t+\3775\360\34C\0\377\25(\221@\0\205\300u\33\377u\364\377u\374\377u\354\377u\370\377u\10\377\25\360\34C\0\203\304\24\211E\360a\213E\360_^[\311\303U\213\354Q\203e\374\0\203=\270\34C", ) , ) == 0x0
 01167   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "(\221@\0\205\300u\15\377u\10\377\25\270\34C\0Y\211E\374\213E\374\311\303U\213\354Q\307E\374\2\0\0\0\203=\274\34C\0\0t\35\3775\274\34C\0\377\25(\221@\0\205\300u\15\377u\10\377\25\274\34C\0Y\211E\374\213E\374\311\303U\213\354Q\307E\374\2\0\0\0\203=\300\34C\0\0t\35\3775\300\34C\0\377\25(\221@\0\205\300u\15\377u\10\377\25\300\34C\0Y\211E\374\213E\374\311\303U\213\354Q\307E\374\2\0\0\0\203=\304\34C\0\0t\35\3775\304\34C\0\377\25(\221@\0\205\300u\15\377u\10\377\25\304\34C\0Y\211E\374\213E\374\311\303U\213\354Q\307E\374\2\0\0\0\203=\310\34C\0\0t\35\3775\310\34C\0\377\25(\221@\0\205\300u\15\377u\10\377\25\310\34C\0Y\211E\374\213E\374\311\303U\213\354\241\340\34C\0\205\300t!P\377\25(\221@\0\205\300u\26\215E\24P\377u\20\377u\14\377u\10\377\25\340\34C\0\203\304\20]\303U\213\354\241\370\34C\0\205\300Vj\2^t\33P\377\25(\221@\0\205\300u\20\377u\14\377u\10\377\25\370\34C\0YY\213\360\213\306^]\303U\213\354\241\314\34C\0\205\300Vj\2^t\27P\377\25(\221@\0\205\300u\14\377u\10\377\25\314\34C\0Y\213\360\213\306^]\303U\213\354V\213u\10V\377\25\0\221@\0\205\300|\13\212\140:M\14t\10Hy\3653\300^]\303\3\306\353\371U\213\354\201\354\30\1\0\0SVW\277$\244@\0W\377\25h\220@\0\205\300\211E\370\17\205\201\1\0\0\273\4\1\0\0\215\205\350\376\377\377SP\350\322\365\377\377P\377\25\274\220@\0\205\300tZ\215\205\350\376\377\377j\P\350\214\377\377\377\205\300Y", ) , ) == 0x0
 01168   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\244@\0P\211E\364\377\326\215\205\350\376\377\377P\377\25\214\220@\0\203\370\377t"W\377u\364\377\326j\10j\0\215\205\350\376\377\377P\377\25,\221@\0\205\300\211E\370\17\205\12\1\0\0\2135\10\220@\0\203e\364\0\215E\374Pj\1j\0\211]\360h\364\243@\0\273\2\0\0\200S\377\326\205\300\17\205\2\1\0\0\215E\360P\215\205\350\376\377\377P\215E\354Pj\0h\350\243@\0\377u\374\377\25\34\220@\0\205\300u$9E\360t\37\203}\354\1u\31\215\205\350\376\377\377P\377\25\214\220@\0\203\370\377t\7\307E\364\1\0\0\0\377u\374\377\25 \220@\0\203}\364\0\17\204\250\0\0\0\215E\374Pj\1j\0h\300\243@\0S\377\326\205\300\17\205\220\0\0\0\215E\360P\215\205\350\376\377\377P\215E\354P3\333Sh\264\243@\0\377u\374\377\25\34\220@\0\205\300u<9]\360t7\203}\354\1u1\2135\244\220@\0h\200\225@\0\215\205\350\376\377\377P\377\326W\215\205\350\376\377\377P\377\326j\10S\215\205\350\376\377\377P\377\25,\221@\0\211E\370\377u\374\377\25 \220@\09]\370t"\203=\374\34C\0\0u\16\213}\370\211=\374\34C\0\350r\364\377\377f\377\5\0\35C\03\300\353\33\300@_^[\311\3033\3009\5\374\34C\0t\12f9\5\0\35C\0t\1@\303\241\374\34C\0\205\300t\33f\377\15\0\35C\0u\22P\377\25<\221@\0\203%\374\34C\0\03\300@\3033\300\303U\213\354Vj\2^\350\270\377\377\377\205\300t\16\203=T\34C\0\0u\16j\7X\353+\203=T\34C\0\0t \3775T\34C\0\377\25(\221@\0\205\300u\20\377u\14\377u\10\377\25T\34C\0YY\213\360", ) W\377u\364\377\326j\10j\0\215\205\350\376\377\377P\377\25,\221@\0\205\300\211E\370\17\205\12\1\0\0\2135\10\220@\0\203e\364\0\215E\374Pj\1j\0\211]\360h\364\243@\0\273\2\0\0\200S\377\326\205\300\17\205\2\1\0\0\215E\360P\215\205\350\376\377\377P\215E\354Pj\0h\350\243@\0\377u\374\377\25\34\220@\0\205\300u$9E\360t\37\203}\354\1u\31\215\205\350\376\377\377P\377\25\214\220@\0\203\370\377t\7\307E\364\1\0\0\0\377u\374\377\25 \220@\0\203}\364\0\17\204\250\0\0\0\215E\374Pj\1j\0h\300\243@\0S\377\326\205\300\17\205\220\0\0\0\215E\360P\215\205\350\376\377\377P\215E\354P3\333Sh\264\243@\0\377u\374\377\25\34\220@\0\205\300u<9]\360t7\203}\354\1u1\2135\244\220@\0h\200\225@\0\215\205\350\376\377\377P\377\326W\215\205\350\376\377\377P\377\326j\10S\215\205\350\376\377\377P\377\25,\221@\0\211E\370\377u\374\377\25 \220@\09]\370t (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\244@\0P\211E\364\377\326\215\205\350\376\377\377P\377\25\214\220@\0\203\370\377t"W\377u\364\377\326j\10j\0\215\205\350\376\377\377P\377\25,\221@\0\205\300\211E\370\17\205\12\1\0\0\2135\10\220@\0\203e\364\0\215E\374Pj\1j\0\211]\360h\364\243@\0\273\2\0\0\200S\377\326\205\300\17\205\2\1\0\0\215E\360P\215\205\350\376\377\377P\215E\354Pj\0h\350\243@\0\377u\374\377\25\34\220@\0\205\300u$9E\360t\37\203}\354\1u\31\215\205\350\376\377\377P\377\25\214\220@\0\203\370\377t\7\307E\364\1\0\0\0\377u\374\377\25 \220@\0\203}\364\0\17\204\250\0\0\0\215E\374Pj\1j\0h\300\243@\0S\377\326\205\300\17\205\220\0\0\0\215E\360P\215\205\350\376\377\377P\215E\354P3\333Sh\264\243@\0\377u\374\377\25\34\220@\0\205\300u<9]\360t7\203}\354\1u1\2135\244\220@\0h\200\225@\0\215\205\350\376\377\377P\377\326W\215\205\350\376\377\377P\377\326j\10S\215\205\350\376\377\377P\377\25,\221@\0\211E\370\377u\374\377\25 \220@\09]\370t"\203=\374\34C\0\0u\16\213}\370\211=\374\34C\0\350r\364\377\377f\377\5\0\35C\03\300\353\33\300@_^[\311\3033\3009\5\374\34C\0t\12f9\5\0\35C\0t\1@\303\241\374\34C\0\205\300t\33f\377\15\0\35C\0u\22P\377\25<\221@\0\203%\374\34C\0\03\300@\3033\300\303U\213\354Vj\2^\350\270\377\377\377\205\300t\16\203=T\34C\0\0u\16j\7X\353+\203=T\34C\0\0t \3775T\34C\0\377\25(\221@\0\205\300u\20\377u\14\377u\10\377\25T\34C\0YY\213\360", ) , ) == 0x0
 01169   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377\377\205\300t\16\203=d\34C\0\0u\16j\7X^\303\203=d\34C\0\0t\30\3775d\34C\0\377\25(\221@\0\205\300u\10\377\25d\34C\0\213\360\213\306^\303U\213\354Vj\2^\350,\377\377\377\205\300t\16\203=l\34C\0\0u\16j\7X\3532\203=l\34C\0\0t'\3775l\34C\0\377\25(\221@\0\205\300u\27\377u\24\377u\20\377u\14\377u\10\377\25l\34C\0\203\304\20\213\360\213\306^]\303U\213\354Vj\2^\350\331\376\377\377\205\300t\16\203=t\34C\0\0u\16j\7X\353+\203=t\34C\0\0t \3775t\34C\0\377\25(\221@\0\205\300u\20\377u\14\377u\10\377\25t\34C\0YY\213\360\213\306^]\303U\213\354Vj\2^\350\215\376\377\377\205\300t\16\203=|\34C\0\0u\16j\7X\353/\203=|\34C\0\0t$\3775|\34C\0\377\25(\221@\0\205\300u\24\377u\20\377u\14\377u\10\377\25|\34C\0\203\304\14\213\360\213\306^]\303U\213\354Vj\2^\350=\376\377\377\205\300t\16\203=|\34C\0\0u\5j\7X\353&\241\204\34C\0\205\300t\33P\377\25(\221@\0\205\300u\20\377u\14\377u\10\377\25\204\34C\0YY\213\360\213\306^]\303\350\22\376\377\377\205\300\17\204\317\0\0\03\300\243P\34C\0\243X\34C\0\243\\34C\0\243`\34C\0\243h\34C\0\243l\34C\0\243p\34C\0\243t\34C\0\243x\34C\0\243|\34C\0\243\200\34C\0\243\204\34C\0\243\210\34C\0\243\214\34C\0\243\220\34C\0\243\224\34C\0\243\230\34C\0\243\234\34C\0\243\240\34C\0\243\320\34C\0\243\324\34C\0\243\330\34C\0\243\334\34C\0\243\340\34", ) , ) == 0x0
 01170   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\243\364\34C\0\243\370\34C\0\243\354\34C\0\243\360\34C\0\243\244\34C\0\243\250\34C\0\243\254\34C\0\243\260\34C\0\243\264\34C\0\243\270\34C\0\243\274\34C\0\243\300\34C\0\243\304\34C\0\243\310\34C\0\243\314\34C\0\303U\213\354\203\354\20\350L\373\377\377\205\300t\12\203\370\3t\5\350\12\377\377\377\241\344\34C\0\205\300u\12\350\374\376\377\3773\300@\311\303Vj\10^V\377\320\203\370\6Ys\12\350\345\376\377\3773\300@\353E\241\364\34C\0\205\300t\33\213M\10\211M\374\215M\360Q\307E\360\1\0\0\0\211u\364\211}\370\377\320\353\16\241\350\34C\0\205\300t\311WV\377\320Y\213\360\205\366Yt\12\203\376\3t\5\350\235\376\377\377\213\306^\311\303U\213\354W\213}\10j\0\350g\377\377\377Y_]\303U\213\354W\213}\10j\1\350U\377\377\377Y_]\303j\0\350\325\377\377\377Y\303\377%0\221@\0\377%4\221@\0\377%@\221@\0\377%d\221@\0\377%`\221@\0\377%\\221@\0\377%X\221@\0\377%T\221@\0\377%P\221@\0\377%L\221@\0\377%H\221@\0\377%D\221@\0\377%<\221@\0\377%8\221@\0\377%\304\220@\0\377%`\220@\0\377%d\220@\0\377%h\220@\0\377%l\220@\0\377%p\220@\0\377%t\220@\0\377%x\220@\0\377%|\220@\0\377%\200\220@\0\377%\204\220@\0\377%\210\220@\0\377%\214\220@\0\377%\220\220@\0\377%\224\220@\0\377%\230\220@\0\377%\234\220@\0\377%\240\220@\0\377%\244\220@\0\377%\250\220@\0\377%\254\220@\0\377%\260\220@\0\377%\264\220@\0\377%\270\220@\0\377%\274\220@\0\377%\300\220@\0", ) , ) == 0x0
 01171   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377%\314\220@\0\377%\320\220@\0\377%\324\220@\0\377%\330\220@\0\377%\334\220@\0\377%\340\220@\0\377%\344\220@\0\377%\350\220@\0\377%\354\220@\0\377%\360\220@\0\377%\364\220@\0\377%\370\220@\0\377%\374\220@\0\377%\0\221@\0\377%\4\221@\0\377%\10\221@\0\377%\14\221@\0\377%\20\221@\0\377%\24\221@\0\377%\30\221@\0\377%\34\221@\0\377% \221@\0\377%$\221@\0\377%(\221@\0\377%,\221@\0\377%\200\222@\0\377%|\222@\0\377%x\222@\0\377%t\222@\0\377%\204\222@\0\377%p\222@\0\377%l\222@\0\377%h\222@\0\377%d\222@\0\377%`\222@\0\377%\\222@\0\377%X\222@\0\377%T\222@\0\377%P\222@\0\377%L\222@\0\377%H\222@\0\377%D\222@\0\377%@\222@\0\377%<\222@\0\377%8\222@\0\377%4\222@\0\377%0\222@\0\377%\214\221@\0\377%\220\221@\0\377%\224\221@\0\377%\230\221@\0\377%\234\221@\0\377%\240\221@\0\377%\244\221@\0\377%\250\221@\0\377%\254\221@\0\377%\260\221@\0\377%\264\221@\0\377%\270\221@\0\377%\274\221@\0\377%\300\221@\0\377%\304\221@\0\377%\310\221@\0\377%\314\221@\0\377%\320\221@\0\377%\324\221@\0\377%\330\221@\0\377%\334\221@\0\377%\340\221@\0\377%\344\221@\0\377%\350\221@\0\377%\354\221@\0\377%\360\221@\0\377%\364\221@\0\377%\370\221@\0\377%\374\221@\0\377%\0\222@\0\377%\4\222@\0\377%\10\222@\0\377%\14\222@\0\377%\20\222@\0\377%\24\222@\0\377%\30\222@\0\377%", ) , ) == 0x0
 01172   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "$\222@\0\377%(\222@\0\377%,\222@\0\377%X\220@\0\377%P\220@\0\377%L\220@\0\377%H\220@\0\377%D\220@\0\377%@\220@\0\377%<\220@\0\377%T\220@\0\377%\0\220@\0\377% \220@\0\377%\4\220@\0\377%\10\220@\0\377%\14\220@\0\377%\34\220@\0\377%\30\220@\0\377%\24\220@\0\377%\20\220@\0\377%\200\221@\0\377%p\221@\0\377%\204\221@\0\377%t\221@\0\377%x\221@\0\377%|\221@\0\377%\244\222@\0\377%\234\222@\0\377%\240\222@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) , ) == 0x0
 01173   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\246\302\0\0\304\302\0\0\322\302\0\0\342\302\0\0*\303\0\0\30\303\0\0\6\303\0\0\362\302\0\0\266\302\0\0\0\0\0\0\21\0\0\200\344\270\0\0\320\270\0\0\372\270\0\0\0\0\0\0~\302\0\0n\302\0\0X\302\0\0B\302\0\06\302\0\0&\302\0\0\216\302\0\0\26\302\0\0\0\0\0\0h\272\0\0z\272\0\0\212\272\0\0\236\272\0\0\256\272\0\0\304\272\0\0\332\272\0\0\366\272\0\0\20\273\0\0\34\273\0\0*\273\0\08\273\0\0N\273\0\0`\273\0\0n\273\0\0\202\273\0\0\226\273\0\0\242\273\0\0\256\273\0\0\306\273\0\0\334\273\0\0\344\273\0\0\364\273\0\0\2\274\0\0\30\274\0\0X\272\0\0:\274\0\0N\274\0\0Z\274\0\0f\274\0\0x\274\0\0\220\274\0\0\240\274\0\0\254\274\0\0\304\274\0\0\330\274\0\0\350\274\0\0\366\274\0\0\4\275\0\0\24\275\0\0&\275\0\02\275\0\0@\275\0\0T\275\0\0d\275\0\0v\275\0\0\206\275\0\0\234\275\0\0\262\275\0\0\306\275\0\0\326\275\0\0\346\275\0\0j\271\0\0t\271\0\0F\272\0\08\272\0\0\202\271\0\0"\272\0\0\4\272\0\0\350\271\0\0\334\271\0\0\320\271\0\0\276\271\0\0\262\271\0\0\242\271\0\0\220\271\0\0,\274\0\0\0\0\0\0^\303\0\0\206\303\0\0\234\303\0\0\252\303\0\0J\303\0\0n\303\0\0\0\0\0\0T\277\0\0f\277\0\0x\277\0\0\204\277\0\0\224\277\0\0\252\277\0\0\272\277\0\0\306\277\0\0\324\277\0\0\346\277\0\0\364\277\0\0\0\300\0\0\22\300\0\0&\300\0\0<\300\0\0N\300\0\0^\300\0\0p\300\0\0\202\300\0\0\220\300\0\0\242\300\0\0\266\300\0\0\310\300\0\0\330\300\0\0\352\300\0\0\372\300\0\0", ) \272\0\0\4\272\0\0\350\271\0\0\334\271\0\0\320\271\0\0\276\271\0\0\262\271\0\0\242\271\0\0\220\271\0\0,\274\0\0\0\0\0\0^\303\0\0\206\303\0\0\234\303\0\0\252\303\0\0J\303\0\0n\303\0\0\0\0\0\0T\277\0\0f\277\0\0x\277\0\0\204\277\0\0\224\277\0\0\252\277\0\0\272\277\0\0\306\277\0\0\324\277\0\0\346\277\0\0\364\277\0\0\0\300\0\0\22\300\0\0&\300\0\0<\300\0\0N\300\0\0^\300\0\0p\300\0\0\202\300\0\0\220\300\0\0\242\300\0\0\266\300\0\0\310\300\0\0\330\300\0\0\352\300\0\0\372\300\0\0", ) == 0x0
 01174   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, ":\301\0\0J\301\0\0\\301\0\0l\301\0\0~\301\0\0\216\301\0\0\240\301\0\0\270\301\0\0\312\301\0\0\334\301\0\0\356\301\0\0\374\301\0\0>\277\0\00\277\0\0$\277\0\0\30\277\0\0\2\277\0\0\362\276\0\0\346\276\0\0\330\276\0\0\306\276\0\0\270\276\0\0\260\276\0\0\240\276\0\0\220\276\0\0|\276\0\0j\276\0\0Z\276\0\0H\276\0\0*\276\0\0\36\276\0\0\22\276\0\0\6\276\0\0:\276\0\0\0\0\0\0D\271\0\0.\271\0\0\34\271\0\0\0\0\0\0\350\303\0\0\372\303\0\0\324\303\0\0\0\0\0\0\0\0\0\0\0\0\0\02\2126D\0\0\0\0\2\0\0\0\204\0\0\0\24\304\0\0\24\266\0\0logging set to %d\0\0\0settings logging to %d\0\0File Extraction: failed createprocess on uninstaller ("%s")\0File Extraction: success ("%s")\0" _?=\0\0\0 /x "\0\0\0created uninstaller: %d, "%s"\0\0\0WriteReg: error creating key %d\%s\0\0WriteRegBin: set %d\%s\%s with %d bytes\0WriteRegDWORD: set %d\%s\%s to %d\0\0\0", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, ":\301\0\0J\301\0\0\\301\0\0l\301\0\0~\301\0\0\216\301\0\0\240\301\0\0\270\301\0\0\312\301\0\0\334\301\0\0\356\301\0\0\374\301\0\0>\277\0\00\277\0\0$\277\0\0\30\277\0\0\2\277\0\0\362\276\0\0\346\276\0\0\330\276\0\0\306\276\0\0\270\276\0\0\260\276\0\0\240\276\0\0\220\276\0\0|\276\0\0j\276\0\0Z\276\0\0H\276\0\0*\276\0\0\36\276\0\0\22\276\0\0\6\276\0\0:\276\0\0\0\0\0\0D\271\0\0.\271\0\0\34\271\0\0\0\0\0\0\350\303\0\0\372\303\0\0\324\303\0\0\0\0\0\0\0\0\0\0\0\0\0\02\2126D\0\0\0\0\2\0\0\0\204\0\0\0\24\304\0\0\24\266\0\0logging set to %d\0\0\0settings logging to %d\0\0File Extraction: failed createprocess on uninstaller ("%s")\0File Extraction: success ("%s")\0" _?=\0\0\0 /x "\0\0\0created uninstaller: %d, "%s"\0\0\0WriteReg: error creating key %d\%s\0\0WriteRegBin: set %d\%s\%s with %d bytes\0WriteRegDWORD: set %d\%s\%s to %d\0\0\0", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, ":\301\0\0J\301\0\0\\301\0\0l\301\0\0~\301\0\0\216\301\0\0\240\301\0\0\270\301\0\0\312\301\0\0\334\301\0\0\356\301\0\0\374\301\0\0>\277\0\00\277\0\0$\277\0\0\30\277\0\0\2\277\0\0\362\276\0\0\346\276\0\0\330\276\0\0\306\276\0\0\270\276\0\0\260\276\0\0\240\276\0\0\220\276\0\0|\276\0\0j\276\0\0Z\276\0\0H\276\0\0*\276\0\0\36\276\0\0\22\276\0\0\6\276\0\0:\276\0\0\0\0\0\0D\271\0\0.\271\0\0\34\271\0\0\0\0\0\0\350\303\0\0\372\303\0\0\324\303\0\0\0\0\0\0\0\0\0\0\0\0\0\02\2126D\0\0\0\0\2\0\0\0\204\0\0\0\24\304\0\0\24\266\0\0logging set to %d\0\0\0settings logging to %d\0\0File Extraction: failed createprocess on uninstaller ("%s")\0File Extraction: success ("%s")\0" _?=\0\0\0 /x "\0\0\0created uninstaller: %d, "%s"\0\0\0WriteReg: error creating key %d\%s\0\0WriteRegBin: set %d\%s\%s with %d bytes\0WriteRegDWORD: set %d\%s\%s to %d\0\0\0", )  _?=\0\0\0 /x  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, ":\301\0\0J\301\0\0\\301\0\0l\301\0\0~\301\0\0\216\301\0\0\240\301\0\0\270\301\0\0\312\301\0\0\334\301\0\0\356\301\0\0\374\301\0\0>\277\0\00\277\0\0$\277\0\0\30\277\0\0\2\277\0\0\362\276\0\0\346\276\0\0\330\276\0\0\306\276\0\0\270\276\0\0\260\276\0\0\240\276\0\0\220\276\0\0|\276\0\0j\276\0\0Z\276\0\0H\276\0\0*\276\0\0\36\276\0\0\22\276\0\0\6\276\0\0:\276\0\0\0\0\0\0D\271\0\0.\271\0\0\34\271\0\0\0\0\0\0\350\303\0\0\372\303\0\0\324\303\0\0\0\0\0\0\0\0\0\0\0\0\0\02\2126D\0\0\0\0\2\0\0\0\204\0\0\0\24\304\0\0\24\266\0\0logging set to %d\0\0\0settings logging to %d\0\0File Extraction: failed createprocess on uninstaller ("%s")\0File Extraction: success ("%s")\0" _?=\0\0\0 /x "\0\0\0created uninstaller: %d, "%s"\0\0\0WriteReg: error creating key %d\%s\0\0WriteRegBin: set %d\%s\%s with %d bytes\0WriteRegDWORD: set %d\%s\%s to %d\0\0\0", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, ":\301\0\0J\301\0\0\\301\0\0l\301\0\0~\301\0\0\216\301\0\0\240\301\0\0\270\301\0\0\312\301\0\0\334\301\0\0\356\301\0\0\374\301\0\0>\277\0\00\277\0\0$\277\0\0\30\277\0\0\2\277\0\0\362\276\0\0\346\276\0\0\330\276\0\0\306\276\0\0\270\276\0\0\260\276\0\0\240\276\0\0\220\276\0\0|\276\0\0j\276\0\0Z\276\0\0H\276\0\0*\276\0\0\36\276\0\0\22\276\0\0\6\276\0\0:\276\0\0\0\0\0\0D\271\0\0.\271\0\0\34\271\0\0\0\0\0\0\350\303\0\0\372\303\0\0\324\303\0\0\0\0\0\0\0\0\0\0\0\0\0\02\2126D\0\0\0\0\2\0\0\0\204\0\0\0\24\304\0\0\24\266\0\0logging set to %d\0\0\0settings logging to %d\0\0File Extraction: failed createprocess on uninstaller ("%s")\0File Extraction: success ("%s")\0" _?=\0\0\0 /x "\0\0\0created uninstaller: %d, "%s"\0\0\0WriteReg: error creating key %d\%s\0\0WriteRegBin: set %d\%s\%s with %d bytes\0WriteRegDWORD: set %d\%s\%s to %d\0\0\0", ) , ) == 0x0
 01175   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, " set %d\%s\%s to %s\0DeleteRegKey: %d\%s\0DeleteRegValue: %d\%s\%s\0\0\0\0WriteINIStr: wrote [%s] %s=%s in %s\0\0\0\0\0CopyFiles "%s"->"%s"\0\0\0\0CreateShortCut: out: "%s", in: "%s %s", icon: %s,%d, sw=%d, hk=%d\0\0\0Error registering DLL: Could not initialize OLE\0Error registering DLL: Could not load '%s' -> '%s'\0\0Error registering DLL: %s not found in %s\0\0\0RegDLL: Could not load '%s' -> '%s'\0\\0\0\0Exec: failed createprocess ("%s")\0\0\0Exec: success ("%s")\0\0\0\0Exec: command="%s"\0\0ExecShell: success ("%s": file:"", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, " set %d\%s\%s to %s\0DeleteRegKey: %d\%s\0DeleteRegValue: %d\%s\%s\0\0\0\0WriteINIStr: wrote [%s] %s=%s in %s\0\0\0\0\0CopyFiles "%s"->"%s"\0\0\0\0CreateShortCut: out: "%s", in: "%s %s", icon: %s,%d, sw=%d, hk=%d\0\0\0Error registering DLL: Could not initialize OLE\0Error registering DLL: Could not load '%s' -> '%s'\0\0Error registering DLL: %s not found in %s\0\0\0RegDLL: Could not load '%s' -> '%s'\0\\0\0\0Exec: failed createprocess ("%s")\0\0\0Exec: success ("%s")\0\0\0\0Exec: command="%s"\0\0ExecShell: success ("%s": file:"", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, " set %d\%s\%s to %s\0DeleteRegKey: %d\%s\0DeleteRegValue: %d\%s\%s\0\0\0\0WriteINIStr: wrote [%s] %s=%s in %s\0\0\0\0\0CopyFiles "%s"->"%s"\0\0\0\0CreateShortCut: out: "%s", in: "%s %s", icon: %s,%d, sw=%d, hk=%d\0\0\0Error registering DLL: Could not initialize OLE\0Error registering DLL: Could not load '%s' -> '%s'\0\0Error registering DLL: %s not found in %s\0\0\0RegDLL: Could not load '%s' -> '%s'\0\\0\0\0Exec: failed createprocess ("%s")\0\0\0Exec: success ("%s")\0\0\0\0Exec: command="%s"\0\0ExecShell: success ("%s": file:"", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, " set %d\%s\%s to %s\0DeleteRegKey: %d\%s\0DeleteRegValue: %d\%s\%s\0\0\0\0WriteINIStr: wrote [%s] %s=%s in %s\0\0\0\0\0CopyFiles "%s"->"%s"\0\0\0\0CreateShortCut: out: "%s", in: "%s %s", icon: %s,%d, sw=%d, hk=%d\0\0\0Error registering DLL: Could not initialize OLE\0Error registering DLL: Could not load '%s' -> '%s'\0\0Error registering DLL: %s not found in %s\0\0\0RegDLL: Could not load '%s' -> '%s'\0\\0\0\0Exec: failed createprocess ("%s")\0\0\0Exec: success ("%s")\0\0\0\0Exec: command="%s"\0\0ExecShell: success ("%s": file:"", ) %s %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, " set %d\%s\%s to %s\0DeleteRegKey: %d\%s\0DeleteRegValue: %d\%s\%s\0\0\0\0WriteINIStr: wrote [%s] %s=%s in %s\0\0\0\0\0CopyFiles "%s"->"%s"\0\0\0\0CreateShortCut: out: "%s", in: "%s %s", icon: %s,%d, sw=%d, hk=%d\0\0\0Error registering DLL: Could not initialize OLE\0Error registering DLL: Could not load '%s' -> '%s'\0\0Error registering DLL: %s not found in %s\0\0\0RegDLL: Could not load '%s' -> '%s'\0\\0\0\0Exec: failed createprocess ("%s")\0\0\0Exec: success ("%s")\0\0\0\0Exec: command="%s"\0\0ExecShell: success ("%s": file:"", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, " set %d\%s\%s to %s\0DeleteRegKey: %d\%s\0DeleteRegValue: %d\%s\%s\0\0\0\0WriteINIStr: wrote [%s] %s=%s in %s\0\0\0\0\0CopyFiles "%s"->"%s"\0\0\0\0CreateShortCut: out: "%s", in: "%s %s", icon: %s,%d, sw=%d, hk=%d\0\0\0Error registering DLL: Could not initialize OLE\0Error registering DLL: Could not load '%s' -> '%s'\0\0Error registering DLL: %s not found in %s\0\0\0RegDLL: Could not load '%s' -> '%s'\0\\0\0\0Exec: failed createprocess ("%s")\0\0\0Exec: success ("%s")\0\0\0\0Exec: command="%s"\0\0ExecShell: success ("%s": file:"", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, " set %d\%s\%s to %s\0DeleteRegKey: %d\%s\0DeleteRegValue: %d\%s\%s\0\0\0\0WriteINIStr: wrote [%s] %s=%s in %s\0\0\0\0\0CopyFiles "%s"->"%s"\0\0\0\0CreateShortCut: out: "%s", in: "%s %s", icon: %s,%d, sw=%d, hk=%d\0\0\0Error registering DLL: Could not initialize OLE\0Error registering DLL: Could not load '%s' -> '%s'\0\0Error registering DLL: %s not found in %s\0\0\0RegDLL: Could not load '%s' -> '%s'\0\\0\0\0Exec: failed createprocess ("%s")\0\0\0Exec: success ("%s")\0\0\0\0Exec: command="%s"\0\0ExecShell: success ("%s": file:"", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, " set %d\%s\%s to %s\0DeleteRegKey: %d\%s\0DeleteRegValue: %d\%s\%s\0\0\0\0WriteINIStr: wrote [%s] %s=%s in %s\0\0\0\0\0CopyFiles "%s"->"%s"\0\0\0\0CreateShortCut: out: "%s", in: "%s %s", icon: %s,%d, sw=%d, hk=%d\0\0\0Error registering DLL: Could not initialize OLE\0Error registering DLL: Could not load '%s' -> '%s'\0\0Error registering DLL: %s not found in %s\0\0\0RegDLL: Could not load '%s' -> '%s'\0\\0\0\0Exec: failed createprocess ("%s")\0\0\0Exec: success ("%s")\0\0\0\0Exec: command="%s"\0\0ExecShell: success ("%s": file:"", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, " set %d\%s\%s to %s\0DeleteRegKey: %d\%s\0DeleteRegValue: %d\%s\%s\0\0\0\0WriteINIStr: wrote [%s] %s=%s in %s\0\0\0\0\0CopyFiles "%s"->"%s"\0\0\0\0CreateShortCut: out: "%s", in: "%s %s", icon: %s,%d, sw=%d, hk=%d\0\0\0Error registering DLL: Could not initialize OLE\0Error registering DLL: Could not load '%s' -> '%s'\0\0Error registering DLL: %s not found in %s\0\0\0RegDLL: Could not load '%s' -> '%s'\0\\0\0\0Exec: failed createprocess ("%s")\0\0\0Exec: success ("%s")\0\0\0\0Exec: command="%s"\0\0ExecShell: success ("%s": file:"", ) ", ) == 0x0
 01176   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "%s")\0\0\0\0ExecShell: warning: error ("%s": file:"%s" params:"%s")=%d\0\0%s %s\0\0\0HideWindow\0\0Pop: stack empty\0\0\0\0Exch: stack < %d elements\0\0\0RMDir: "%s"\0MessageBox: %d,"%s"\0Delete: "%s"\0\0\0\0%s\0\0File: wrote %d to "%s"\0\0File: error, user cancel\0\0\0\0File: skipped: "%s" (overwriteflag=%d)\0\0File: error, user abort\0File: error, user retry\0File: error creating "%s"\0\0\0File: overwriteflag=%d, allowskipfilesflag=%d, name="%s"\0\0\0\0Rename failed: %s\0\0\0Rename on reboot: %s\0\0\0\0Rename: %s\0\0->\0\0IfFileExists: file "%s" ", ) )\0\0\0\0ExecShell: warning: error ( (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "%s")\0\0\0\0ExecShell: warning: error ("%s": file:"%s" params:"%s")=%d\0\0%s %s\0\0\0HideWindow\0\0Pop: stack empty\0\0\0\0Exch: stack < %d elements\0\0\0RMDir: "%s"\0MessageBox: %d,"%s"\0Delete: "%s"\0\0\0\0%s\0\0File: wrote %d to "%s"\0\0File: error, user cancel\0\0\0\0File: skipped: "%s" (overwriteflag=%d)\0\0File: error, user abort\0File: error, user retry\0File: error creating "%s"\0\0\0File: overwriteflag=%d, allowskipfilesflag=%d, name="%s"\0\0\0\0Rename failed: %s\0\0\0Rename on reboot: %s\0\0\0\0Rename: %s\0\0->\0\0IfFileExists: file "%s" ", ) : file: (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "%s")\0\0\0\0ExecShell: warning: error ("%s": file:"%s" params:"%s")=%d\0\0%s %s\0\0\0HideWindow\0\0Pop: stack empty\0\0\0\0Exch: stack < %d elements\0\0\0RMDir: "%s"\0MessageBox: %d,"%s"\0Delete: "%s"\0\0\0\0%s\0\0File: wrote %d to "%s"\0\0File: error, user cancel\0\0\0\0File: skipped: "%s" (overwriteflag=%d)\0\0File: error, user abort\0File: error, user retry\0File: error creating "%s"\0\0\0File: overwriteflag=%d, allowskipfilesflag=%d, name="%s"\0\0\0\0Rename failed: %s\0\0\0Rename on reboot: %s\0\0\0\0Rename: %s\0\0->\0\0IfFileExists: file "%s" ", )  params: (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "%s")\0\0\0\0ExecShell: warning: error ("%s": file:"%s" params:"%s")=%d\0\0%s %s\0\0\0HideWindow\0\0Pop: stack empty\0\0\0\0Exch: stack < %d elements\0\0\0RMDir: "%s"\0MessageBox: %d,"%s"\0Delete: "%s"\0\0\0\0%s\0\0File: wrote %d to "%s"\0\0File: error, user cancel\0\0\0\0File: skipped: "%s" (overwriteflag=%d)\0\0File: error, user abort\0File: error, user retry\0File: error creating "%s"\0\0\0File: overwriteflag=%d, allowskipfilesflag=%d, name="%s"\0\0\0\0Rename failed: %s\0\0\0Rename on reboot: %s\0\0\0\0Rename: %s\0\0->\0\0IfFileExists: file "%s" ", ) )=%d\0\0%s %s\0\0\0HideWindow\0\0Pop: stack empty\0\0\0\0Exch: stack < %d elements\0\0\0RMDir:  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "%s")\0\0\0\0ExecShell: warning: error ("%s": file:"%s" params:"%s")=%d\0\0%s %s\0\0\0HideWindow\0\0Pop: stack empty\0\0\0\0Exch: stack < %d elements\0\0\0RMDir: "%s"\0MessageBox: %d,"%s"\0Delete: "%s"\0\0\0\0%s\0\0File: wrote %d to "%s"\0\0File: error, user cancel\0\0\0\0File: skipped: "%s" (overwriteflag=%d)\0\0File: error, user abort\0File: error, user retry\0File: error creating "%s"\0\0\0File: overwriteflag=%d, allowskipfilesflag=%d, name="%s"\0\0\0\0Rename failed: %s\0\0\0Rename on reboot: %s\0\0\0\0Rename: %s\0\0->\0\0IfFileExists: file "%s" ", ) \0MessageBox: %d, (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "%s")\0\0\0\0ExecShell: warning: error ("%s": file:"%s" params:"%s")=%d\0\0%s %s\0\0\0HideWindow\0\0Pop: stack empty\0\0\0\0Exch: stack < %d elements\0\0\0RMDir: "%s"\0MessageBox: %d,"%s"\0Delete: "%s"\0\0\0\0%s\0\0File: wrote %d to "%s"\0\0File: error, user cancel\0\0\0\0File: skipped: "%s" (overwriteflag=%d)\0\0File: error, user abort\0File: error, user retry\0File: error creating "%s"\0\0\0File: overwriteflag=%d, allowskipfilesflag=%d, name="%s"\0\0\0\0Rename failed: %s\0\0\0Rename on reboot: %s\0\0\0\0Rename: %s\0\0->\0\0IfFileExists: file "%s" ", ) \0Delete:  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "%s")\0\0\0\0ExecShell: warning: error ("%s": file:"%s" params:"%s")=%d\0\0%s %s\0\0\0HideWindow\0\0Pop: stack empty\0\0\0\0Exch: stack < %d elements\0\0\0RMDir: "%s"\0MessageBox: %d,"%s"\0Delete: "%s"\0\0\0\0%s\0\0File: wrote %d to "%s"\0\0File: error, user cancel\0\0\0\0File: skipped: "%s" (overwriteflag=%d)\0\0File: error, user abort\0File: error, user retry\0File: error creating "%s"\0\0\0File: overwriteflag=%d, allowskipfilesflag=%d, name="%s"\0\0\0\0Rename failed: %s\0\0\0Rename on reboot: %s\0\0\0\0Rename: %s\0\0->\0\0IfFileExists: file "%s" ", ) \0\0\0\0%s\0\0File: wrote %d to  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "%s")\0\0\0\0ExecShell: warning: error ("%s": file:"%s" params:"%s")=%d\0\0%s %s\0\0\0HideWindow\0\0Pop: stack empty\0\0\0\0Exch: stack < %d elements\0\0\0RMDir: "%s"\0MessageBox: %d,"%s"\0Delete: "%s"\0\0\0\0%s\0\0File: wrote %d to "%s"\0\0File: error, user cancel\0\0\0\0File: skipped: "%s" (overwriteflag=%d)\0\0File: error, user abort\0File: error, user retry\0File: error creating "%s"\0\0\0File: overwriteflag=%d, allowskipfilesflag=%d, name="%s"\0\0\0\0Rename failed: %s\0\0\0Rename on reboot: %s\0\0\0\0Rename: %s\0\0->\0\0IfFileExists: file "%s" ", ) \0\0File: error, user cancel\0\0\0\0File: skipped:  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "%s")\0\0\0\0ExecShell: warning: error ("%s": file:"%s" params:"%s")=%d\0\0%s %s\0\0\0HideWindow\0\0Pop: stack empty\0\0\0\0Exch: stack < %d elements\0\0\0RMDir: "%s"\0MessageBox: %d,"%s"\0Delete: "%s"\0\0\0\0%s\0\0File: wrote %d to "%s"\0\0File: error, user cancel\0\0\0\0File: skipped: "%s" (overwriteflag=%d)\0\0File: error, user abort\0File: error, user retry\0File: error creating "%s"\0\0\0File: overwriteflag=%d, allowskipfilesflag=%d, name="%s"\0\0\0\0Rename failed: %s\0\0\0Rename on reboot: %s\0\0\0\0Rename: %s\0\0->\0\0IfFileExists: file "%s" ", )  (overwriteflag=%d)\0\0File: error, user abort\0File: error, user retry\0File: error creating  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "%s")\0\0\0\0ExecShell: warning: error ("%s": file:"%s" params:"%s")=%d\0\0%s %s\0\0\0HideWindow\0\0Pop: stack empty\0\0\0\0Exch: stack < %d elements\0\0\0RMDir: "%s"\0MessageBox: %d,"%s"\0Delete: "%s"\0\0\0\0%s\0\0File: wrote %d to "%s"\0\0File: error, user cancel\0\0\0\0File: skipped: "%s" (overwriteflag=%d)\0\0File: error, user abort\0File: error, user retry\0File: error creating "%s"\0\0\0File: overwriteflag=%d, allowskipfilesflag=%d, name="%s"\0\0\0\0Rename failed: %s\0\0\0Rename on reboot: %s\0\0\0\0Rename: %s\0\0->\0\0IfFileExists: file "%s" ", ) \0\0\0File: overwriteflag=%d, allowskipfilesflag=%d, name= (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "%s")\0\0\0\0ExecShell: warning: error ("%s": file:"%s" params:"%s")=%d\0\0%s %s\0\0\0HideWindow\0\0Pop: stack empty\0\0\0\0Exch: stack < %d elements\0\0\0RMDir: "%s"\0MessageBox: %d,"%s"\0Delete: "%s"\0\0\0\0%s\0\0File: wrote %d to "%s"\0\0File: error, user cancel\0\0\0\0File: skipped: "%s" (overwriteflag=%d)\0\0File: error, user abort\0File: error, user retry\0File: error creating "%s"\0\0\0File: overwriteflag=%d, allowskipfilesflag=%d, name="%s"\0\0\0\0Rename failed: %s\0\0\0Rename on reboot: %s\0\0\0\0Rename: %s\0\0->\0\0IfFileExists: file "%s" ", ) \0\0\0\0Rename failed: %s\0\0\0Rename on reboot: %s\0\0\0\0Rename: %s\0\0->\0\0IfFileExists: file  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "%s")\0\0\0\0ExecShell: warning: error ("%s": file:"%s" params:"%s")=%d\0\0%s %s\0\0\0HideWindow\0\0Pop: stack empty\0\0\0\0Exch: stack < %d elements\0\0\0RMDir: "%s"\0MessageBox: %d,"%s"\0Delete: "%s"\0\0\0\0%s\0\0File: wrote %d to "%s"\0\0File: error, user cancel\0\0\0\0File: skipped: "%s" (overwriteflag=%d)\0\0File: error, user abort\0File: error, user retry\0File: error creating "%s"\0\0\0File: overwriteflag=%d, allowskipfilesflag=%d, name="%s"\0\0\0\0Rename failed: %s\0\0\0Rename on reboot: %s\0\0\0\0Rename: %s\0\0->\0\0IfFileExists: file "%s" ", )  ", ) == 0x0
 01177   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "st, jumping %d\0\0IfFileExists: file "%s" exists, jumping %d\0\0CreateDirectory: "%s" (%d)\0\0SetFileAttributes failed.\0\0\0SetFileAttributes: "%s":%08X\0\0\0\0BringToFront\0\0\0\0Sleep(%d)\0\0\0detailprint: %s\0Call: %d\0\0\0\0Aborting: "%s"\0\0Jump: %d\0\0\0\0... %d%%\0\0\0\0\0\0\0\0The installer you are trying to use is corrupted or incomplete.\12This could be the result of a damaged disk, a failed download or a virus.\12\12You may want to contact the author of this installer to obtain a new copy.\12\12It may be possible to skip this check", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "st, jumping %d\0\0IfFileExists: file "%s" exists, jumping %d\0\0CreateDirectory: "%s" (%d)\0\0SetFileAttributes failed.\0\0\0SetFileAttributes: "%s":%08X\0\0\0\0BringToFront\0\0\0\0Sleep(%d)\0\0\0detailprint: %s\0Call: %d\0\0\0\0Aborting: "%s"\0\0Jump: %d\0\0\0\0... %d%%\0\0\0\0\0\0\0\0The installer you are trying to use is corrupted or incomplete.\12This could be the result of a damaged disk, a failed download or a virus.\12\12You may want to contact the author of this installer to obtain a new copy.\12\12It may be possible to skip this check", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "st, jumping %d\0\0IfFileExists: file "%s" exists, jumping %d\0\0CreateDirectory: "%s" (%d)\0\0SetFileAttributes failed.\0\0\0SetFileAttributes: "%s":%08X\0\0\0\0BringToFront\0\0\0\0Sleep(%d)\0\0\0detailprint: %s\0Call: %d\0\0\0\0Aborting: "%s"\0\0Jump: %d\0\0\0\0... %d%%\0\0\0\0\0\0\0\0The installer you are trying to use is corrupted or incomplete.\12This could be the result of a damaged disk, a failed download or a virus.\12\12You may want to contact the author of this installer to obtain a new copy.\12\12It may be possible to skip this check", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "st, jumping %d\0\0IfFileExists: file "%s" exists, jumping %d\0\0CreateDirectory: "%s" (%d)\0\0SetFileAttributes failed.\0\0\0SetFileAttributes: "%s":%08X\0\0\0\0BringToFront\0\0\0\0Sleep(%d)\0\0\0detailprint: %s\0Call: %d\0\0\0\0Aborting: "%s"\0\0Jump: %d\0\0\0\0... %d%%\0\0\0\0\0\0\0\0The installer you are trying to use is corrupted or incomplete.\12This could be the result of a damaged disk, a failed download or a virus.\12\12You may want to contact the author of this installer to obtain a new copy.\12\12It may be possible to skip this check", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "st, jumping %d\0\0IfFileExists: file "%s" exists, jumping %d\0\0CreateDirectory: "%s" (%d)\0\0SetFileAttributes failed.\0\0\0SetFileAttributes: "%s":%08X\0\0\0\0BringToFront\0\0\0\0Sleep(%d)\0\0\0detailprint: %s\0Call: %d\0\0\0\0Aborting: "%s"\0\0Jump: %d\0\0\0\0... %d%%\0\0\0\0\0\0\0\0The installer you are trying to use is corrupted or incomplete.\12This could be the result of a damaged disk, a failed download or a virus.\12\12You may want to contact the author of this installer to obtain a new copy.\12\12It may be possible to skip this check", ) , ) == 0x0
 01178   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "NCRC command line switch\12(NOT RECOMMENDED).\0verifying installer: %d%%\0\0\0Error launching installer\0\0\0SeShutdownPrivilege\0AdjustTokenPrivileges\0\0\0LookupPrivilegeValueA\0\0\0OpenProcessToken\0\0\0\0ADVAPI32.dll\0\0\0\0 _?=\0\0\0\0" \0\0Out of Memory\0\0\0Extraction pathname not properly delimited.\12\12Try using quotes or a shorter path.\0\0\0\0C:\NSIS_ExtractFiles\\0\0\0\Temp\0\0\0NSIS Error\0\0Error writing temporary file. Make sure your temp folder is valid.\0\0nsiszlib.bin\0\0\0\0install.log\0open\0\0\0\0%u.%u%s%s\0\0\0GetDiskFreeSpaceExA\0KERN", )  \0\0Out of Memory\0\0\0Extraction pathname not properly delimited.\12\12Try using quotes or a shorter path.\0\0\0\0C:\NSIS_ExtractFiles\\0\0\0\Temp\0\0\0NSIS Error\0\0Error writing temporary file. Make sure your temp folder is valid.\0\0nsiszlib.bin\0\0\0\0install.log\0open\0\0\0\0%u.%u%s%s\0\0\0GetDiskFreeSpaceExA\0KERN", ) == 0x0
 01179   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "Section: "%s"\0\0\0Skipping section: "%s"\0\0New install of "%s" to "%s"\0.exe\0\0\0\0\374\0\0\0%d\0\0*?|<>/":\0\0\0\0\15\12\0\0\12[\0\0[Rename]\15\12\0\0\wininit.ini\0\0\0\0ERROR: Could not create set up '%s' for delete on reboot (2)\0\0\0\0ERROR: Could not create set up '%s' for delete on reboot (1)\0\0\0\0Software\Microsoft\Windows\CurrentVersion\RunOnceEx\NSIS\0\0\0\0command /c rmdir "%s"\0\0\0%s_%08ld\0\0\0\0Software\Microsoft\Windows\CurrentVersion\RunOnceEx\0Flags\0\0\0NUL\0%s=%s\15\12\0MoveFileExA\0C:\Program Files\0\0\0\0ProgramFilesDir\0Software\Microsoft\Windo", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "Section: "%s"\0\0\0Skipping section: "%s"\0\0New install of "%s" to "%s"\0.exe\0\0\0\0\374\0\0\0%d\0\0*?|<>/":\0\0\0\0\15\12\0\0\12[\0\0[Rename]\15\12\0\0\wininit.ini\0\0\0\0ERROR: Could not create set up '%s' for delete on reboot (2)\0\0\0\0ERROR: Could not create set up '%s' for delete on reboot (1)\0\0\0\0Software\Microsoft\Windows\CurrentVersion\RunOnceEx\NSIS\0\0\0\0command /c rmdir "%s"\0\0\0%s_%08ld\0\0\0\0Software\Microsoft\Windows\CurrentVersion\RunOnceEx\0Flags\0\0\0NUL\0%s=%s\15\12\0MoveFileExA\0C:\Program Files\0\0\0\0ProgramFilesDir\0Software\Microsoft\Windo", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "Section: "%s"\0\0\0Skipping section: "%s"\0\0New install of "%s" to "%s"\0.exe\0\0\0\0\374\0\0\0%d\0\0*?|<>/":\0\0\0\0\15\12\0\0\12[\0\0[Rename]\15\12\0\0\wininit.ini\0\0\0\0ERROR: Could not create set up '%s' for delete on reboot (2)\0\0\0\0ERROR: Could not create set up '%s' for delete on reboot (1)\0\0\0\0Software\Microsoft\Windows\CurrentVersion\RunOnceEx\NSIS\0\0\0\0command /c rmdir "%s"\0\0\0%s_%08ld\0\0\0\0Software\Microsoft\Windows\CurrentVersion\RunOnceEx\0Flags\0\0\0NUL\0%s=%s\15\12\0MoveFileExA\0C:\Program Files\0\0\0\0ProgramFilesDir\0Software\Microsoft\Windo", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "Section: "%s"\0\0\0Skipping section: "%s"\0\0New install of "%s" to "%s"\0.exe\0\0\0\0\374\0\0\0%d\0\0*?|<>/":\0\0\0\0\15\12\0\0\12[\0\0[Rename]\15\12\0\0\wininit.ini\0\0\0\0ERROR: Could not create set up '%s' for delete on reboot (2)\0\0\0\0ERROR: Could not create set up '%s' for delete on reboot (1)\0\0\0\0Software\Microsoft\Windows\CurrentVersion\RunOnceEx\NSIS\0\0\0\0command /c rmdir "%s"\0\0\0%s_%08ld\0\0\0\0Software\Microsoft\Windows\CurrentVersion\RunOnceEx\0Flags\0\0\0NUL\0%s=%s\15\12\0MoveFileExA\0C:\Program Files\0\0\0\0ProgramFilesDir\0Software\Microsoft\Windo", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "Section: "%s"\0\0\0Skipping section: "%s"\0\0New install of "%s" to "%s"\0.exe\0\0\0\0\374\0\0\0%d\0\0*?|<>/":\0\0\0\0\15\12\0\0\12[\0\0[Rename]\15\12\0\0\wininit.ini\0\0\0\0ERROR: Could not create set up '%s' for delete on reboot (2)\0\0\0\0ERROR: Could not create set up '%s' for delete on reboot (1)\0\0\0\0Software\Microsoft\Windows\CurrentVersion\RunOnceEx\NSIS\0\0\0\0command /c rmdir "%s"\0\0\0%s_%08ld\0\0\0\0Software\Microsoft\Windows\CurrentVersion\RunOnceEx\0Flags\0\0\0NUL\0%s=%s\15\12\0MoveFileExA\0C:\Program Files\0\0\0\0ProgramFilesDir\0Software\Microsoft\Windo", ) :\0\0\0\0\15\12\0\0\12[\0\0[Rename]\15\12\0\0\wininit.ini\0\0\0\0ERROR: Could not create set up '%s' for delete on reboot (2)\0\0\0\0ERROR: Could not create set up '%s' for delete on reboot (1)\0\0\0\0Software\Microsoft\Windows\CurrentVersion\RunOnceEx\NSIS\0\0\0\0command /c rmdir  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "Section: "%s"\0\0\0Skipping section: "%s"\0\0New install of "%s" to "%s"\0.exe\0\0\0\0\374\0\0\0%d\0\0*?|<>/":\0\0\0\0\15\12\0\0\12[\0\0[Rename]\15\12\0\0\wininit.ini\0\0\0\0ERROR: Could not create set up '%s' for delete on reboot (2)\0\0\0\0ERROR: Could not create set up '%s' for delete on reboot (1)\0\0\0\0Software\Microsoft\Windows\CurrentVersion\RunOnceEx\NSIS\0\0\0\0command /c rmdir "%s"\0\0\0%s_%08ld\0\0\0\0Software\Microsoft\Windows\CurrentVersion\RunOnceEx\0Flags\0\0\0NUL\0%s=%s\15\12\0MoveFileExA\0C:\Program Files\0\0\0\0ProgramFilesDir\0Software\Microsoft\Windo", ) \0\0\0%s_%08ld\0\0\0\0Software\Microsoft\Windows\CurrentVersion\RunOnceEx\0Flags\0\0\0NUL\0%s=%s\15\12\0MoveFileExA\0C:\Program Files\0\0\0\0ProgramFilesDir\0Software\Microsoft\Windo", ) == 0x0
 01180   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "rsion\0\0\0CommonFilesDir\0\0\Microsoft\Internet Explorer\Quick Launch\0\0\0RMDir: RemoveDirectory failed("%s")\0RMDir: RemoveDirectory on Reboot("%s")\0\0RMDir: RemoveDirectory("%s")\0\0\0\0Delete: DeleteFile failed("%s")\0Delete: DeleteFile on Reboot("%s")\0\0Delete: DeleteFile("%s")\0\0\0\0\*.*\0\0\0\0Delete: ERROR -- "%s" does not exist. Skipping delete.\0\0\20\21\22\0\10\7\11\6\12\5\13\4\14\3\15\2\16\1\17\0\3\0\4\0\5\0\6\0\7\0\10\0\11\0\12\0\13\0\15\0\17\0\21\0\23\0\27\0\33\0\37\0#\0+\03\0;\0C\0S\0c\0s\0\203\0\243\0\303\0\343\0\2\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\1\0\1\0\1\0\2\0\2\0\2\0\2\0\3\0\3\0\3\0\3\0\4\0\4\0\4\0\4\0\5\0\5\0\5\0\5\0\0\0p\0p\0\0\0\1\0\2\0\3\0\4\0\5\0\7\0\11\0\15\0", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "rsion\0\0\0CommonFilesDir\0\0\Microsoft\Internet Explorer\Quick Launch\0\0\0RMDir: RemoveDirectory failed("%s")\0RMDir: RemoveDirectory on Reboot("%s")\0\0RMDir: RemoveDirectory("%s")\0\0\0\0Delete: DeleteFile failed("%s")\0Delete: DeleteFile on Reboot("%s")\0\0Delete: DeleteFile("%s")\0\0\0\0\*.*\0\0\0\0Delete: ERROR -- "%s" does not exist. Skipping delete.\0\0\20\21\22\0\10\7\11\6\12\5\13\4\14\3\15\2\16\1\17\0\3\0\4\0\5\0\6\0\7\0\10\0\11\0\12\0\13\0\15\0\17\0\21\0\23\0\27\0\33\0\37\0#\0+\03\0;\0C\0S\0c\0s\0\203\0\243\0\303\0\343\0\2\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\1\0\1\0\1\0\2\0\2\0\2\0\2\0\3\0\3\0\3\0\3\0\4\0\4\0\4\0\4\0\5\0\5\0\5\0\5\0\0\0p\0p\0\0\0\1\0\2\0\3\0\4\0\5\0\7\0\11\0\15\0", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "rsion\0\0\0CommonFilesDir\0\0\Microsoft\Internet Explorer\Quick Launch\0\0\0RMDir: RemoveDirectory failed("%s")\0RMDir: RemoveDirectory on Reboot("%s")\0\0RMDir: RemoveDirectory("%s")\0\0\0\0Delete: DeleteFile failed("%s")\0Delete: DeleteFile on Reboot("%s")\0\0Delete: DeleteFile("%s")\0\0\0\0\*.*\0\0\0\0Delete: ERROR -- "%s" does not exist. Skipping delete.\0\0\20\21\22\0\10\7\11\6\12\5\13\4\14\3\15\2\16\1\17\0\3\0\4\0\5\0\6\0\7\0\10\0\11\0\12\0\13\0\15\0\17\0\21\0\23\0\27\0\33\0\37\0#\0+\03\0;\0C\0S\0c\0s\0\203\0\243\0\303\0\343\0\2\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\1\0\1\0\1\0\2\0\2\0\2\0\2\0\3\0\3\0\3\0\3\0\4\0\4\0\4\0\4\0\5\0\5\0\5\0\5\0\0\0p\0p\0\0\0\1\0\2\0\3\0\4\0\5\0\7\0\11\0\15\0", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "rsion\0\0\0CommonFilesDir\0\0\Microsoft\Internet Explorer\Quick Launch\0\0\0RMDir: RemoveDirectory failed("%s")\0RMDir: RemoveDirectory on Reboot("%s")\0\0RMDir: RemoveDirectory("%s")\0\0\0\0Delete: DeleteFile failed("%s")\0Delete: DeleteFile on Reboot("%s")\0\0Delete: DeleteFile("%s")\0\0\0\0\*.*\0\0\0\0Delete: ERROR -- "%s" does not exist. Skipping delete.\0\0\20\21\22\0\10\7\11\6\12\5\13\4\14\3\15\2\16\1\17\0\3\0\4\0\5\0\6\0\7\0\10\0\11\0\12\0\13\0\15\0\17\0\21\0\23\0\27\0\33\0\37\0#\0+\03\0;\0C\0S\0c\0s\0\203\0\243\0\303\0\343\0\2\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\1\0\1\0\1\0\2\0\2\0\2\0\2\0\3\0\3\0\3\0\3\0\4\0\4\0\4\0\4\0\5\0\5\0\5\0\5\0\0\0p\0p\0\0\0\1\0\2\0\3\0\4\0\5\0\7\0\11\0\15\0", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "rsion\0\0\0CommonFilesDir\0\0\Microsoft\Internet Explorer\Quick Launch\0\0\0RMDir: RemoveDirectory failed("%s")\0RMDir: RemoveDirectory on Reboot("%s")\0\0RMDir: RemoveDirectory("%s")\0\0\0\0Delete: DeleteFile failed("%s")\0Delete: DeleteFile on Reboot("%s")\0\0Delete: DeleteFile("%s")\0\0\0\0\*.*\0\0\0\0Delete: ERROR -- "%s" does not exist. Skipping delete.\0\0\20\21\22\0\10\7\11\6\12\5\13\4\14\3\15\2\16\1\17\0\3\0\4\0\5\0\6\0\7\0\10\0\11\0\12\0\13\0\15\0\17\0\21\0\23\0\27\0\33\0\37\0#\0+\03\0;\0C\0S\0c\0s\0\203\0\243\0\303\0\343\0\2\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\1\0\1\0\1\0\2\0\2\0\2\0\2\0\3\0\3\0\3\0\3\0\4\0\4\0\4\0\4\0\5\0\5\0\5\0\5\0\0\0p\0p\0\0\0\1\0\2\0\3\0\4\0\5\0\7\0\11\0\15\0", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "rsion\0\0\0CommonFilesDir\0\0\Microsoft\Internet Explorer\Quick Launch\0\0\0RMDir: RemoveDirectory failed("%s")\0RMDir: RemoveDirectory on Reboot("%s")\0\0RMDir: RemoveDirectory("%s")\0\0\0\0Delete: DeleteFile failed("%s")\0Delete: DeleteFile on Reboot("%s")\0\0Delete: DeleteFile("%s")\0\0\0\0\*.*\0\0\0\0Delete: ERROR -- "%s" does not exist. Skipping delete.\0\0\20\21\22\0\10\7\11\6\12\5\13\4\14\3\15\2\16\1\17\0\3\0\4\0\5\0\6\0\7\0\10\0\11\0\12\0\13\0\15\0\17\0\21\0\23\0\27\0\33\0\37\0#\0+\03\0;\0C\0S\0c\0s\0\203\0\243\0\303\0\343\0\2\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\1\0\1\0\1\0\2\0\2\0\2\0\2\0\3\0\3\0\3\0\3\0\4\0\4\0\4\0\4\0\5\0\5\0\5\0\5\0\0\0p\0p\0\0\0\1\0\2\0\3\0\4\0\5\0\7\0\11\0\15\0", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "rsion\0\0\0CommonFilesDir\0\0\Microsoft\Internet Explorer\Quick Launch\0\0\0RMDir: RemoveDirectory failed("%s")\0RMDir: RemoveDirectory on Reboot("%s")\0\0RMDir: RemoveDirectory("%s")\0\0\0\0Delete: DeleteFile failed("%s")\0Delete: DeleteFile on Reboot("%s")\0\0Delete: DeleteFile("%s")\0\0\0\0\*.*\0\0\0\0Delete: ERROR -- "%s" does not exist. Skipping delete.\0\0\20\21\22\0\10\7\11\6\12\5\13\4\14\3\15\2\16\1\17\0\3\0\4\0\5\0\6\0\7\0\10\0\11\0\12\0\13\0\15\0\17\0\21\0\23\0\27\0\33\0\37\0#\0+\03\0;\0C\0S\0c\0s\0\203\0\243\0\303\0\343\0\2\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\1\0\1\0\1\0\2\0\2\0\2\0\2\0\3\0\3\0\3\0\3\0\4\0\4\0\4\0\4\0\5\0\5\0\5\0\5\0\0\0p\0p\0\0\0\1\0\2\0\3\0\4\0\5\0\7\0\11\0\15\0", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "rsion\0\0\0CommonFilesDir\0\0\Microsoft\Internet Explorer\Quick Launch\0\0\0RMDir: RemoveDirectory failed("%s")\0RMDir: RemoveDirectory on Reboot("%s")\0\0RMDir: RemoveDirectory("%s")\0\0\0\0Delete: DeleteFile failed("%s")\0Delete: DeleteFile on Reboot("%s")\0\0Delete: DeleteFile("%s")\0\0\0\0\*.*\0\0\0\0Delete: ERROR -- "%s" does not exist. Skipping delete.\0\0\20\21\22\0\10\7\11\6\12\5\13\4\14\3\15\2\16\1\17\0\3\0\4\0\5\0\6\0\7\0\10\0\11\0\12\0\13\0\15\0\17\0\21\0\23\0\27\0\33\0\37\0#\0+\03\0;\0C\0S\0c\0s\0\203\0\243\0\303\0\343\0\2\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\1\0\1\0\1\0\2\0\2\0\2\0\2\0\3\0\3\0\3\0\3\0\4\0\4\0\4\0\4\0\5\0\5\0\5\0\5\0\0\0p\0p\0\0\0\1\0\2\0\3\0\4\0\5\0\7\0\11\0\15\0", ) , ) == 0x0
 01181   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\201\0\301\0\1\1\201\1\1\2\1\3\1\4\1\6\1\10\1\14\1\20\1\30\1 \10\1@\1`\0\0\0\0\0\0\0\0\1\0\1\0\2\0\2\0\3\0\3\0\4\0\4\0\5\0\5\0\6\0\6\0\7\0\7\0\10\0\10\0\11\0\11\0\12\0\12\0\13\0\13\0\14\0\14\0\15\0\15\0FCCreateKey\0FCSetKeyOptions\0FCCreatePersistentKey\0\0\0FCCreateCounter\0FCCreatePersistentCounter\0\0\0FCFlushNonSharedPersistentKeys\0\0FCAddDataToKey\0\0FCDeleteDataFromKey\0FCAddIntToKey\0\0\0FCDeleteIntFromKey\0\0FCAddStringToKey\0\0\0\0FCDeleteStringFromKey\0\0\0FCRegisterMemory\0\0\0\0FCUnregisterMemory\0\0FCAddDateToKey\0\0FCDeleteDateFromKey\0FCSetCounter\0\0\0\0FCIncrementCounter\0\0FCDecrementCounter\0\0FCGetCounter\0\0\0\0FCTriggerInterna", ) , ) == 0x0
 01182   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "SupportIncidentInternal\0FCTraceInternal\0FCAssertInternal1\0\0\0FCCleanup\0\0\0FCOrphanLoadCount\0\0\0FCAssertParamInternal1\0\0FCTraceParamInternal\0\0\0\0FCLibraryVersion\0\0\0\0FCInitializeWithManifestInternal\0\0\0\0FCInitializeWithManifestInternalEx\0\0FCSetMiniDump\0\0\0FCExceptionHandler\0\0FCSetUIState\0\0\0\0FCClearKeys\0FCClearCounters\0FCClearKey\0\0FCDeleteKey\0FCStartTimer\0\0\0\0FCHeartbeatTimer\0\0\0\0FCEndTimer\0\0FCGetSessionUniqueID\0\0\0\0FCSetLocale\0FCRunMemTest\0\0\0\0InstallDir\0\0Software\America Online\AOL Diagnostics\0LoaderPath\0\0", ) , ) == 0x0
 01183   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "rica Online\Loader\0\0talkback.exe\0\0\0\0tbdiag.dll\0\03\2\363\200\337\267\322\21\243;\0`\227\337[\324\344\364>\341\362\322\320\21\230\26\0\300O\331\31r\224\232jY>\1\321\21\2154\0\240\311\17'\31\20f\271@"\265\321\21\263\264\0\252\0n\375\347\20\250\223\2248\354\320\21\274F\0\252\0l\342\365\22\12\237\\236\225\320\21\243\244\0\240\311\10&6\264~\301\246e-\322\21\203\217\0\300O\331\30\320d\246\321\21\214\260\0\300O\331\30\320 \300\234\355\271\10\321\21\230#\0\300O\331\31r\300\23Smb\214\321\21\262\315\0`\227\337\214\21\200\3774DL\357\316\21\256e\10\0+.\22b\260\342+\330dW\320\21\251n\0\300O\327\5\242!\277\\16_\321\320\21\203\1\0\252\0[C\203\340\5\326\207\21\305\317\21\211\251\0\240\311\5A)@\374\255\372w\267iK\252\201w\3^\360\346\350\343\244!F\326\360sG\212\234F\347{\27H@(\342\2019Y\365\323\21\216:\0\300Oh7\325\253\263\353\34\20|\232I\244\27\222\312\26\304\313\203'\342\2019Y\365\323\21\216:\0\300Oh7\325&\342\2019Y\365\323\21\216:\0\300Oh7\325%\342\2019Y\365\323\21\216:\0\300Oh7\325$\342\2019Y\365\323\21\216:\0\300Oh7\325\0\243i\331\377\347\320\21\251;\0\240\311\17'\31&H\307S\231\2533M\254\2441\27\365\357\210\242\17\361\376^5\6N\223\201\233$\327\367\314\210]\223\232\210", ) \265\321\21\263\264\0\252\0n\375\347\20\250\223\2248\354\320\21\274F\0\252\0l\342\365\22\12\237\\236\225\320\21\243\244\0\240\311\10&6\264~\301\246e-\322\21\203\217\0\300O\331\30\320d\246353\15\321\21\230%\0\300O\331\31r\364\272^\26Qm\322\21\203\255\0\300O\331\30\320\353\257\347\321.j\320\21\214x\0\300O\331\30\264\354\216'\214\253>\321\21\214\260\0\300O\331\30\320 \300\234\355\271\10\321\21\230#\0\300O\331\31r\300\23Smb\214\321\21\262\315\0`\227\337\214\21\200\3774DL\357\316\21\256e\10\0+.\22b\260\342+\330dW\320\21\251n\0\300O\327\5\242!\277\\16_\321\320\21\203\1\0\252\0[C\203\340\5\326\207\21\305\317\21\211\251\0\240\311\5A)@\374\255\372w\267iK\252\201w\3^\360\346\350\343\244!F\326\360sG\212\234F\347{\27H@(\342\2019Y\365\323\21\216:\0\300Oh7\325\253\263\353\34\20|\232I\244\27\222\312\26\304\313\203'\342\2019Y\365\323\21\216:\0\300Oh7\325&\342\2019Y\365\323\21\216:\0\300Oh7\325%\342\2019Y\365\323\21\216:\0\300Oh7\325$\342\2019Y\365\323\21\216:\0\300Oh7\325\0\243i\331\377\347\320\21\251;\0\240\311\17'\31&H\307S\231\2533M\254\2441\27\365\357\210\242\17\361\376^5\6N\223\201\233$\327\367\314\210]\223\232\210", ) == 0x0
 01184   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\265\341I6F\323\21\227\367\0\300OE\320\263\20\215\341\1\213M\322\21\205]\0`\10\5\223g\264\363P0\265\230\317\21\273\202\0\252\0\275\316\13\263\363P0\265\230\317\21\273\202\0\252\0\275\316\13\273\363P0\265\230\317\21\273\202\0\252\0\275\316\13\206\367[\336zG\322\21\203\235\0\300O\331\30\320\213'WF\33A\322\21\203\232\0\300O\331\30\320\212'WF\33A\322\21\203\232\0\300O\331\30\320\222\204Q\22\262\0\322\21\237\245\2364 RAS_e\270\377\271\201\316O\270\234\232k\247m\23\347\223\204Q\22\262\0\322\21\237\245\2364 RAS\341\13p\16\266\235\321\21\241\316\0\300O\327]\23\220\34iI\27~\32\20\251\34\10\0+.\315\2515K\27\233\377@\322\21\242~\0\300O\303\10q\344\31\254\256\256\211\10E\271\267\273\206z\276\342\355.7\243V\234\316\322\21\237\16\0`\227\306\206\366\200T'\362\202\367\221B\275\224\3616\223Q:\3544K\27\233\377@\322\21\242~\0\300O\303\10q!\213\2152)w\374K\225L\220+2\235V\2603K\27\233\377@\322\21\242~\0\300O\303\10q\241\35\270\245\11M\226\331l\277\311g\32\2310\361%\267\357G\32\20\245\361\2`\214\236\353\254\246jc(=\225\322\21\265\326\0\300O\331\30\320\214\366\362\223\33\35\323\21\243\16\0\300Oy\253\321R\351Wp\33\275\321\21\211\31\0\300O\302\3106\240\307\314\317\202\242\321\21\220\202\0`\10\5\223\202\330\265\344,\217\242\322\21\206\305\0\300O\216\352\231\2704\217\27\202\242\322\21\206\305\0\300O\216\352\231\200iy\36\305\234\321\21\250?\0\300O\311\235a0\4p\373,\225\321\21\224o\0\0\0\0\0\0P\207\246\223\32\225\321\21\224o\0\0\0\0\0\0\304t.\15", ) , ) == 0x0
 01185   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\2O\361$\34{\321\21\203\217\0\0\370\4a\317\1O\361$\34{\321\21\203\217\0\0\370\4a\317\4P\2\350B\34\322\21\276,\0\240\311\250=\241\3754p\240\252lTI\254?\227\242r\26\371\212\220\245l\304?<\322\21\276\346\0\0\370\5\312W\300\5\241\322\325\207\321\21\203\221\0\0\370\4a\317A`\302t\321p\321\21\267Z\0\240\311\5d\376\342T'\262tE\321\21\230\210\0`\227\336\254\371\340.PR\200\354\320\21\211\253\0\300O\302\227-\0\353\220\364@\22\321\21\230\210\0`\227\336\254\371\0\207\4u\37\357\320\21\230\210\0`\227\336\254\371@\345\221\260\343\203\317\21\247\23\0 \257\327\227b@\276\226L\\221\317\21\231\323\0\252\0J\3507\4|\274\353^1\322\21\266/\0`\227\337[\324R88\370\323\374\321\21\246\271\0`\227\337[\324\223\3335i\350!\314L\276\271\237\343\307z)ze'\273\0wj\320\21\2455\0\300O\327\320bA\246Vgq\336\320\21\203\33\0\252\0[C\203\3616\300\3\206\241\320\21\202J\0\252\0[C\203d'\273\0wj\320\21\2455\0\300O\327\320bc'\273\0wj\320\21\2455\0\300O\327\320b!m\225\221v\222\321\21\222\32\0`\227\337[\324\240A\1G\206Q\322\21\273\266\0`\227{FL\2600\241w\375\224\320\21\245D\0\300O\327\320ba'\273\0wj\320\21\2455\0\300O\327\320b`'\273\0wj\320\21\2455\0\300O\327\320b\0\256\277\317\246\27\320\21\231\313\0\300O\326D\227@J7<\344\272\317\21\277}\0\252\0iF\356\240\15\273\312W\332\317\21\231t\0 \257\327\227b\200;\362\373\360\343\33\20\204\210\0\252\0>V\370@;\362\373\360\343\33\20\204\210\0\252\0>V\370\261\342+\330", ) , ) == 0x0
 01186   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "|\336\303I)\323\320\21\253s\0\300O\303>\200$\246\357\216\351\321[D\224\267t\373\316.\241\32\220\262\353\213\320R\320\21\267\364\0\300O\327\6\354\345%\361e\341{\20H\272\235\322q\310C,\343\0w~\23s5\317\21\256i\10\0+.\22b\340\245\37\16s5\317\21\256i\10\0+.\22b\300\0\220\10s5\317\21\256i\10\0+.\22b\340\320W\0s5\317\21\256i\10\0+.\22b\240\267\16q\355E\320\21\222J\0 \257\307\254M\310\14\350\177G\302\320\21\271:\0\240\311\3\22\341&\256M[\7\270\320\21\230\25\0\300O\331\31r\20\177\360J1\322\320\21\271B\0\240\311\3\22\341\200\376\22m\21y\317\21\2254\0\0\300[\256\13\240\340\374\274\27\354\320\21\215\20\0\240\311\17'\31\200\317\275\36\0\242\320\21\243\244\0\300O\327\6\354+X\375m\343\222\321\21\230\243\0\300O\266\207\332\214\21\310H$\271\321\21\230\325\0\300O\266\207\332f\222\243N\21r\237@\266"\366=\275\26\3053\0\215x\205\7h\320\21\270\20\0\300O\327\6\3544^\13\361;\335\247B\252}/N\305K\260\233\201\37\265ch\310\320\21\231\234\0\300O\326U\341\337O\360\316r\376\322\21\207\245\0\300Oh7\317 \343G \251\362\316\21\256e\10\0+.\22b\26\2253\20\224(\322\21\2209\0\300O\216\353>\0Bl\14\211\305\320\21\231\232\0\300O\326U\341p\212h}\23\306\320\21\231\233\0\300O\326U\341ze\322G'{\320\21\214\251\0\240\311-\277\350\302/4*&{\320\21\214\251\0\240\311-\277\350\222\203\333\3611s\320\21\214\231\0\240\311-\277\350\252O(hHj\320\21\214x\0\300O\331\30\264\257\361s\347e:fH\205}\204o\311\304Y\212\321\316\372\12", ) \366=\275\26\3053\0\215x\205\7h\320\21\270\20\0\300O\327\6\3544^\13\361;\335\247B\252}/N\305K\260\233\201\37\265ch\310\320\21\231\234\0\300O\326U\341\337O\360\316r\376\322\21\207\245\0\300Oh7\317 \343G \251\362\316\21\256e\10\0+.\22b\26\2253\20\224(\322\21\2209\0\300O\216\353>\0Bl\14\211\305\320\21\231\232\0\300O\326U\341p\212h}\23\306\320\21\231\233\0\300O\326U\341ze\322G'{\320\21\214\251\0\240\311-\277\350\302/4*&{\320\21\214\251\0\240\311-\277\350\222\203\333\3611s\320\21\214\231\0\240\311-\277\350\252O(hHj\320\21\214x\0\300O\331\30\264\257\361s\347e:fH\205}\204o\311\304Y\212\321\316\372\12", ) == 0x0
 01187   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\360d_\230\20\324\2N\276"\332\7\362\265\305\341\200\272\330\255+\0\320\21\217\17\0\300O\327\320b\244M\344^2m\343F\206\274\7T\15\355\320\340\242V\366\11\257A\14H\210\367\26\314\15\26F\25\240\366`\254\331\17\320\21\231\313\0\300O\326D\227\203)\325\I\224\322\21\226:\0\300Oy\255\360\256\264\342E\303\261\320\21\271/\0\240\311\3\22\341\200\236\343\210x5\317\21\256i\10\0+.\22b\241\37\316\213!\11\33\20\261\377\0\335\1\14\314H\0\25\2\0\0\0\0\0\300\0\0\0\0\0\0F\376\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\374\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\373\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\372\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\371\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\370\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\367\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\366\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\365\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\364\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\363\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\362\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\361\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\360\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\357\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\356\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\355\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\354\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\353\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\352\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\351\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\350\24\2\0", ) \332\7\362\265\305\341\200\272\330\255+\0\320\21\217\17\0\300O\327\320b\244M\344^2m\343F\206\274\7T\15\355\320\340\242V\366\11\257A\14H\210\367\26\314\15\26F\25\240\366`\254\331\17\320\21\231\313\0\300O\326D\227\203)\325\I\224\322\21\226:\0\300Oy\255\360\256\264\342E\303\261\320\21\271/\0\240\311\3\22\341\200\236\343\210x5\317\21\256i\10\0+.\22b\241\37\316\213!\11\33\20\261\377\0\335\1\14\314H\0\25\2\0\0\0\0\0\300\0\0\0\0\0\0F\376\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\374\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\373\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\372\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\371\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\370\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\367\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\366\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\365\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\364\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\363\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\362\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\361\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\360\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\357\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\356\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\355\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\354\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\353\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\352\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\351\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\350\24\2\0", ) == 0x0
 01188   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\346\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\345\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\344\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\343\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\342\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\341\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\323\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\322\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\321\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\320\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\241\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\240\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\224\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\223\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\222\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\221\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\220\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\272\217\15E%\255\320\21\230\250\10\06\33\21\3\200\242'"\352:i\20\242\336\10\0+00\235  \354!\352:i\20\242\335\10\0+00\235@\360_d\201P\33\20\237\10\0\252\0/\225N\240K6\363\271e\316\21\251\272\0\252\0J\3507\200S\34\207\240Bi\20\242\352\10\0+00\235\340O\320 \352:i\20\242\330\10\0+00\235\300T\247T\360K\321\21\203\356\0\240\311\15\310I\220*T\300\360K\321\21\203\356\0\240\311\15\310I\200f\340F\360K\321\21\203\356\0\240\311\15\310I`,\215 \352:i\20\242\327\10\0+00\235\1\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\0\24\2\0\0\0\0\0\300\0\0\0\0\0\0F4\0\0\0\0\0\0\0\300\0\0\0\0\0\0FU\158r", ) \352:i\20\242\336\10\0+00\235  \354!\352:i\20\242\335\10\0+00\235@\360_d\201P\33\20\237\10\0\252\0/\225N\240K6\363\271e\316\21\251\272\0\252\0J\3507\200S\34\207\240Bi\20\242\352\10\0+00\235\340O\320 \352:i\20\242\330\10\0+00\235\300T\247T\360K\321\21\203\356\0\240\311\15\310I\220*T\300\360K\321\21\203\356\0\240\311\15\310I\200f\340F\360K\321\21\203\356\0\240\311\15\310I`,\215 \352:i\20\242\327\10\0+00\235\1\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\0\24\2\0\0\0\0\0\300\0\0\0\0\0\0F4\0\0\0\0\0\0\0\300\0\0\0\0\0\0FU\158r", ) == 0x0
 01189   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\316\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\324\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\325\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\306\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\300\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\301\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\336\220y\224(\314\322\21\240\367\0\200_\205\217\261\10\307\235\226v\\321\21\215\206\0\0\370\4\260W\317:/\333\206/\321\21\216\4\0\300O\271\230\232\316:/\333\206/\321\21\216\4\0\300O\271\230\232\315:/\333\206/\321\21\216\4\0\300O\271\230\232\314:/\333\206/\321\21\216\4\0\300O\271\230\232\313:/\333\206/\321\21\216\4\0\300O\271\230\232\312:/\333\206/\321\21\216\4\0\300O\271\230\232H\1\0\0\0\0\0\0\300\0\0\0\0\0\0FG\1\0\0\0\0\0\0\300\0\0\0\0\0\0FE\1\0\0\0\0\0\0\300\0\0\0\0\0\0F&\0\0\0\0\0\0\0\300\0\0\0\0\0\0F+\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\350\271\14\353\226y\322\21\207.\0\0\370\10\10YI\1\0\0\0\0\0\0\300\0\0\0\0\0\0F0:s\34\34*\316\21\255\345\0\252\0Dw=*\0\0\0\0\0\0\0\300\0\0\0\0\0\0F)\0\0\0\0\0\0\0\300\0\0\0\0\0\0F%\0\0\0\0\0\0\0\300\0\0\0\0\0\0F3\0\0\0\0\0\0\0\300\0\0\0\0\0\0F2\0\0\0\0\0\0\0\300\0\0\0\0\0\0F1\0\0\0\0\0\0\0\300\0\0\0\0\0\0F0\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\222Mm\168g\317\21\226\10\0\252\0h\15\264F\1\0\0\0\0\0\0\300\0\0\0\0\0\0F"\0\0\0", ) \0\0\0", ) == 0x0
 01190   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "4\310\31\215y\210\321\21\203\351\0\300O\302\306\324\256\366\13\274x\210\321\21\203\351\0\300O\302\306\324z\324\3630Gd\321\21\216<\0\300O\2718m\220Mm\168g\317\21\226\10\0\252\0h\15\264\240X\327\251\27F\317\21\225\374\0\252\0h\15\264\20\360\312\231^A\317\21\210\24\0\252\0\265i\365D\1\0\0\0\0\0\0\300\0\0\0\0\0\0F@\1\0\0\0\0\0\0\300\0\0\0\0\0\0F>\1\0\0\0\0\0\0\300\0\0\0\0\0\0F=\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\240\304\10\20\23v\317\21\232\361\0 \257nr\364\320i\365\325;Y\32\20\265i\10\0+-\277z\374j\365\325;Y\32\20\265i\10\0+-\277z4j\365\325;Y\32\20\265i\10\0+-\277z\31\205\240X\310$5I\264\202?\330#3:O\0V\261%\25\1\320\21\277\15\0\252\0\270\337\322\266\237\2\2454<\321\21\234\231\0\300O\271\230\252\3201OY\31\177\320\21\261\224\0\240\311\15\310\277`k\365\325;Y\32\20\265i\10\0+-\277z\26\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\20\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\16\1\0\0\0\0\0\0\300\0\0\0\0\0\0FQ\1\0\0\0\0\0\0\300\0\0\0\0\0\0F%\1\0\0\0\0\0\0\300\0\0\0\0\0\0FP\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\17\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\22\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\5\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\3\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\12\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\12\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\13\1\0\0", ) , ) == 0x0
 01191   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\13\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\15\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\14\0\0\0\0\0\0\0\300\0\0\0\0\0\0F0:s\14\34*\316\21\255\345\0\252\0Dw=\1\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\300k\237\362!P\316\21\252\25\0\0i\1)?\17\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\11\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\14\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\20\0\0\0\0\0\0\0\300\0\0\0\0\0\0F&\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\2\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\16\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\0\1\0\0\0\0\0\0\300\0\0\0\0\0\0F!\0\0\0\0\0\0\0\300\0\0\0\0\0\0F \0\16\0\0\0\0\0\300\0\0\0\0\0\0F \0\0\0\0\0\0\0\300\0\0\0\0\0\0F\31\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\30\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\35\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\2\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\317\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\3\0\0\0\0\0\0\0\300\0\0\0\0\0\0FL\266\0\0\0\0\0\0\0\0\0\0\16\271\0\0(\220\0\0\260\270\0\0\0\0\0\0\0\0\0\0^\271\0\0\214\222\0\0\204\266\0\0\0\0\0\0\0\0\0\0\370\275\0\0`\220\0\0\260\267\0\0\0\0\0\0\0\0\0\0\12\302\0\0\214\221\0\0`\266\0\0\0\0\0\0\0\0\0\0\234\302\0\0<\220\0\0$\266\0\0\0\0\0\0\0\0\0\0<\303\0\0\0\220\0\0\224\267\0\0\0\0\0\0\0\0\0\0", ) , ) == 0x0
 01192   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\0\0\0\12\304\0\0\234\222\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\246\302\0\0\304\302\0\0\322\302\0\0\342\302\0\0*\303\0\0\30\303\0\0\6\303\0\0\362\302\0\0\266\302\0\0\0\0\0\0\21\0\0\200\344\270\0\0\320\270\0\0\372\270\0\0\0\0\0\0~\302\0\0n\302\0\0X\302\0\0B\302\0\06\302\0\0&\302\0\0\216\302\0\0\26\302\0\0\0\0\0\0h\272\0\0z\272\0\0\212\272\0\0\236\272\0\0\256\272\0\0\304\272\0\0\332\272\0\0\366\272\0\0\20\273\0\0\34\273\0\0*\273\0\08\273\0\0N\273\0\0`\273\0\0n\273\0\0\202\273\0\0\226\273\0\0\242\273\0\0\256\273\0\0\306\273\0\0\334\273\0\0\344\273\0\0\364\273\0\0\2\274\0\0\30\274\0\0X\272\0\0:\274\0\0N\274\0\0Z\274\0\0f\274\0\0x\274\0\0\220\274\0\0\240\274\0\0\254\274\0\0\304\274\0\0\330\274\0\0\350\274\0\0\366\274\0\0\4\275\0\0\24\275\0\0&\275\0\02\275\0\0@\275\0\0T\275\0\0d\275\0\0v\275\0\0\206\275\0\0\234\275\0\0\262\275\0\0\306\275\0\0\326\275\0\0\346\275\0\0j\271\0\0t\271\0\0F\272\0\08\272\0\0\202\271\0\0"\272\0\0\4\272\0\0\350\271\0\0\334\271\0\0\320\271\0\0\276\271\0\0\262\271\0\0\242\271\0\0\220\271\0\0,\274\0\0\0\0\0\0^\303\0\0\206\303\0\0\234\303\0\0\252\303\0\0J\303\0\0n\303\0\0\0\0\0\0T\277\0\0f\277\0\0x\277\0\0\204\277\0\0\224\277\0\0\252\277\0\0\272\277\0\0\306\277\0\0\324\277\0\0\346\277\0\0\364\277\0\0\0\300\0\0\22\300\0\0&\300\0\0<\300\0\0N\300\0\0^\300\0\0", ) \272\0\0\4\272\0\0\350\271\0\0\334\271\0\0\320\271\0\0\276\271\0\0\262\271\0\0\242\271\0\0\220\271\0\0,\274\0\0\0\0\0\0^\303\0\0\206\303\0\0\234\303\0\0\252\303\0\0J\303\0\0n\303\0\0\0\0\0\0T\277\0\0f\277\0\0x\277\0\0\204\277\0\0\224\277\0\0\252\277\0\0\272\277\0\0\306\277\0\0\324\277\0\0\346\277\0\0\364\277\0\0\0\300\0\0\22\300\0\0&\300\0\0<\300\0\0N\300\0\0^\300\0\0", ) == 0x0
 01193   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\242\300\0\0\266\300\0\0\310\300\0\0\330\300\0\0\352\300\0\0\372\300\0\0\10\301\0\0\32\301\0\0.\301\0\0:\301\0\0J\301\0\0\\301\0\0l\301\0\0~\301\0\0\216\301\0\0\240\301\0\0\270\301\0\0\312\301\0\0\334\301\0\0\356\301\0\0\374\301\0\0>\277\0\00\277\0\0$\277\0\0\30\277\0\0\2\277\0\0\362\276\0\0\346\276\0\0\330\276\0\0\306\276\0\0\270\276\0\0\260\276\0\0\240\276\0\0\220\276\0\0|\276\0\0j\276\0\0Z\276\0\0H\276\0\0*\276\0\0\36\276\0\0\22\276\0\0\6\276\0\0:\276\0\0\0\0\0\0D\271\0\0.\271\0\0\34\271\0\0\0\0\0\0\350\303\0\0\372\303\0\0\324\303\0\0\0\0\0\08\0ImageList_Destroy\04\0ImageList_AddMasked\07\0ImageList_Create\0\0COMCTL32.dll\0\0\12\0VerQueryValueA\0\0\0\0GetFileVersionInfoA\0\1\0GetFileVersionInfoSizeA\0VERSION.dll\0j\2MulDiv\0\0|\0DeleteFileA\0\365\1GlobalFree\0\0\311\0FindFirstFileA\0\0\323\0FindNextFileA\0\305\0FindClose\0\16\3SetFilePointer\0\0\251\2ReadFile\0\0\224\3WriteFile\0\224\1GetPrivate", ) , ) == 0x0
 01194   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "gA\0\0\231\3WritePrivateProfileStringA\0\0k\2MultiByteToWideChar\0\357\0FreeLibrary\0\230\1GetProcAddress\0\0H\2LoadLibraryA\0\0\352\0FormatMessageA\0\0i\1GetLastError\0\0w\1GetModuleHandleA\0\0\10\3SetErrorMode\0\0R\1GetExitCodeProcess\0\0\203\3WaitForSingleObject\0\262\0ExpandEnvironmentStringsA\0P\1GetEnvironmentVariableA\0\263\3lstrcmpiA\0.\0CloseHandle\0\22\3SetFileTime\0V\1GetFileAttributesA\0\03\0CompareFileTime\0\316\2SearchPathA\0\255\1GetShortPathNameA\0a\1GetFullPathNameA\0\0d\2MoveFileA\0\255\3lstrcatA\0\0\375\2SetCurrentDirectoryA\0\0\14\3SetFileAttributesA\0\0G\3Sleep\0\325\1GetTickCount\0\0", ) , ) == 0x0
 01195   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "e\0u\1GetModuleFileNameA\0\0E\0CreateDirectoryA\0\0\257\0ExitProcess\0:\1GetCurrentProcess\0=\0CopyFileA\0\271\3lstrcpynA\0\10\1GetCommandLineA\0\351\1GetWindowsDirectoryA\0\0\313\1GetTempPathA\0\0\266\3lstrcpyA\0\0\332\1GetUserDefaultLangID\0\0E\1GetDiskFreeSpaceA\0\0\2GlobalUnlock\0\0\371\1GlobalLock\0\0\356\1GlobalAlloc\0i\0CreateThread\0\0`\0CreateProcessA\0\0\274\3lstrlenA\0\0M\0CreateFileA\0\311\1GetTempFileNameA\0\0\3\3SetEndOfFile\0\0c\3UnmapViewOfFile\0^\2MapViewOfFile\0N\0CreateFileMappingA\0\0\271\1GetSystemDirectoryA\0\270\2RemoveDirectoryA\0\0{\3VirtualQuery\0\0&\2IsBadCodePtr\0\0I\2LoadLibraryE", ) , ) == 0x0
 01196   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, ".dll\0\0\310\0EndPaint\0\0\274\0DrawTextA\0\342\0FillRect\0\0\377\0GetClientRect\0\15\0BeginPaint\0\0\216\0DefWindowProcA\0\0;\2SendMessageA\0\0\223\1InvalidateRect\0\0\241\0DispatchMessageA\0\0\377\1PeekMessageA\0\0\304\0EnableWindow\0\0\14\1GetDC\0\277\1LoadImageA\0\0\200\2SetWindowLongA\0\0\21\1GetDlgItem\0\0\255\1IsWindow\0\0\344\0FindWindowExA\0>\2SendMessageTimeoutA\0\326\2wsprintfA\0-\0CharPrevA\0\222\2ShowWindow\0\0W\2SetForegroundWindow\0\3\2PostQuitMessage\0\206\2SetWindowTextA\0\0z\2SetTimer\0\0\231\0DestroyWindow\0U\0CreateDialogParamA\0\0\341\0ExitWindowsEx\0*\0CharNextA\0Z\1GetSysColor\0n\1GetWindowLongA\0\0\271\1LoadCursorA\0", ) , ) == 0x0
 01197   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "8\0CheckDlgButton\0\0\362\0GetAsyncKeyState\0\0\243\1IsDlgButtonChecked\0\01\2ScreenToClient\0\0<\1GetMessagePos\0\33\0CallWindowProcA\0\261\1IsWindowVisible\0\267\1LoadBitmapA\0B\0CloseClipboard\0\0J\2SetClipboardData\0\0\301\0EmptyClipboard\0\0\365\1OpenClipboard\0\244\2TrackPopupMenu\0\0t\1GetWindowRect\0\10\0AppendMenuA\0^\0CreatePopupMenu\0]\1GetSystemMetrics\0\0\306\0EndDialog\0G\2SetClassLongA\0\256\1IsWindowEnabled\0\203\2SetWindowPos\0\0\236\0DialogBoxParamA\0\366\0GetClassInfoA\0`\0CreateWindowExA\0\231\2SystemParametersInfoA\0\26\2RegisterClassA\0\0S\2SetDlgItemTextA\0\23\1GetDlgItemTextA\0\336\1Mess", ) , ) == 0x0
 01198   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "sprintfA\0\0USER32.dll\0\0\16\2SelectObject\0\0<\2SetTextColor\0\0\26\2SetBkMode\0:\0CreateFontIndirectA\0)\0CreateBrushIndirect\0\217\0DeleteObject\0\0k\1GetDeviceCaps\0\25\2SetBkColor\0\0GDI32.dll\0\320\1RegDeleteKeyA\0\311\1RegCloseKey\0\325\1RegEnumKeyA\0\342\1RegOpenKeyExA\0\331\1RegEnumValueA\0\354\1RegQueryValueExA\0\0\371\1RegSetValueExA\0\0\315\1RegCreateKeyExA\0\322\1RegDeleteValueA\0ADVAPI32.dll\0\0\232\0SHFileOperationA\0\0\6\1ShellExecuteA\0\273\0SHGetPathFromIDListA\0\0y\0SHBrowseForFolderA\0\0\266\0SHGetMalloc\0\302\0SHGetSpecialFolderLocation\0\0SHELL32.dll\0\20\0CoCreateInstance\0\0\4\1OleUniniti", ) , ) == 0x0
 01199   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "nitialize\0ole32.dll\0RSDSe\214m/\354\215\11L\223\7X\326\2468\365\212\1\0\0\0d:\cm\build\public\NSIS.9d_GM_TB.060407\sdks\nullsoft\nsis\src\Source\exehead\Release-zlib\exehead_zlib.pdb\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) , ) == 0x0
 01200   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0BC\0\347\23@\0\6\0\0\0\377\377\377\377A~NSISu_.exe\0\0\0\0\377\377\377\377-A@\0\10J@\0\335D@\0vQ@\0\322C@\0\377\377\377\377\6\0\0\0RichEdit20A\0RichEd20.dll\0\0\0\0\377\377\377\377\0\0\1\0\3\0\7\0\17\0\37\0?\0\177\0\377\0\377\1\377\3\377\7\377\17\377\37\377?\377\177\377\377\0\0\11\0\0\0\5\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) , ) == 0x0
 01201   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\5\0\3\0\0\08\0\0\200\5\0\0\0`\0\0\200\16\0\0\0\220\0\0\200\20\0\0\0\250\0\0\200\30\0\0\0\300\0\0\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\3\0\1\0\0\0\330\0\0\200\2\0\0\0\360\0\0\200\3\0\0\0\10\1\0\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\4\0g\0\0\0 \1\0\200i\0\0\08\1\0\200j\0\0\0P\1\0\200o\0\0\0h\1\0\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0g\0\0\0\200\1\0\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\1\0\0\0\230\1\0\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\1\0\0\0\260\1\0\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\0\310\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\0\330\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\0\350\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\0\370\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\0\10\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\0\30\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\0(\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\08\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\0H\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\0X\2\0\0h\322\3\0\350\2\0\0\0\0\0\0\0\0\0\0P\325\3\0\250\10\0\0\0\0\0\0\0\0\0\0\370\335\3\0\250\20\0\0\0\0\0\0", ) , ) == 0x0
 01202   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\0\0\0\350\357\3\0\0\1\0\0\0\0\0\0\0\0\0\0\350\360\3\0\34\1\0\0\0\0\0\0\0\0\0\0\10\362\3\0`\0\0\0\0\0\0\0\0\0\0\0h\362\3\00\0\0\0\0\0\0\0\0\0\0\0\230\362\3\0\30\2\0\0\0\0\0\0\0\0\0\0\260\364\3\0\25\2\0\0\0\0\0\0\0\0\0\0(\0\0\0 \0\0\0@\0\0\0\1\0\4\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\0\0\0\0\0\0\0\0\0\0\200\0\0\0\0\200\0\0\200\200\0\0\0\0\200\0\200\0\200\0\0\200\200\0\200\200\200\0\300\300\300\0\377\0\0\0\0\377\0\0\377\377\0\0\0\0\377\0\377\0\377\0\0\377\377\0\377\377\377\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\6f`\0\0\0\0\0\0\0\0\0\0\0\0\6ff`\0\0\0\0\0\0\0\0\0\0\0\6fff`\0\0\0\0\0\0\0\0\0\0\6ffff`\0\0\0\0\0\0\0\0\0\6fffff`\0\0\0\0\0\0\0\0\6ffffff`\0\0\0\0\0\0\0\0\6ffffff`\0\0\0\0\0\0\0\0\6ffffff`\0\0\0\0\0\0\0\0\6fffwvf`\7w\0\0\0\0\0\0\6ffwwwf`wwwp\0\0\0\0\6gwwwwvgwwwwp\0\0\0\7wwwwwwwwwwwwp\0\7wwwwwwwwwwwwww\0wwwwwwwp\0wwwwww\0\7wwwwwwp\0\0wwwww\0\0wwwwwfff`\0wwww\0\0\7ww", ) , ) == 0x0
 01203   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\7wwwwv\314\314\314\314l\0wp\0\0\7wwwv\314\314\314\314\314\306pwp\0\0www\214\314\374\374\317\317\317\314www\0\0www\377\377\214\374\317\217\217\314www\0\7ww|\310\317\214\374\317\377\377\314wwwp\0\7w|\317\317\314\374\317\374\377\314www\0\0\0\7|\310\370\314\374\317\314\317\314wwp\0\0\0\0\14\314\374\314\374\317\314\317\306w\0\0\0\0\0\0\14\314\314\314\314\314\314\314\307\0\0\0\0\0\0\0\0\314\314\314\314\314\314\314\0\0\0\0\0\0\0\0\0\14\314\314\314\314\314\300\0\0\0\0\0\0\0\0\0\0\14\314\314\314\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\377\377\377\377\377\377\377\377\377\370\37\377\377\340\7\377\377\200\1\377\376\0\0\177\370\0\0\17\340\0\0\7\340\0\0\7\340\0\0\7\340\0\0\7\340\0\0\7\340\0\0\7\340\0\0\7\200\0\0\3\0\0\0\3\200\0\0\3\300\0\0\3\340\0\0\3\340\0\0\7\340\0\0\7\300\0\0\3\300\0\0\3\200\0\0\1\340\0\0\3\370\0\0\7\376\0\0?\376\0\0\377\377\0\3\377\377\200\7\377\377\340?\377\377\377\377\377(\0\0\0 \0\0\0@\0\0\0\1\0\10\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\0\0\0\22\22\22\0\236\236\266\0\32.\212\0FV\242\0RN>\0\26"\316\0\32.\306\0jfZ\0..N\0\162\346\02.&\0\36N\342\0Fn\376\0VR^\0JB*\0\266\306\376\0\32>\322\0\16>\346\0^ZJ\0\36^\352\0vrr\0\222\246\376\0226\0**.\0~vj\0\26>\366\0"N\362\0\32J\332\0\ZV\0"""\0jff\0", ) \316\0\32.\306\0jfZ\0..N\0\162\346\02.&\0\36N\342\0Fn\376\0VR^\0JB*\0\266\306\376\0\32>\322\0\16>\346\0^ZJ\0\36^\352\0vrr\0\222\246\376\0226\0**.\0~vj\0\26>\366\0 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\7wwwwv\314\314\314\314l\0wp\0\0\7wwwv\314\314\314\314\314\306pwp\0\0www\214\314\374\374\317\317\317\314www\0\0www\377\377\214\374\317\217\217\314www\0\7ww|\310\317\214\374\317\377\377\314wwwp\0\7w|\317\317\314\374\317\374\377\314www\0\0\0\7|\310\370\314\374\317\314\317\314wwp\0\0\0\0\14\314\374\314\374\317\314\317\306w\0\0\0\0\0\0\14\314\314\314\314\314\314\314\307\0\0\0\0\0\0\0\0\314\314\314\314\314\314\314\0\0\0\0\0\0\0\0\0\14\314\314\314\314\314\300\0\0\0\0\0\0\0\0\0\0\14\314\314\314\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\377\377\377\377\377\377\377\377\377\370\37\377\377\340\7\377\377\200\1\377\376\0\0\177\370\0\0\17\340\0\0\7\340\0\0\7\340\0\0\7\340\0\0\7\340\0\0\7\340\0\0\7\340\0\0\7\200\0\0\3\0\0\0\3\200\0\0\3\300\0\0\3\340\0\0\3\340\0\0\7\340\0\0\7\300\0\0\3\300\0\0\3\200\0\0\1\340\0\0\3\370\0\0\7\376\0\0?\376\0\0\377\377\0\3\377\377\200\7\377\377\340?\377\377\377\377\377(\0\0\0 \0\0\0@\0\0\0\1\0\10\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\0\0\0\22\22\22\0\236\236\266\0\32.\212\0FV\242\0RN>\0\26"\316\0\32.\306\0jfZ\0..N\0\162\346\02.&\0\36N\342\0Fn\376\0VR^\0JB*\0\266\306\376\0\32>\322\0\16>\346\0^ZJ\0\36^\352\0vrr\0\222\246\376\0226\0**.\0~vj\0\26>\366\0"N\362\0\32J\332\0\ZV\0"""\0jff\0", ) " (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\7wwwwv\314\314\314\314l\0wp\0\0\7wwwv\314\314\314\314\314\306pwp\0\0www\214\314\374\374\317\317\317\314www\0\0www\377\377\214\374\317\217\217\314www\0\7ww|\310\317\214\374\317\377\377\314wwwp\0\7w|\317\317\314\374\317\374\377\314www\0\0\0\7|\310\370\314\374\317\314\317\314wwp\0\0\0\0\14\314\374\314\374\317\314\317\306w\0\0\0\0\0\0\14\314\314\314\314\314\314\314\307\0\0\0\0\0\0\0\0\314\314\314\314\314\314\314\0\0\0\0\0\0\0\0\0\14\314\314\314\314\314\300\0\0\0\0\0\0\0\0\0\0\14\314\314\314\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\377\377\377\377\377\377\377\377\377\370\37\377\377\340\7\377\377\200\1\377\376\0\0\177\370\0\0\17\340\0\0\7\340\0\0\7\340\0\0\7\340\0\0\7\340\0\0\7\340\0\0\7\340\0\0\7\200\0\0\3\0\0\0\3\200\0\0\3\300\0\0\3\340\0\0\3\340\0\0\7\340\0\0\7\300\0\0\3\300\0\0\3\200\0\0\1\340\0\0\3\370\0\0\7\376\0\0?\376\0\0\377\377\0\3\377\377\200\7\377\377\340?\377\377\377\377\377(\0\0\0 \0\0\0@\0\0\0\1\0\10\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\0\0\0\22\22\22\0\236\236\266\0\32.\212\0FV\242\0RN>\0\26"\316\0\32.\306\0jfZ\0..N\0\162\346\02.&\0\36N\342\0Fn\376\0VR^\0JB*\0\266\306\376\0\32>\322\0\16>\346\0^ZJ\0\36^\352\0vrr\0\222\246\376\0226\0**.\0~vj\0\26>\366\0"N\362\0\32J\332\0\ZV\0"""\0jff\0", ) , ) == 0x0
 01204   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "|\232\376\0QNN\0\326\306\0\36.\202\0\11.\376\0:6*\0^~\376\0?>>\08^\376\0b^^\0\336\346\376\0\32>\336\0fbV\0\31F\376\0JF>\0...\0\22Z\362\0p\222\376\0\156\376\0\32\32\32\0\2\16\356\0\26V\352\0\16F\352\0;::\0b^V\0pnj\0">\252\0VVN\0rn^\02:Z\0wvr\0-**\0\306\316\0ZZv\0\16\36\302\0gfb\0\22N\352\0\32>\332\066>\0e\206\376\0Bf\376\0\363\366\376\0>N\266\026R\0Jv\376\0`ZR\0\16^\372\0\246\272\376\0766\0\21>\376\0!N\376\0\32F\336\0]ZZ\0+&*\0\366\242\0FB>\0db^\022.\0{\226\376\0\12\36\376\0\202~z\0\26*\302\0KJF\0\32.\322\0"2N\0\316\326\376\0\33B\322\0\205\242\376\0VRN\0FFz\0\122\376\0\32B\336\0\35J\376\0JFF\0\20:\376\0!\36"\0\16J\352\0trn\0|zv\0\32:\316\0\36R\352\0\376\376\376\0\31B\376\0,R\376\0\12&\376\0\26\26\26\0nj^\0:2&\0JJv\0\16B\346\0\22"F\0\202~j\0&&&\0ljf\0v\212\376\02J\302\00:r\0\366\276\0fj\202\0Rb\252\0)V\376\0BV\276\0&:\226\0\32&\272\0\36f\366\0JNj\0\306\316\376\0ZZj\06N\302\0\352\356\376\0\16:\346\0\322\302\0\326\336\376\0\30*\316\0\222\256\376\0B>2\0\26^\362\0\22:\336\0662\0\36b\366\0n\202\376\0Zz\376\0:b\376\0ZVV\0.:b\0", ) >\252\0VVN\0rn^\02:Z\0wvr\0-**\0\306\316\0ZZv\0\16\36\302\0gfb\0\22N\352\0\32>\332\066>\0e\206\376\0Bf\376\0\363\366\376\0>N\266\026R\0Jv\376\0`ZR\0\16^\372\0\246\272\376\0766\0\21>\376\0!N\376\0\32F\336\0]ZZ\0+&*\0\366\242\0FB>\0db^\022.\0{\226\376\0\12\36\376\0\202~z\0\26*\302\0KJF\0\32.\322\0 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "|\232\376\0QNN\0\326\306\0\36.\202\0\11.\376\0:6*\0^~\376\0?>>\08^\376\0b^^\0\336\346\376\0\32>\336\0fbV\0\31F\376\0JF>\0...\0\22Z\362\0p\222\376\0\156\376\0\32\32\32\0\2\16\356\0\26V\352\0\16F\352\0;::\0b^V\0pnj\0">\252\0VVN\0rn^\02:Z\0wvr\0-**\0\306\316\0ZZv\0\16\36\302\0gfb\0\22N\352\0\32>\332\066>\0e\206\376\0Bf\376\0\363\366\376\0>N\266\026R\0Jv\376\0`ZR\0\16^\372\0\246\272\376\0766\0\21>\376\0!N\376\0\32F\336\0]ZZ\0+&*\0\366\242\0FB>\0db^\022.\0{\226\376\0\12\36\376\0\202~z\0\26*\302\0KJF\0\32.\322\0"2N\0\316\326\376\0\33B\322\0\205\242\376\0VRN\0FFz\0\122\376\0\32B\336\0\35J\376\0JFF\0\20:\376\0!\36"\0\16J\352\0trn\0|zv\0\32:\316\0\36R\352\0\376\376\376\0\31B\376\0,R\376\0\12&\376\0\26\26\26\0nj^\0:2&\0JJv\0\16B\346\0\22"F\0\202~j\0&&&\0ljf\0v\212\376\02J\302\00:r\0\366\276\0fj\202\0Rb\252\0)V\376\0BV\276\0&:\226\0\32&\272\0\36f\366\0JNj\0\306\316\376\0ZZj\06N\302\0\352\356\376\0\16:\346\0\322\302\0\326\336\376\0\30*\316\0\222\256\376\0B>2\0\26^\362\0\22:\336\0662\0\36b\366\0n\202\376\0Zz\376\0:b\376\0ZVV\0.:b\0", ) \0\16J\352\0trn\0|zv\0\32:\316\0\36R\352\0\376\376\376\0\31B\376\0,R\376\0\12&\376\0\26\26\26\0nj^\0:2&\0JJv\0\16B\346\0\22 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "|\232\376\0QNN\0\326\306\0\36.\202\0\11.\376\0:6*\0^~\376\0?>>\08^\376\0b^^\0\336\346\376\0\32>\336\0fbV\0\31F\376\0JF>\0...\0\22Z\362\0p\222\376\0\156\376\0\32\32\32\0\2\16\356\0\26V\352\0\16F\352\0;::\0b^V\0pnj\0">\252\0VVN\0rn^\02:Z\0wvr\0-**\0\306\316\0ZZv\0\16\36\302\0gfb\0\22N\352\0\32>\332\066>\0e\206\376\0Bf\376\0\363\366\376\0>N\266\026R\0Jv\376\0`ZR\0\16^\372\0\246\272\376\0766\0\21>\376\0!N\376\0\32F\336\0]ZZ\0+&*\0\366\242\0FB>\0db^\022.\0{\226\376\0\12\36\376\0\202~z\0\26*\302\0KJF\0\32.\322\0"2N\0\316\326\376\0\33B\322\0\205\242\376\0VRN\0FFz\0\122\376\0\32B\336\0\35J\376\0JFF\0\20:\376\0!\36"\0\16J\352\0trn\0|zv\0\32:\316\0\36R\352\0\376\376\376\0\31B\376\0,R\376\0\12&\376\0\26\26\26\0nj^\0:2&\0JJv\0\16B\346\0\22"F\0\202~j\0&&&\0ljf\0v\212\376\02J\302\00:r\0\366\276\0fj\202\0Rb\252\0)V\376\0BV\276\0&:\226\0\32&\272\0\36f\366\0JNj\0\306\316\376\0ZZj\06N\302\0\352\356\376\0\16:\346\0\322\302\0\326\336\376\0\30*\316\0\222\256\376\0B>2\0\26^\362\0\22:\336\0662\0\36b\366\0n\202\376\0Zz\376\0:b\376\0ZVV\0.:b\0", ) , ) == 0x0
 01205   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "~zn\0\16R\356\0\34J\336\0\32.\276\0\262\316\0Kr\376\0\32>\352\0\36b\356\0&J\326\0\32:\312\0v\226\376\0\36Z\352\0\32F\346\0Z^z\0njb\0\367\372\376\0&R\376\0*6\246\0-2R\0\32J\346\0&>\232\0>:2\0\216\252\376\0@j\376\0b^R\0\251\276\376\0\13*\376\0\36R\342\0\32B\332\0m\206\376\0>R\266\0\12"\376\0\216\242\376\0v\216\376\0\26:\352\0\23\22\26\0jf^\0RRb\0zvn\0$"&\0B>B\0\34>\342\0dbZ\0HFB\01.2\0\16Z\366\0\34\32\36\0a^Z\0rnn\0WVR\0zvv\0\326\322\0\16N\356\076:\0CBB\0fbb\0322\0LJJ\0&2R\0\32B\326\0TRR\0\26B\342\0\32R\356\062*\0njj\0\262\312\0\32J\342\0\26F\352\02.*\0\32>\326\0\16>\352\0^ZN\02*.\0bZV\0\326\332\0\326\312\0\16.\376\0f~\376\0b^b\0\36F\376\0v\222\376\0Rv\376\0\26>\376\0bZZ\0\366\246\0FF~\0JFJ\0\26:\376\0\32:\322\0Bb\376\0nfZ\0\272\306\376\0626\0\0\0\0\0\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\243\317P|\0\0\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\3262\226\251\212b~m5\0\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\3778\3267\255\255\23\231\334W\27Wm\320\305\377\377\377\377\377", ) \376\0\216\242\376\0v\216\376\0\26:\352\0\23\22\26\0jf^\0RRb\0zvn\0$ (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "~zn\0\16R\356\0\34J\336\0\32.\276\0\262\316\0Kr\376\0\32>\352\0\36b\356\0&J\326\0\32:\312\0v\226\376\0\36Z\352\0\32F\346\0Z^z\0njb\0\367\372\376\0&R\376\0*6\246\0-2R\0\32J\346\0&>\232\0>:2\0\216\252\376\0@j\376\0b^R\0\251\276\376\0\13*\376\0\36R\342\0\32B\332\0m\206\376\0>R\266\0\12"\376\0\216\242\376\0v\216\376\0\26:\352\0\23\22\26\0jf^\0RRb\0zvn\0$"&\0B>B\0\34>\342\0dbZ\0HFB\01.2\0\16Z\366\0\34\32\36\0a^Z\0rnn\0WVR\0zvv\0\326\322\0\16N\356\076:\0CBB\0fbb\0322\0LJJ\0&2R\0\32B\326\0TRR\0\26B\342\0\32R\356\062*\0njj\0\262\312\0\32J\342\0\26F\352\02.*\0\32>\326\0\16>\352\0^ZN\02*.\0bZV\0\326\332\0\326\312\0\16.\376\0f~\376\0b^b\0\36F\376\0v\222\376\0Rv\376\0\26>\376\0bZZ\0\366\246\0FF~\0JFJ\0\26:\376\0\32:\322\0Bb\376\0nfZ\0\272\306\376\0626\0\0\0\0\0\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\243\317P|\0\0\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\3262\226\251\212b~m5\0\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\3778\3267\255\255\23\231\334W\27Wm\320\305\377\377\377\377\377", ) , ) == 0x0
 01206   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "8Frrr\13\13\340\334A\27WWW\311\320\305\377\377\377\377\377\377\377\377\377\377\377\377\220{\345\265\344\244\244\244\33\244\265\264\3521111\27\27~mw\377\377\377\377\377\377\377\377\11\21\337\256UU\276\335d\335ddi\264[\3161111111W\355\377\377\377\377\377\377\227--GG\20q\372\253q\253\253\20\264\332\316\316\316\316\316\316\316\316\316\332m\377\377\377\377\377\377\354\354!\325\246\355\343\246\203\221\240$BM\230\332RR1\316\332\332\332\332\376~\377\377\377\377\377\377aaa\223\223\223\263\213\22\15_\245\6M\230\376Z\342\336R\316\332\230RR~\377\377\377\377\377\377\223\223\5\5\263\307\351O\34O\307\211\237\264RE;\177\177\177V)\332R9W\377\377\377\377\377\377\5\5 \34O\353\321\321\321\321.zD\10Eo;\342\177\177\36\177V\3309A\377\377\377\377\377\377g\241\272:\321+ZZZZZ\7\367C@\24o;;\342\177\177\177\177V9\377\377\377\377\323\235\34\321+Z\331\331EE\36\36\36\177\34\177^\324@oo;;\342\177\177\36\331#\377\377#VV+Z\331E\36\36\36\177;;\34\330\332A\332V\324p@oo;;\342\177\36\34\377\377\377\321Z\331E\36\36\177;\322;\34\315Y0\267\12\346A1\333op@\24o;;\342\365\377\377\377\377E\36\177\342;o;\235)\312\202%\2\366\266\202\236H\12Ak\36p@oo\322V\377\377\377\377\377\342\322o\342\365#\336f\304\250\313SSj\206\32\252<\236y\341)+p@;\336\377\377\377\377\377o\177k\333\235\235=\4\16'?tt\361T///\364X6\267R)\34\36\377\377\377\377\377\377\177\36\331\336\235:\215\201\31j/jTu*JJth4\210\2259)\333", ) , ) == 0x0
 01207   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\1\274h\274\217\274\2614\s\371\217ts\357&\330\34ZV\336)\377\377\377\377;\322\322o\30\216\217sss\222]s\301\s\273\261\273s\232h\3\7+\34\235`\377\377\377\177\322o\24\310\204h\373c]K\303\274sv\s\261I\261s\232hL\7Z\321\235`R\377\377\377\377\24@\242\2054hK\206KSls\356\s\17vcs\232&Lx\331\321\323\315\377\377\377\377\377\377\377}\207lS\362s\233\262jsl"sI&\373s\232&\204\260\321\323\377\377\377\377\377\377\377\377\377\377\377l\361T\217\234\247\271s\262\25,4lh\214\200\304>\321\377\377\377\377\377\377\377\377\377\377\377\377\377Sj\14II3\37e\247(\271t\3644tl\257\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377l\37\254\270\224\224e3I\247T/4&\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377u\277eQ\375Q\270"\247\262S\274\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\363\303\302\254I*/\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\370\37\377\377\340\7\377\377\200\1\377\376\0\0\177\370\0\0\37\340\0\0\7\340\0\0\7\340\0\0\7\340\0\0\7\340\0\0\7\340\0\0\7\340\0\0\7\200\0\0\3\0\0\0\3\200\0\0\3\300\0\0\3\340\0\0\3\340\0\0\7\340\0\0\7\300\0\0\3\300\0\0\3\200\0\0\1\340\0\0\3\370\0\0\17\376\0\0?\376\0\0\377\377\0\3\377\377\200\7\377\377\340?\377\377\377\377\377", ) sI&\373s\232&\204\260\321\323\377\377\377\377\377\377\377\377\377\377\377l\361T\217\234\247\271s\262\25,4lh\214\200\304>\321\377\377\377\377\377\377\377\377\377\377\377\377\377Sj\14II3\37e\247(\271t\3644tl\257\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377l\37\254\270\224\224e3I\247T/4&\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377u\277eQ\375Q\270 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\1\274h\274\217\274\2614\s\371\217ts\357&\330\34ZV\336)\377\377\377\377;\322\322o\30\216\217sss\222]s\301\s\273\261\273s\232h\3\7+\34\235`\377\377\377\177\322o\24\310\204h\373c]K\303\274sv\s\261I\261s\232hL\7Z\321\235`R\377\377\377\377\24@\242\2054hK\206KSls\356\s\17vcs\232&Lx\331\321\323\315\377\377\377\377\377\377\377}\207lS\362s\233\262jsl"sI&\373s\232&\204\260\321\323\377\377\377\377\377\377\377\377\377\377\377l\361T\217\234\247\271s\262\25,4lh\214\200\304>\321\377\377\377\377\377\377\377\377\377\377\377\377\377Sj\14II3\37e\247(\271t\3644tl\257\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377l\37\254\270\224\224e3I\247T/4&\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377u\277eQ\375Q\270"\247\262S\274\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\363\303\302\254I*/\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\370\37\377\377\340\7\377\377\200\1\377\376\0\0\177\370\0\0\37\340\0\0\7\340\0\0\7\340\0\0\7\340\0\0\7\340\0\0\7\340\0\0\7\340\0\0\7\200\0\0\3\0\0\0\3\200\0\0\3\300\0\0\3\340\0\0\3\340\0\0\7\340\0\0\7\300\0\0\3\300\0\0\3\200\0\0\1\340\0\0\3\370\0\0\17\376\0\0?\376\0\0\377\377\0\3\377\377\200\7\377\377\340?\377\377\377\377\377", ) , ) == 0x0
 01208   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "@\0\0\0\1\0 \0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\221\221\221\2\204\204\204\2MKH\3b^V\2RK@\3E<+\4\31t\367c\363\u\37\36\36\14  \37\5\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\2\0\0\0\2YWS\2:6,\2WP?\3#\\313\13\32g\366\206\32i\372\357\32p\373\377 /O\377$\37"\367\35\35\36\231\25\25\30\34\22\21\21\7\11\11\11\7\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\1\0\0\0\2\0\0\0\1GC<\23,\32\3\30Y\346\24\32c\367\251\33d\371\367\35c\364\377\35a\357\377\34e\367\377$3O\377($%\377&%'\377&%'\377%$'\253\32\31\34C\10\10\10\10\10\10\10\11\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\1\0\0\0\2\0\0\0\1\0\0\0\2\0\0\0\2\33Z\357;\31[\365\247\33[\366\377\34Y\356\377\35Z\353\377\35Z\352\377\35[\351\377\34_\363\377&2R\377+'(\377))+\377)',\377(&*\377", ) \367\35\35\36\231\25\25\30\34\22\21\21\7\11\11\11\7\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\1\0\0\0\2\0\0\0\1GC<\23,\32\3\30Y\346\24\32c\367\251\33d\371\367\35c\364\377\35a\357\377\34e\367\377$3O\377($%\377&%'\377&%'\377%$'\253\32\31\34C\10\10\10\10\10\10\10\11\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\1\0\0\0\2\0\0\0\1\0\0\0\2\0\0\0\2\33Z\357;\31[\365\247\33[\366\377\34Y\356\377\35Z\353\377\35Z\352\377\35[\351\377\34_\363\377&2R\377+'(\377))+\377)',\377(&*\377", ) == 0x0
 01209   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\11\0\0\0\11\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\1\0\0\0\1\0\0\0\1\0\0\0\1\0\0\0\3\34Z\362^\33W\364\314\33U\365\377\32Q\354\377\34R\352\377\34R\351\377\33R\347\377\34Q\344\377\32P\342\377\33T\355\377(2P\377-)*\377,,-\377+',\377+(,\377+(,\377*'+\377++-\377-+,\360!\37#f\11\11\12\21\0\0\0\10\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\2\0\0\0\2\30E\331\12\34Q\362q\32Q\363\360\32Q\361\377\32K\347\377\32K\345\377\32J\342\377\33I\340\377\34K\337\377\33I\335\377\33J\331\377\36J\336\377\33K\344\377+2Q\3770+,\377/,0\377.+/\377-,.\377-,.\377,+-\377.*.\377,)-\377.+/\377.,1\370&"&\210\25\24\25J\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\2\0\0\0\3\0\0\0\2\35N\363\326\32G\347\377\32F\344\377\33D\342\377\30A\337\377\33E\335\377\32C\331\377\34A\326\377\32B\325\377\32B\324\377\32A\323\377\34B\321\377\32C\335\377,3R\37720.\3770/1\377/.0\377/./\377/./\377.-/\377.-/\377.-/\377///\377/.0\3770/2\377\36\35 \377\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\3\0\0\0\5\0\0\0\4\32C\357\314\32>\340\377\30>\336\377\32<\332\377\27=\330\377\31=\324\377\30;\321\377\32;\317\377\31;\316\377\31;\315\377\32:\312\377\32;\310\377\31;\324\377.4Q\377430\377011\377101\377/00\377", ) &\210\25\24\25J\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\2\0\0\0\3\0\0\0\2\35N\363\326\32G\347\377\32F\344\377\33D\342\377\30A\337\377\33E\335\377\32C\331\377\34A\326\377\32B\325\377\32B\324\377\32A\323\377\34B\321\377\32C\335\377,3R\37720.\3770/1\377/.0\377/./\377/./\377.-/\377.-/\377.-/\377///\377/.0\3770/2\377\36\35 \377\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\3\0\0\0\5\0\0\0\4\32C\357\314\32>\340\377\30>\336\377\32<\332\377\27=\330\377\31=\324\377\30;\321\377\32;\317\377\31;\316\377\31;\315\377\32:\312\377\32;\310\377\31;\324\377.4Q\377430\377011\377101\377/00\377", ) == 0x0
 01210   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "0/1\377102\377102\377323\377  !\377\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\4\0\0\0\6\0\0\0\4\33=\354\316\329\330\377\316\325\377\313\322\377\274\317\377\305\312\377\273\313\377\271\315\377\357\274\377\323\302\377\303\307\377\325\306\377\303\314\377/4Q\377642\377313\377767\377656\377/./\377/01\377213\377213\377324\377435\377546\377##%\377\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\5\0\0\0\10\0\0\0\6\324\350\316\312\324\377\32/\320\377\31.\315\377\26+\314\377\24)\314\377$5\254\377JNk\377_ZI\377QQa\377\30.\277\377\27+\277\377\30,\305\37723R\377653\377546\377db_\377nki\377TRR\377655\377101\377212\377445\377767\377878\377'%&\377\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\6\0\0\0\11\0\0\0\7\33.\341\316\30)\321\377\24&\316\377\21 \316\377.7\235\377VTY\377_[O\377^ZT\377^ZU\377`ZR\377SRd\377\30(\271\377\25$\303\37703N\377865\377gec\377omj\377mjh\377ljg\377mjh\377^ZX\377?>>\377535\377768\377;8;\377*(*\377\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\7\0\0\0\12\0\0\0\10\24!\342\316\26"\312\3779=\217\377[YR\377a^Q\377_\U\377_\Y\377`^[\377a^[\377`_[\377c`W\377JLt\377\16\33\302\377./O\377ifa\377sqn\377qmk\377oli\377", ) \312\3779=\217\377[YR\377a^Q\377_\U\377_\Y\377`^[\377a^[\377`_[\377c`W\377JLt\377\16\33\302\377./O\377ifa\377sqn\377qmk\377oli\377", ) == 0x0
 01211   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "mig\377^[X\377CAB\377::9\377101\377\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\4\0\0\0\6B@9\27GHz\352`\L\377a^R\377`\W\377a`[\377b`\\377ca^\377ca_\377eb_\377db_\377db_\377ieZ\377DE\202\377\[u\377zwq\377usp\377spn\377qol\377pmk\377nli\377mjh\377kjh\377lif\377kif\377^\Y\377B@@\377\0\0\0\0\0\0\0\0\0\0\0\0\ZXC^[Y\323_\Y\377_\W\377`\Y\377b_\\377c`^\377ec`\377fda\377geb\377hfc\377ifc\377ifd\377igd\377kke\377`ZV\377nle\377\202~z\377{xu\377wuq\377tro\377spm\377qol\377pmk\377nli\377mjh\377kjg\377kjf\377jhf\377c`^\360875S\0\0\0\0ea_\213a_\\377_\Z\377a_\\377da_\377fca\377gdb\377ifd\377jhe\377kif\377mkh\377oli\377rpl\377\YW\377A@A\3770./\377#"$\377.,/\377a^[\377}|z\377}zw\377yus\377tqp\377spm\377qol\377pmk\377nli\377mjh\377kif\377mih\377MKI\200\0\0\0\0\0\0\0\3hdb\360cb^\377eca\377hec\377jge\377khf\377mjh\377plj\377qom\377tol\377\YV\377IB;\377F@3\377JC5\377B:'\3775.\33\3772-!\377*& \377('&\377LKJ\377", ) $\377.,/\377a^[\377}|z\377}zw\377yus\377tqp\377spm\377qol\377pmk\377nli\377mjh\377kif\377mih\377MKI\200\0\0\0\0\0\0\0\3hdb\360cb^\377eca\377hec\377jge\377khf\377mjh\377plj\377qom\377tol\377\YV\377IB;\377F@3\377JC5\377B:'\3775.\33\3772-!\377*& \377('&\377LKJ\377", ) == 0x0
 01212   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "tro\377spm\377qnl\377pmj\377nli\377kge\377&#"&\0\0\0\0\0\0\0\2hfb8jhe\377igd\377lif\377olh\377qnl\377spn\377pnj\377XWT\377>;3\377@<5\377.8o\377\30+}\377\27,\212\377\254\260\377"=\237\377*:p\377,7W\3770.*\3771+\25\377'"\32\377IFD\377mli\377\200~{\377xws\377urp\377spm\377qnl\377ec_\342\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\3qnl\316mlh\377rol\377uro\377nki\377`YZ\377OJL\377SQR\377MIA\377\12,\321\377\26@\362\377\255\325\377\16>\377\377\21>\377\377\36L\377\377,\\377\377!Q\371\377&M\341\377!>\254\3772:]\377:2\21\3770-\32\377A<2\377ca]\377\177|z\377xws\377rnk\377WUQ\241\0\0\0\0\0\0\0\0\0\0\0\2\0\0\0\2hfe\21sqn\377lif\377JGH\377JJJ\377XVV\377YWV\377ZVM\377YP1\377E8\22\377C7\30\377<:6\377\32D\377\377\32A\377\377\32B\377\377!I\377\377\26A\377\377\27D\377\377\25F\377\377\22A\377\377#:\236\377\0\6\366\377><(\377344\377877\377[YV\377qnj\377\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\2\0\0\0\1lig\21lig\377ige\377gab\377RRR\377XUU\377e`M\377\Ya\377+C\261\377\113\353\377\24L\377\377\14;\377\377\31I\377\377\35J\377\377$N\377\3772X\377\377=`\377\377Fh\377\377\142\377\377", ) &\0\0\0\0\0\0\0\2hfb8jhe\377igd\377lif\377olh\377qnl\377spn\377pnj\377XWT\377>;3\377@<5\377.8o\377\30+}\377\27,\212\377\254\260\377 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "tro\377spm\377qnl\377pmj\377nli\377kge\377&#"&\0\0\0\0\0\0\0\2hfb8jhe\377igd\377lif\377olh\377qnl\377spn\377pnj\377XWT\377>;3\377@<5\377.8o\377\30+}\377\27,\212\377\254\260\377"=\237\377*:p\377,7W\3770.*\3771+\25\377'"\32\377IFD\377mli\377\200~{\377xws\377urp\377spm\377qnl\377ec_\342\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\3qnl\316mlh\377rol\377uro\377nki\377`YZ\377OJL\377SQR\377MIA\377\12,\321\377\26@\362\377\255\325\377\16>\377\377\21>\377\377\36L\377\377,\\377\377!Q\371\377&M\341\377!>\254\3772:]\377:2\21\3770-\32\377A<2\377ca]\377\177|z\377xws\377rnk\377WUQ\241\0\0\0\0\0\0\0\0\0\0\0\2\0\0\0\2hfe\21sqn\377lif\377JGH\377JJJ\377XVV\377YWV\377ZVM\377YP1\377E8\22\377C7\30\377<:6\377\32D\377\377\32A\377\377\32B\377\377!I\377\377\26A\377\377\27D\377\377\25F\377\377\22A\377\377#:\236\377\0\6\366\377><(\377344\377877\377[YV\377qnj\377\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\2\0\0\0\1lig\21lig\377ige\377gab\377RRR\377XUU\377e`M\377\Ya\377+C\261\377\113\353\377\24L\377\377\14;\377\377\31I\377\377\35J\377\377$N\377\3772X\377\377=`\377\377Fh\377\377\142\377\377", ) \32\377IFD\377mli\377\200~{\377xws\377urp\377spm\377qnl\377ec_\342\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\3qnl\316mlh\377rol\377uro\377nki\377`YZ\377OJL\377SQR\377MIA\377\12,\321\377\26@\362\377\255\325\377\16>\377\377\21>\377\377\36L\377\377,\\377\377!Q\371\377&M\341\377!>\254\3772:]\377:2\21\3770-\32\377A<2\377ca]\377\177|z\377xws\377rnk\377WUQ\241\0\0\0\0\0\0\0\0\0\0\0\2\0\0\0\2hfe\21sqn\377lif\377JGH\377JJJ\377XVV\377YWV\377ZVM\377YP1\377E8\22\377C7\30\377<:6\377\32D\377\377\32A\377\377\32B\377\377!I\377\377\26A\377\377\27D\377\377\25F\377\377\22A\377\377#:\236\377\0\6\366\377><(\377344\377877\377[YV\377qnj\377\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\2\0\0\0\1lig\21lig\377ige\377gab\377RRR\377XUU\377e`M\377\Ya\377+C\261\377\113\353\377\24L\377\377\14;\377\377\31I\377\377\35J\377\377$N\377\3772X\377\377=`\377\377Fh\377\377\142\377\377", ) == 0x0
 01213   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "HA\36\377877\377976\377MLL\377ONK\37761/w\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1tqo\246pli\377pnk\377qom\377urh\377a\Q\377\246\251\272\377\5\24\377\377\6\33\377\377\6\25\377\377\363\365\377\377\5\25\377\377\373\374\377\377@c\377\377Pm\353\377\377\377\377\377\7\30\352\377\365\367\377\377\10\34\352\377\377\377\377\377cz\377\377\4&\377\377HC2\377b^W\377gdb\377a[Z\377[XU\377HEE\362\0\0\0\0\0\0\0\0\0\0\0\0wuq\20sqn\377rol\377rom\377tsm\377\202{a\377#=\305\377\365\367\377\377\377\377\377\377\377\377\377\377\377\377\377\377\353\357\377\377\4\17\377\377\377\377\377\377Dd\377\377Ge\353\377\377\377\377\377\224\245\377\377\373\374\377\377\216\240\377\377\377\377\377\377bz\377\377\4'\377\377IX\241\377ojW\377bb`\377^ZX\377YWU\377POM\377HDC_\0\0\0\0\0\0\0\0urp\260rpm\377tqn\377urp\377zvm\377xsr\377\5#\377\3770V\377\377\336\344\377\377\5\20\377\377\367\370\377\377q\216\377\377\6\25\377\377\377\377\377\377De\377\377Ff\353\377\377\377\377\377\375\375\377\377Tu\377\377\374\375\377\377\377\377\377\377by\377\377\5%\377\3778L\274\377qjS\377ca`\377`\Z\377ZXV\377VTR\377XVT\361\0\0\0\3\0\0\0\0spn\25tqo\251vsp\377wtq\377\200zk\377Qb\247\377\63\377\377\5"\377\377\372\373\377\377\25;\377\377\370\371\377\377\10.\377\377\7#\377\377\377\377\377\377Ef\377\377Fe\353\377\377\377\377\377\273\307\377\377\130\367\377\307\317\377\377", ) \377\377\372\373\377\377\25;\377\377\370\371\377\377\10.\377\377\7#\377\377\377\377\377\377Ef\377\377Fe\353\377\377\377\377\377\273\307\377\377\130\367\377\307\317\377\377", ) == 0x0
 01214   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "=R\261\377rlW\377eca\377a][\377ZXW\377\ZV\377_\Y\362ZYV0\0\0\0\0\0\0\0\0\0\0\0\0xur\6yvt\177\207\201f\373AV\301\377\147\377\377\75\377\377u\222\377\377\377\377\377\377Rx\377\377\35L\377\377\159\377\377\377\377\377\377Eg\377\377Hi\353\377\377\377\377\377_z\373\377\4\35\355\377]y\373\377\377\377\377\377dz\377\377\5 \377\377giv\377oi^\377gec\377jge\377ige\305nig?\0\0\0\2\0\0\0\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\36A\355n\179\377\377\31C\377\377\20A\377\377\363\365\377\377'W\377\377Iq\377\377-\\377\377\377\377\377\377>d\377\377Yt\352\377\356\362\377\377\6*\377\377\16:\377\377\5 \377\377\275\306\377\377q\205\377\377\13-\364\377\207\177]\377ywq\367{ywia_]\5\0\0\0\0\0\0\0\1\0\0\0\1\0\0\0\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\128\377\4\21;\377\373\34G\377\377Cm\377\377d\206\377\377\\200\377\377n\221\377\377]\203\377\377\214\246\377\377Cm\377\377^\200\377\377;f\377\377\15<\377\377\27@\377\377\71\377\377\24>\377\377\20<\377\373uw\211\256\221\213y\21\0\0\0\1\0\0\0\1\0\0\0\1\0\0\0\0\0\0\0\2\0\0\0\1\0\0\0\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\25=\377q\136\377\377n\221\377\377\201\240\377\377\215\252\377\377\226\261\377\377\216\252\377\377\202\241\377\377n\220\377\377e\204\377\377Lv\377\377\35I\377\377\30D\377\377\23>\377\377", ) , ) == 0x0
 01215   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\1\0\0\0\1\0\0\0\2\0\0\0\1\0\0\0\1\0\0\0\1\0\0\0\1\0\0\0\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\146\377m0U\377\377t\222\377\377\211\244\377\377\250\277\377\377\305\326\377\377\253\302\377\377\226\260\377\377\202\240\377\377Nu\377\377%R\377\377\33G\377\377\25C\377\257\12<\376\4\0\0\0\0\0\0\0\1\0\0\0\1\0\0\0\1\0\0\0\1\0\0\0\1\0\0\0\1\0\0\0\1\0\0\0\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\5,\377\7-O\377\273Xx\377\377\200\232\377\377\242\264\377\377\177\232\377\377p\222\377\377?e\377\377&Q\377\370\35M\377\230\26H\377\7\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\1\0\0\0\1\0\0\0\1\0\0\0\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\5)\377\10\5,\377'\5,\377%\5)\377)\4\37\377\4\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) , ) == 0x0
 01216   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\377\0\37\377\374\0\3\377\360\0\0\377\300\0\0?\0\0\0\17\0\0\0\7\0\0\0\7\0\0\0\7\0\0\0\7\0\0\0\7\0\0\0\7\0\0\0\7\0\0\0\7\0\0\0\1\0\0\0\1\0\0\0\1\0\0\0\3\0\0\0\3\0\0\0\7\0\0\0\3\200\0\0\3\200\0\0\1\200\0\0\0\200\0\0\0\340\0\0\0\374\0\0\10\374\0\0\10\376\0\1\0\377\0\2\1\377\200\16\17\377\360\177\377\377\377\377\377\1\0\377\377\0\0\0\0\0\0\0\0H\4\0@\10\0\0\0\0\0\12\1\202\0\0\0\0\0\0\0\10\0\0\0\0\1M\0S\0 \0S\0h\0e\0l\0l\0 \0D\0l\0g\0\0\0\0\0\0\0\0\0\0\0\200\0\201P\10\01\0\273\0\14\0\373\3\0\0\377\377\201\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1P\312\00\07\0\16\0\351\3\0\0\377\377\200\0\0\0\0\0\0\0\0\0\0\0\0\0\3\0\0P\0\0\0\0\26\0\24\0\7\4\0\0\377\377\202\0\377\377g\0\0\0\0\0\0\0\0\0\0\0\0\0\14\0\0P\0\0z\0\11\1\10\0\0\4\0\0\377\377\202\0\0\0\0\0\0\0\0\0\0\0\0\0\3\0\1@\10\0G\0v\0\12\0\360\3\0\0\377\377\200\0\0\0\0\0\0\0\0\0\0\0\0\0\14\0\0P\0\0o\0\11\1\10\0\377\3\0\0\377\377\202\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\2P\31\0\0\0\361\0"\0\356\3\0\0\377\377\202\0\0\0\0\0\0\0\0\0\0\0\0\0\7\0\0P\1\0&\0\10\1\36\0\374\3\0\0\377\377\200\0\0\0\0\0\0\0\0\0\1\0\377\377\0\0\0\0\0\0\0\0", ) \0\356\3\0\0\377\377\202\0\0\0\0\0\0\0\0\0\0\0\0\0\7\0\0P\1\0&\0\10\1\36\0\374\3\0\0\377\377\200\0\0\0\0\0\0\0\0\0\1\0\377\377\0\0\0\0\0\0\0\0", ) == 0x0
 01217   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\242\0\0\0\0\0\0\0\10\0\0\0\0\1M\0S\0 \0S\0h\0e\0l\0l\0 \0D\0l\0g\0\0\0\0\0\0\0\0\0\0\0\0\0\3@\253\0\216\02\0\16\0\3\0\0\0\377\377\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1P\337\0\216\02\0\16\0\1\0\0\0\377\377\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1P\7\0\216\02\0\16\0\2\0\0\0\377\377\200\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\2P\7\0\212\0\13\1\1\0\377\377\377\377\377\377\202\0\0\0\0\0\0\0\0\0\0\0\0\0\4\0\2@\7\0\6\0\12\1\202\0\372\3\0\0\377\377\202\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\2X;\0\221\0l\0\10\0\4\4\0\0\377\377\202\0\0\0\0\0\1\0\377\377\0\0\0\0\0\0\0\0H\4\0@\5\0\0\0\0\0\12\1\202\0\0\0\0\0\0\0\10\0\0\0\0\1M\0S\0 \0S\0h\0e\0l\0l\0 \0D\0l\0g\0\0\0\0\0\0\0\0\0\0\0\0\0\200P\30\0\12\0\361\0\13\0\354\3\0\0m\0s\0c\0t\0l\0s\0_\0p\0r\0o\0g\0r\0e\0s\0s\03\02\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\214\0\0P\30\0\0\0\361\0\10\0\356\3\0\0\377\377\202\0\0\0\0\0\0\0\0\0\0\0\0\0\5@\201@\0\0\31\0\11\1h\0\370\3\0\0S\0y\0s\0L\0i\0s\0t\0V\0i\0e\0w\03\02\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\3\0\0P\0\0\0\0\26\0\24\0\7\4\0\0\377\377\202\0\377\377g\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0P\0\0\34\0", ) , ) == 0x0
 01218   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\0\0\0\1\0\377\377\0\0\0\0\0\0\0\0\310\10\0\200\1\0\0\0\0\0\242\0\26\0\0\0\0\0\0\0\10\0\0\0\0\1M\0S\0 \0S\0h\0e\0l\0l\0 \0D\0l\0g\0\0\0\0\0\0\0\0\0\0\0\1\0\2P\7\0\7\0\224\0\10\0\6\4\0\0\377\377\202\0\0\0\0\0\0\0\1\0\3\0  \20\0\1\0\0\0\350\2\0\0\1\0  \0\0\1\0\10\0\250\10\0\0\2\0  \0\0\1\0 \0\250\20\0\0\3\0\30\24\0\0\0V\0S\0_\0V\0E\0R\0S\0I\0O\0N\0_\0I\0N\0F\0O\0\0\0\0\0\275\4\357\376\0\0\0\0\10\0\6\0\7\0\7\0\10\0\6\0\7\0\7\0\0\0\0\0\0\0\0\0\4\0\0\0\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0x\1\0\0\0\0S\0t\0r\0i\0n\0g\0F\0i\0l\0e\0I\0n\0f\0o\0\0\0T\1\0\0\0\00\04\00\09\00\04\0e\04\0\0\02\0\11\0\1\0C\0o\0m\0p\0a\0n\0y\0N\0a\0m\0e\0\0\0\0\0A\0O\0L\0 \0L\0L\0C\0.\0\0\0\0\02\0\5\0\1\0F\0i\0l\0e\0D\0e\0s\0c\0r\0i\0p\0t\0i\0o\0n\0\0\0\0\0A\0I\0M\06\0\0\0\0\00\0\10\0\1\0F\0i\0l\0e\0V\0e\0r\0s\0i\0o\0n\0\0\0\0\06\0.\08\0.\07\0.\07\0\0\0D\0\20\0\1\0L\0e\0g\0a\0l\0C\0o\0p\0y\0r\0i\0g\0h\0t\0\0\0\251\0 \02\00\0", ) , ) == 0x0
 01219   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, " \0L\0L\0C\0.\0\0\0*\0\5\0\1\0P\0r\0o\0d\0u\0c\0t\0N\0a\0m\0e\0\0\0\0\0A\0I\0M\06\0\0\0\0\04\0\10\0\1\0P\0r\0o\0d\0u\0c\0t\0V\0e\0r\0s\0i\0o\0n\0\0\06\0.\08\0.\07\0.\07\0\0\0D\0\0\0\0\0V\0a\0r\0F\0i\0l\0e\0I\0n\0f\0o\0\0\0\0\0$\0\4\0\0\0T\0r\0a\0n\0s\0l\0a\0t\0i\0o\0n\0\0\0\0\0\11\4\344\41.0" encoding="UTF-8" standalone="yes"?>Nullsoft Install System v2.06, ) 1.0 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, " \0L\0L\0C\0.\0\0\0*\0\5\0\1\0P\0r\0o\0d\0u\0c\0t\0N\0a\0m\0e\0\0\0\0\0A\0I\0M\06\0\0\0\0\04\0\10\0\1\0P\0r\0o\0d\0u\0c\0t\0V\0e\0r\0s\0i\0o\0n\0\0\06\0.\08\0.\07\0.\07\0\0\0D\0\0\0\0\0V\0a\0r\0F\0i\0l\0e\0I\0n\0f\0o\0\0\0\0\0$\0\4\0\0\0T\0r\0a\0n\0s\0l\0a\0t\0i\0o\0n\0\0\0\0\0\11\4\344\41.0" encoding="UTF-8" standalone="yes"?>Nullsoft Install System v2.06, ) UTF-8 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, " \0L\0L\0C\0.\0\0\0*\0\5\0\1\0P\0r\0o\0d\0u\0c\0t\0N\0a\0m\0e\0\0\0\0\0A\0I\0M\06\0\0\0\0\04\0\10\0\1\0P\0r\0o\0d\0u\0c\0t\0V\0e\0r\0s\0i\0o\0n\0\0\06\0.\08\0.\07\0.\07\0\0\0D\0\0\0\0\0V\0a\0r\0F\0i\0l\0e\0I\0n\0f\0o\0\0\0\0\0$\0\4\0\0\0T\0r\0a\0n\0s\0l\0a\0t\0i\0o\0n\0\0\0\0\0\11\4\344\41.0" encoding="UTF-8" standalone="yes"?>Nullsoft Install System v2.06, ) yes (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, " \0L\0L\0C\0.\0\0\0*\0\5\0\1\0P\0r\0o\0d\0u\0c\0t\0N\0a\0m\0e\0\0\0\0\0A\0I\0M\06\0\0\0\0\04\0\10\0\1\0P\0r\0o\0d\0u\0c\0t\0V\0e\0r\0s\0i\0o\0n\0\0\06\0.\08\0.\07\0.\07\0\0\0D\0\0\0\0\0V\0a\0r\0F\0i\0l\0e\0I\0n\0f\0o\0\0\0\0\0$\0\4\0\0\0T\0r\0a\0n\0s\0l\0a\0t\0i\0o\0n\0\0\0\0\0\11\4\344\41.0" encoding="UTF-8" standalone="yes"?>Nullsoft Install System v2.06, ) urn:schemas-microsoft-com:asm.v1 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, " \0L\0L\0C\0.\0\0\0*\0\5\0\1\0P\0r\0o\0d\0u\0c\0t\0N\0a\0m\0e\0\0\0\0\0A\0I\0M\06\0\0\0\0\04\0\10\0\1\0P\0r\0o\0d\0u\0c\0t\0V\0e\0r\0s\0i\0o\0n\0\0\06\0.\08\0.\07\0.\07\0\0\0D\0\0\0\0\0V\0a\0r\0F\0i\0l\0e\0I\0n\0f\0o\0\0\0\0\0$\0\4\0\0\0T\0r\0a\0n\0s\0l\0a\0t\0i\0o\0n\0\0\0\0\0\11\4\344\41.0" encoding="UTF-8" standalone="yes"?>Nullsoft Install System v2.06, ) 1.0 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, " \0L\0L\0C\0.\0\0\0*\0\5\0\1\0P\0r\0o\0d\0u\0c\0t\0N\0a\0m\0e\0\0\0\0\0A\0I\0M\06\0\0\0\0\04\0\10\0\1\0P\0r\0o\0d\0u\0c\0t\0V\0e\0r\0s\0i\0o\0n\0\0\06\0.\08\0.\07\0.\07\0\0\0D\0\0\0\0\0V\0a\0r\0F\0i\0l\0e\0I\0n\0f\0o\0\0\0\0\0$\0\4\0\0\0T\0r\0a\0n\0s\0l\0a\0t\0i\0o\0n\0\0\0\0\0\11\4\344\41.0" encoding="UTF-8" standalone="yes"?>Nullsoft Install System v2.06, ) 1.0.0.0 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, " \0L\0L\0C\0.\0\0\0*\0\5\0\1\0P\0r\0o\0d\0u\0c\0t\0N\0a\0m\0e\0\0\0\0\0A\0I\0M\06\0\0\0\0\04\0\10\0\1\0P\0r\0o\0d\0u\0c\0t\0V\0e\0r\0s\0i\0o\0n\0\0\06\0.\08\0.\07\0.\07\0\0\0D\0\0\0\0\0V\0a\0r\0F\0i\0l\0e\0I\0n\0f\0o\0\0\0\0\0$\0\4\0\0\0T\0r\0a\0n\0s\0l\0a\0t\0i\0o\0n\0\0\0\0\0\11\4\344\41.0" encoding="UTF-8" standalone="yes"?>Nullsoft Install System v2.06, ) X86 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, " \0L\0L\0C\0.\0\0\0*\0\5\0\1\0P\0r\0o\0d\0u\0c\0t\0N\0a\0m\0e\0\0\0\0\0A\0I\0M\06\0\0\0\0\04\0\10\0\1\0P\0r\0o\0d\0u\0c\0t\0V\0e\0r\0s\0i\0o\0n\0\0\06\0.\08\0.\07\0.\07\0\0\0D\0\0\0\0\0V\0a\0r\0F\0i\0l\0e\0I\0n\0f\0o\0\0\0\0\0$\0\4\0\0\0T\0r\0a\0n\0s\0l\0a\0t\0i\0o\0n\0\0\0\0\0\11\4\344\41.0" encoding="UTF-8" standalone="yes"?>Nullsoft Install System v2.06, ) Nullsoft.NSIS.exehead (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, " \0L\0L\0C\0.\0\0\0*\0\5\0\1\0P\0r\0o\0d\0u\0c\0t\0N\0a\0m\0e\0\0\0\0\0A\0I\0M\06\0\0\0\0\04\0\10\0\1\0P\0r\0o\0d\0u\0c\0t\0V\0e\0r\0s\0i\0o\0n\0\0\06\0.\08\0.\07\0.\07\0\0\0D\0\0\0\0\0V\0a\0r\0F\0i\0l\0e\0I\0n\0f\0o\0\0\0\0\0$\0\4\0\0\0T\0r\0a\0n\0s\0l\0a\0t\0i\0o\0n\0\0\0\0\0\11\4\344\41.0" encoding="UTF-8" standalone="yes"?>Nullsoft Install System v2.06, ) win32 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, " \0L\0L\0C\0.\0\0\0*\0\5\0\1\0P\0r\0o\0d\0u\0c\0t\0N\0a\0m\0e\0\0\0\0\0A\0I\0M\06\0\0\0\0\04\0\10\0\1\0P\0r\0o\0d\0u\0c\0t\0V\0e\0r\0s\0i\0o\0n\0\0\06\0.\08\0.\07\0.\07\0\0\0D\0\0\0\0\0V\0a\0r\0F\0i\0l\0e\0I\0n\0f\0o\0\0\0\0\0$\0\4\0\0\0T\0r\0a\0n\0s\0l\0a\0t\0i\0o\0n\0\0\0\0\0\11\4\344\41.0" encoding="UTF-8" standalone="yes"?>Nullsoft Install System v2.06, ) , ) == 0x0
 01220   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "ity type="win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" processorArchitecture="X86" publicKeyToken="6595b64144ccf1df" language="*" />\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) win32 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "ity type="win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" processorArchitecture="X86" publicKeyToken="6595b64144ccf1df" language="*" />\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) Microsoft.Windows.Common-Controls (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "ity type="win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" processorArchitecture="X86" publicKeyToken="6595b64144ccf1df" language="*" />\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) 6.0.0.0 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "ity type="win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" processorArchitecture="X86" publicKeyToken="6595b64144ccf1df" language="*" />\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) X86 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "ity type="win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" processorArchitecture="X86" publicKeyToken="6595b64144ccf1df" language="*" />\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) 6595b64144ccf1df (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "ity type="win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" processorArchitecture="X86" publicKeyToken="6595b64144ccf1df" language="*" />\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) * (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "ity type="win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" processorArchitecture="X86" publicKeyToken="6595b64144ccf1df" language="*" />\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) , ) == 0x0
 01221   896   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\357\276\255\336NullsoftInsth0\0\0r\20\331\0w\12\0\200\355\233{p\25\325\35\307Ox\206\204\210\4\220\320\206\262\15L\224J. m\261)\332B\104m\304\204D\204zk\334\273{r\263d\357\356\272\273\227$uFn\251E@\244<\332\212\326\7}WQ\321\242\225B\3615\216(\265U\361\221\244\200B;\3661\265S\245\243R4\244\337\275w\37g/7\311\2649L\377(;\374f\177g?\347|\177\277s\366\354\356\331\275!E\10\21\362\10\31\212\3751\354\361\217\234\34NH+\366\313\307\221\364\266ff\346x\313,2\340\326\313l\231\3\204\374\11\273wQ\256\301\376+Yurm\344\177\274\375\3698\375\3050\2208lHV\316#P\356r\363<\204\375\313\260nX'\354u\330k\260Wa\23\300W\222\314\330\262\355\363Q~\11\373W`\7a/\270\355\35\275\27\261\377\353\6N\375\341Y\355\13P\376\15\323\336\251\327\335\307\270\215u\333\216u\313_\202\375`\369\267\235\333\316m\377\307[\221\273\237\330\7/\204M"\231\373~\256\315a\223a\323s0\347~7\36\266\31\267\320\12\367\330V\355\235S\3778\360\\336a\334\213>\307\360oa?\216\346\223\367\327\327\370|\13\303\217:\317\216\3122\262\360\305\326\177y\374\35\206W!\301\33\377VF\366^g\366z\274>/\340\367\300?\361\320T\362\353\365?:\351\361\235\14\377\0\376\3+\247\221e\325\223\310;.\379$\340W\303o\274\177\32\271[}6\317\343M\14\377\31\374\313\367O#w~F\363\371n\206\367\302_\276\245\234<\363D\363G^\374\374\241\1\257\207\377A\364Brp\313\216\323\36\277\226\341;\341_w\354"R\273\361i?\277=\14\37>\214", ) \231\373~\256\315a\223a\323s0\347~7\36\266\31\267\320\12\367\330V\355\235S\3778\360\\336a\334\213>\307\360oa?\216\346\223\367\327\327\370|\13\303\217:\317\216\3122\262\360\305\326\177y\374\35\206W!\301\33\377VF\366^g\366z\274>/\340\367\300?\361\320T\362\353\365?:\351\361\235\14\377\0\376\3+\247\221e\325\223\310;.\379$\340W\303o\274\177\32\271[}6\317\343M\14\377\31\374\313\367O#w~F\363\371n\206\367\302_\276\245\234<\363D\363G^\374\374\241\1\257\207\377A\364Brp\313\216\323\36\277\226\341;\341_w\354 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\357\276\255\336NullsoftInsth0\0\0r\20\331\0w\12\0\200\355\233{p\25\325\35\307Ox\206\204\210\4\220\320\206\262\15L\224J. m\261)\332B\104m\304\204D\204zk\334\273{r\263d\357\356\272\273\227$uFn\251E@\244<\332\212\326\7}WQ\321\242\225B\3615\216(\265U\361\221\244\200B;\3661\265S\245\243R4\244\337\275w\37g/7\311\2649L\377(;\374f\177g?\347|\177\277s\366\354\356\331\275!E\10\21\362\10\31\212\3751\354\361\217\234\34NH+\366\313\307\221\364\266ff\346x\313,2\340\326\313l\231\3\204\374\11\273wQ\256\301\376+Yurm\344\177\274\375\3698\375\3050\2208lHV\316#P\356r\363<\204\375\313\260nX'\354u\330k\260Wa\23\300W\222\314\330\262\355\363Q~\11\373W`\7a/\270\355\35\275\27\261\377\353\6N\375\341Y\355\13P\376\15\323\336\251\327\335\307\270\215u\333\216u\313_\202\375`\369\267\235\333\316m\377\307[\221\273\237\330\7/\204M"\231\373~\256\315a\223a\323s0\347~7\36\266\31\267\320\12\367\330V\355\235S\3778\360\\336a\334\213>\307\360oa?\216\346\223\367\327\327\370|\13\303\217:\317\216\3122\262\360\305\326\177y\374\35\206W!\301\33\377VF\366^g\366z\274>/\340\367\300?\361\320T\362\353\365?:\351\361\235\14\377\0\376\3+\247\221e\325\223\310;.\379$\340W\303o\274\177\32\271[}6\317\343M\14\377\31\374\313\367O#w~F\363\371n\206\367\302_\276\245\234<\363D\363G^\374\374\241\1\257\207\377A\364Brp\313\216\323\36\277\226\341;\341_w\354"R\273\361i?\277=\14\37>\214", ) , ) == 0x0
 01222   896   NtClose  (108, ... ) == 0x0
 01223   896   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 01224   896   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 01225   896   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 01226   896   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 01227   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01228   896   NtUserDestroyWindow  (590128, ...
 01229   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01230   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01231   896   NtUserGetThreadState  (0, ... ) == 0x0
 01232   896   NtUserBuildHwndList  (0, 0, 0, 896, 64, ... (0x1, ), 1, ) == 0x0
 01233   896   NtUserCallOneParam  (8, 43, ... ) == 0x0
 01234   896   NtUserQueryWindow  (590128, 7, ... ) == 0x0
 01235   896   NtUserBuildHwndList  (0, 0, 0, 896, 64, ... (0x1, ), 1, ) == 0x0
 01236   896   NtUserCallOneParam  (8, 43, ... ) == 0x0
 01237   896   NtUserValidateHandleSecure  (0, ... ) == 0x0
 01238   896   NtUserUnhookWindowsHookEx  (537329821, ... ) == 0x1
 01239   896   NtUserUnhookWindowsHookEx  (2425495, ... ) == 0x1
 01240   896   NtUserRemoveProp  (590128, 43288, ... ) == 0xffffffff
 01241   896   NtUserRemoveProp  (590128, 43282, ... ) == 0x0
 01242   896   NtUserRemoveProp  (590128, 43287, ... ) == 0x0
 01228   896   NtUserDestroyWindow  ... ) == 0x1
 01243   896   NtUserUnregisterClass  (1244476, 2001600512, 1244464, ... ) == 0x1
 01244   896   NtUserModifyUserStartupInfoFlags  (1, 0, ... ) == 0x81771b40
 01245   896   NtUserGetDCEx  (0, 0, 3, ... ) == 0x1010052
 01246   896   NtUserGetForegroundWindow  (... ) == 0xf0104
 01247   896   NtUserQueryWindow  (983300, 0, ... ) == 0x2fc
 01248   896   NtUserQueryWindow  (983300, 1, ... ) == 0x544
 01249   896   NtGdiGetTextCharsetInfo  (16842834, 0, 0, ... ) == 0x0
 01250   896   NtGdiCreateRectRgn  (0, 0, 1, 1, ... ) == 0x700404dc
 01251   896   NtGdiGetRandomRgn  (16842834, 1879311580, 1, ... ) == 0x0
 01252   896   NtGdiIntersectClipRect  (16842834, 0, 0, 565, 738, ... ) == 0x3
 01253   896   NtGdiExtSelectClipRgn  (16842834, 0, 5, ... ) == 0x2
 01254   896   NtGdiGetTextCharsetInfo  (16842834, 0, 0, ... ) == 0x0
 01255   896   NtGdiGetRandomRgn  (16842834, 1896088796, 1, ... ) == 0x0
 01256   896   NtGdiIntersectClipRect  (16842834, 0, 0, 355, 738, ... ) == 0x3
 01257   896   NtGdiExtSelectClipRgn  (16842834, 0, 5, ... ) == 0x2
 01258   896   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 01259   896   NtUserFindExistingCursorIcon  (1243164, 1243180, 1243228, ... ) == 0x10011
 01260   896   NtUserSetCursor  (65553, ... ) == 0x10015
 01261   896   NtUserCallOneParam  (1, 50, ... ) == 0x1
 01262   896   NtUserFindExistingCursorIcon  (1243116, 1243132, 1243180, ... ) == 0x10015
 01263   896   NtUserSetCursor  (65557, ... ) == 0x10011
 01264   896   NtGdiCreateCompatibleDC  (0, ... ) == 0x140106c8
 01265   896   NtGdiExtGetObjectW  (50987262, 92, 1243404, ... ) == 0x5c
 01266   896   NtGdiHfontCreate  (1242876, 356, 0, 0, 1395760, ... ) == 0x280a0554
 01267   896   NtGdiGetTextMetricsW  (335611592, 1243400, 68, ... ) == 0x1
 01268   896   NtGdiGetWidthTable  (335611592, 52, 1423984, 308, 1424600, 1423352, 1423368, ... ) == 0x1
 01269   896   NtGdiDeleteObjectApp  (335611592, ... ) == 0x1
 01270   896   NtUserGetForegroundWindow  (... ) == 0xf0104
 01271   896   NtUserQueryWindow  (983300, 0, ... ) == 0x2fc
 01272   896   NtUserQueryWindow  (983300, 1, ... ) == 0x544
 01273   896   NtUserGetAtomName  (32770, 1242376, ... ) == 0x6
 01274   896   NtUserCreateWindowEx  (65793, 32770, 32770,  (65793, 32770, 32770, "NSIS Error", -2134375995, 300, 306, 431, 185, 0, 0, 2118189056, 0, 1073742848, 0, ... , -2134375995, 300, 306, 431, 185, 0, 0, 2118189056, 0, 1073742848, 0, ...
 01275   896   NtUserSetWindowsHookEx  (1953628160, 1241368, 896, 2, 1953694283, 2, ... ) == 0x2008009d
 01276   896   NtUserSetWindowsHookEx  (1953628160, 1241368, 896, 7, 1953693577, 2, ... ) == 0x260297
 01277   896   NtUserSetWindowFNID  (655664, 676, ... ) == 0x1
 01278   896   NtUserCallHwndParam  (655664, 1419732, 79, ... ) == 0x15a9d4
 01279   896   NtUserMessageCall  (0xa0130, WM_NCCREATE, 0x0, 0x12f4b4, 0, 670, 0, ... ) == 0x1
 01280   896   NtUserSetWindowFNID  (1507596, 681, ... ) == 0x1
 01281   896   NtUserSetWindowLong  (1507596, 0, 1424216, 0, ... ) == 0x0
 01282   896   NtOpenKey  (0x2000000, {24, 32, 0x40, 0, 0,  (0x2000000, {24, 32, 0x40, 0, 0, "Software\Microsoft\Windows NT\CurrentVersion\IMM"}, ... 108, ) }, ... 108, ) == 0x0
 01283   896   NtQueryValueKey  (108,  (108, "Ime File", Partial, 144, ... TitleIdx=0, Type=1, Data="m\0s\0c\0t\0f\0i\0m\0e\0.\0i\0m\0e\0\0\0"}, 38, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (108, "Ime File", Partial, 144, ... TitleIdx=0, Type=1, Data="m\0s\0c\0t\0f\0i\0m\0e\0.\0i\0m\0e\0\0\0"}, 38, ) }, 38, ) == 0x0
 01284   896   NtClose  (108, ... ) == 0x0
 01285   896   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 01286   896   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 01287   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 1238644, ... ) }, 1238644, ... ) == 0x0
 01288   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 5, 96, ... 108, {status=0x0, info=1}, ) }, 5, 96, ... 108, {status=0x0, info=1}, ) == 0x0
 01289   896   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 108, ... 112, ) == 0x0
 01290   896   NtClose  (108, ... ) == 0x0
 01291   896   NtMapViewOfSection  (112, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x960000), 0x0, 180224, ) == 0x0
 01292   896   NtClose  (112, ... ) == 0x0
 01293   896   NtUnmapViewOfSection  (-1, 0x960000, ... ) == 0x0
 01294   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 1238240, ... ) }, 1238240, ... ) == 0x0
 01295   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 1238984,  (0x80100080, {24, 0, 0x40, 0, 1238984, "\??\C:\WINDOWS\system32\msctfime.ime"}, 0x0, 0, 5, 1, 96, 0, 0, ... 112, {status=0x0, info=1}, ) }, 0x0, 0, 5, 1, 96, 0, 0, ... 112, {status=0x0, info=1}, ) == 0x0
 01296   896   NtCreateSection  (0xf0005, 0x0, 0x0, 2, 134217728, 112, ... 108, ) == 0x0
 01297   896   NtClose  (112, ... ) == 0x0
 01298   896   NtMapViewOfSection  (108, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 2, ... (0x960000), {0, 0}, 180224, ) == 0x0
 01299   896   NtClose  (108, ... ) == 0x0
 01300   896   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 01301   896   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 01302   896   NtQueryDefaultLocale  (1, 1239604, ... ) == 0x0
 01303   896   NtQueryVirtualMemory  (-1, 0x960000, Basic, 28, ... {BaseAddress=0x960000,AllocationBase=0x960000,AllocationProtect=0x2,RegionSize=0x2c000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 01304   896   NtQueryVirtualMemory  (-1, 0x960000, Basic, 28, ... {BaseAddress=0x960000,AllocationBase=0x960000,AllocationProtect=0x2,RegionSize=0x2c000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 01305   896   NtUnmapViewOfSection  (-1, 0x960000, ... ) == 0x0
 01306   896   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 01307   896   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 01308   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 1238636, ... ) }, 1238636, ... ) == 0x0
 01309   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 5, 96, ... 108, {status=0x0, info=1}, ) }, 5, 96, ... 108, {status=0x0, info=1}, ) == 0x0
 01310   896   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 108, ... 112, ) == 0x0
 01311   896   NtClose  (108, ... ) == 0x0
 01312   896   NtMapViewOfSection  (112, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x960000), 0x0, 180224, ) == 0x0
 01313   896   NtClose  (112, ... ) == 0x0
 01314   896   NtUnmapViewOfSection  (-1, 0x960000, ... ) == 0x0
 01315   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 1238232, ... ) }, 1238232, ... ) == 0x0
 01316   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 1238976,  (0x80100080, {24, 0, 0x40, 0, 1238976, "\??\C:\WINDOWS\system32\msctfime.ime"}, 0x0, 0, 5, 1, 96, 0, 0, ... 112, {status=0x0, info=1}, ) }, 0x0, 0, 5, 1, 96, 0, 0, ... 112, {status=0x0, info=1}, ) == 0x0
 01317   896   NtCreateSection  (0xf0005, 0x0, 0x0, 2, 134217728, 112, ... 108, ) == 0x0
 01318   896   NtClose  (112, ... ) == 0x0
 01319   896   NtMapViewOfSection  (108, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 2, ... (0x960000), {0, 0}, 180224, ) == 0x0
 01320   896   NtClose  (108, ... ) == 0x0
 01321   896   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 01322   896   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 01323   896   NtQueryDefaultLocale  (1, 1239596, ... ) == 0x0
 01324   896   NtQueryVirtualMemory  (-1, 0x960000, Basic, 28, ... {BaseAddress=0x960000,AllocationBase=0x960000,AllocationProtect=0x2,RegionSize=0x2c000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 01325   896   NtUnmapViewOfSection  (-1, 0x960000, ... ) == 0x0
 01326   896   NtOpenMutant  (0x120001, {24, 48, 0x0, 0, 0,  (0x120001, {24, 48, 0x0, 0, 0, "ShimCacheMutex"}, ... 108, ) }, ... 108, ) == 0x0
 01327   896   NtWaitForSingleObject  (108, 0, {-1000000, -1}, ... ) == 0x0
 01328   896   NtOpenSection  (0x2, {24, 48, 0x0, 0, 0,  (0x2, {24, 48, 0x0, 0, 0, "ShimSharedMemory"}, ... 112, ) }, ... 112, ) == 0x0
 01329   896   NtMapViewOfSection  (112, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 4, ... (0x3f0000), {0, 0}, 57344, ) == 0x0
 01330   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 01331   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 116, ) == 0x0
 01332   896   NtQueryInformationToken  (116, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 01333   896   NtClose  (116, ... ) == 0x0
 01334   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01335   896   NtReleaseMutant  (108, ... 0x0, ) == 0x0
 01336   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 1238616, ... ) }, 1238616, ... ) == 0x0
 01337   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 5, 96, ... 116, {status=0x0, info=1}, ) }, 5, 96, ... 116, {status=0x0, info=1}, ) == 0x0
 01338   896   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 116, ... 120, ) == 0x0
 01339   896   NtClose  (116, ... ) == 0x0
 01340   896   NtMapViewOfSection  (120, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x960000), 0x0, 180224, ) == 0x0
 01341   896   NtClose  (120, ... ) == 0x0
 01342   896   NtUnmapViewOfSection  (-1, 0x960000, ... ) == 0x0
 01343   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 1238924, ... ) }, 1238924, ... ) == 0x0
 01344   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 5, 96, ... 120, {status=0x0, info=1}, ) }, 5, 96, ... 120, {status=0x0, info=1}, ) == 0x0
 01345   896   NtCreateSection  (0xf, 0x0, 0x0, 16, 16777216, 120, ... 116, ) == 0x0
 01346   896   NtQuerySection  (116, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 01347   896   NtClose  (120, ... ) == 0x0
 01348   896   NtMapViewOfSection  (116, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x755c0000), 0x0, 188416, ) == 0x0
 01349   896   NtClose  (116, ... ) == 0x0
 01350   896   NtProtectVirtualMemory  (-1, (0x755c1000), 860, 4, ... (0x755c1000), 4096, 32, ) == 0x0
 01351   896   NtProtectVirtualMemory  (-1, (0x755c1000), 4096, 32, ... (0x755c1000), 4096, 4, ) == 0x0
 01352   896   NtFlushInstructionCache  (-1, 1968967680, 860, ... ) == 0x0
 01353   896   NtProtectVirtualMemory  (-1, (0x755c1000), 860, 4, ... (0x755c1000), 4096, 32, ) == 0x0
 01354   896   NtProtectVirtualMemory  (-1, (0x755c1000), 4096, 32, ... (0x755c1000), 4096, 4, ) == 0x0
 01355   896   NtFlushInstructionCache  (-1, 1968967680, 860, ... ) == 0x0
 01356   896   NtProtectVirtualMemory  (-1, (0x755c1000), 860, 4, ... (0x755c1000), 4096, 32, ) == 0x0
 01357   896   NtProtectVirtualMemory  (-1, (0x755c1000), 4096, 32, ... (0x755c1000), 4096, 4, ) == 0x0
 01358   896   NtFlushInstructionCache  (-1, 1968967680, 860, ... ) == 0x0
 01359   896   NtProtectVirtualMemory  (-1, (0x755c1000), 860, 4, ... (0x755c1000), 4096, 32, ) == 0x0
 01360   896   NtProtectVirtualMemory  (-1, (0x755c1000), 4096, 32, ... (0x755c1000), 4096, 4, ) == 0x0
 01361   896   NtFlushInstructionCache  (-1, 1968967680, 860, ... ) == 0x0
 01362   896   NtProtectVirtualMemory  (-1, (0x755c1000), 860, 4, ... (0x755c1000), 4096, 32, ) == 0x0
 01363   896   NtProtectVirtualMemory  (-1, (0x755c1000), 4096, 32, ... (0x755c1000), 4096, 4, ) == 0x0
 01364   896   NtFlushInstructionCache  (-1, 1968967680, 860, ... ) == 0x0
 01365   896   NtProtectVirtualMemory  (-1, (0x755c1000), 860, 4, ... (0x755c1000), 4096, 32, ) == 0x0
 01366   896   NtProtectVirtualMemory  (-1, (0x755c1000), 4096, 32, ... (0x755c1000), 4096, 4, ) == 0x0
 01367   896   NtFlushInstructionCache  (-1, 1968967680, 860, ... ) == 0x0
 01368   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msctfime.ime"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01369   896   NtUserGetDC  (0, ... ) == 0x1010052
 01370   896   NtUserSystemParametersInfo  (66, 12, 1239112, 0, ... ) == 0x1
 01371   896   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 01372   896   NtGdiCreateCompatibleDC  (0, ... ) == 0x150106c8
 01373   896   NtGdiCreateCompatibleDC  (0, ... ) == 0x6701057d
 01374   896   NtGdiCreateCompatibleDC  (0, ... ) == 0xcd0106b6
 01375   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\ole32.dll"}, 1236444, ... ) }, 1236444, ... ) == 0x0
 01376   896   NtUserFindExistingCursorIcon  (1238384, 1238400, 1238448, ... ) == 0x10003
 01377   896   NtUserFindExistingCursorIcon  (1238384, 1238400, 1238448, ... ) == 0x10011
 01378   896   NtGdiGetStockObject  (5, ... ) == 0x1900015
 01379   896   NtUserGetClassInfo  (1968963584, 1238516, 1239080, 1238512, 0, ... ) == 0x0
 01380   896   NtUserRegisterClassExWOW  (1238400, 1238468, 1238484, 1238500, 0, 384, 0, ... ) == 0x8177c079
 01381   896   NtUserFindExistingCursorIcon  (1238384, 1238400, 1238448, ... ) == 0x10013
 01382   896   NtUserGetClassInfo  (1968963584, 1238516, 1239080, 1238512, 0, ... ) == 0x0
 01383   896   NtUserRegisterClassExWOW  (1238400, 1238468, 1238484, 1238500, 0, 384, 0, ... ) == 0x8177c07a
 01384   896   NtUserRegisterWindowMessage  ( ("MSIMEService", ... ) , ... ) == 0xc07b
 01385   896   NtUserRegisterWindowMessage  ( ("MSIMEUIReady", ... ) , ... ) == 0xc07c
 01386   896   NtUserRegisterWindowMessage  ( ("MSIMEReconvertRequest", ... ) , ... ) == 0xc07d
 01387   896   NtUserRegisterWindowMessage  ( ("MSIMEReconvert", ... ) , ... ) == 0xc07e
 01388   896   NtUserRegisterWindowMessage  ( ("MSIMEDocumentFeed", ... ) , ... ) == 0xc07f
 01389   896   NtUserRegisterWindowMessage  ( ("MSIMEQueryPosition", ... ) , ... ) == 0xc080
 01390   896   NtUserRegisterWindowMessage  ( ("MSIMEModeBias", ... ) , ... ) == 0xc081
 01391   896   NtUserRegisterWindowMessage  ( ("MSIMEShowImePad", ... ) , ... ) == 0xc082
 01392   896   NtUserRegisterWindowMessage  ( ("MSIMEMouseOperation", ... ) , ... ) == 0xc083
 01393   896   NtUserRegisterWindowMessage  ( ("MSIMEKeyMap", ... ) , ... ) == 0xc084
 01394   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\ntdll.dll"}, 1239276, ... ) }, 1239276, ... ) == 0x0
 01395   896   NtUserMessageCall  (0x17010c, WM_NCCREATE, 0x0, 0x12f498, 0, 670, 0, ... ) == 0x1
 01396   896   NtUserMessageCall  (0x17010c, WM_NCCALCSIZE, 0x0, 0x12f4dc, 0, 670, 0, ... ) == 0x0
 01397   896   NtUserSetProp  (1507596, 43288, -1, ... ) == 0x1
 01398   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01399   896   NtUserValidateHandleSecure  (22544723, ... ) == 0x1
 01400   896   NtUserValidateHandleSecure  (22544723, ... ) == 0x1
 01401   896   NtUserUpdateInputContext  (22544723, 1, 1507596, ... ) == 0x1
 01402   896   NtOpenKey  (0x2000000, {24, 96, 0x40, 0, 0,  (0x2000000, {24, 96, 0x40, 0, 0, "SOFTWARE\Microsoft\CTF"}, ... 116, ) }, ... 116, ) == 0x0
 01403   896   NtQueryValueKey  (116,  (116, "Disable Thread Input Manager", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01404   896   NtClose  (116, ... ) == 0x0
 01405   896   NtOpenThreadToken  (-2, 0x8, 0, ... ) == STATUS_NO_TOKEN
 01406   896   NtOpenProcessToken  (-1, 0xa, ... 116, ) == 0x0
 01407   896   NtDuplicateToken  (116, 0xc, {24, 0, 0x0, 0, 1241108, 0x0}, 0, 2, ... 120, ) == 0x0
 01408   896   NtClose  (116, ... ) == 0x0
 01409   896   NtAccessCheck  (1403216, 120, 0x1, 1241184, 1241236, 56, 1241216, ... (0x1), ) == 0x0
 01410   896   NtClose  (120, ... ) == 0x0
 01411   896   NtOpenKey  (0x2000000, {24, 32, 0x40, 0, 0,  (0x2000000, {24, 32, 0x40, 0, 0, "Software\Microsoft\CTF\SystemShared"}, ... 120, ) }, ... 120, ) == 0x0
 01412   896   NtQueryValueKey  (120,  (120, "CUAS", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 144, ... TitleIdx=0, Type=4, Data= (120, "CUAS", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 01413   896   NtClose  (120, ... ) == 0x0
 01414   896   NtUserGetImeInfoEx  (1241000, 0, ... ) == 0x1
 01415   896   NtWaitForSingleObject  (108, 0, {-1000000, -1}, ... ) == 0x0
 01416   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 01417   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 120, ) == 0x0
 01418   896   NtQueryInformationToken  (120, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 01419   896   NtClose  (120, ... ) == 0x0
 01420   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01421   896   NtReleaseMutant  (108, ... 0x0, ) == 0x0
 01422   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 1238032, ... ) }, 1238032, ... ) == 0x0
 01423   896   NtUserGetThreadState  (16, ... ) == 0x0
 01424   896   NtOpenThreadToken  (-2, 0x8, 0, ... ) == STATUS_NO_TOKEN
 01425   896   NtOpenProcessToken  (-1, 0xa, ... 120, ) == 0x0
 01426   896   NtDuplicateToken  (120, 0xc, {24, 0, 0x0, 0, 1240032, 0x0}, 0, 2, ... 116, ) == 0x0
 01427   896   NtClose  (120, ... ) == 0x0
 01428   896   NtAccessCheck  (1403216, 116, 0x1, 1240108, 1240160, 56, 1240140, ... (0x1), ) == 0x0
 01429   896   NtClose  (116, ... ) == 0x0
 01430   896   NtUserGetClassInfo  (1968963584, 1239752, 1239696, 1239744, 0, ... ) == 0xc079
 01431   896   NtUserMessageCall  (0xa0130, WM_NCCALCSIZE, 0x0, 0x12f4dc, 0, 670, 0, ... ) == 0x0
 01432   896   NtUserGetClassName  (655664, 0, 1241488, ... ) == 0x6
 01433   896   NtUserRemoveProp  (655664, 43282, ... ) == 0x0
 01434   896   NtRequestWaitReplyPort  (24, {24, 52, new_msg, 0, 29840, 2089866642, 2118298660, 2}  (24, {24, 52, new_msg, 0, 29840, 2089866642, 2118298660, 2} "\0\0\0\0\5\4\3\0M\0i\0c\0r\0\200\3\0\0\30\360\22\0" ... {24, 52, reply, 0, 1252, 896, 81849, 0} "\0\0\0\0\5\4\3\0\0\0\0\0c\0r\0\200\3\0\0\0\0\0\0" )  ... {24, 52, reply, 0, 1252, 896, 81849, 0}  (24, {24, 52, new_msg, 0, 29840, 2089866642, 2118298660, 2} "\0\0\0\0\5\4\3\0M\0i\0c\0r\0\200\3\0\0\30\360\22\0" ... {24, 52, reply, 0, 1252, 896, 81849, 0} "\0\0\0\0\5\4\3\0\0\0\0\0c\0r\0\200\3\0\0\0\0\0\0" )  ) == 0x0
 01435   896   NtUserGetThreadDesktop  (896, 0, ... ) == 0x28
 01436   896   NtUserGetObjectInformation  (40, 2, 1241172, 520, 0, ... ) == 0x1
 01437   896   NtGdiDeleteObjectApp  (-1190131992, ... ) == 0x1
 01438   896   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01439   896   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01440   896   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01441   896   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01442   896   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01443   896   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01444   896   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01445   896   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01446   896   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01447   896   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01448   896   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01449   896   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01450   896   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01451   896   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01452   896   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01453   896   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01454   896   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01455   896   NtGdiCreatePatternBrushInternal  (59048383, 0, 0, ... ) == 0xba1006e8
 01456   896   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01457   896   NtUserSetProp  (655664, 43288, 3353048, ... ) == 0x1
 01274   896   NtUserCreateWindowEx  ... ) == 0xa0130
 01458   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01459   896   NtUserCallHwndLock  (655664, 90, ... ) == 0x1
 01460   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01461   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01462   896   NtUserGetAtomName  (49175, 1242376, ... ) == 0x6
 01463   896   NtUserCreateWindowEx  (4, 49175, 1242428,  (4, 49175, 1242428, "OK", 1342373889, 174, 119, 75, 23, 655664, 1, 2118189056, 0, 1073742848, 0, ... , 1342373889, 174, 119, 75, 23, 655664, 1, 2118189056, 0, 1073742848, 0, ...
 01464   896   NtUserSetWindowLong  (786756, 0, 1403480, 0, ... ) == 0x0
 01465   896   NtUserMessageCall  (0xc0144, WM_NCCREATE, 0x0, 0x12f4b4, 0, 670, 0, ... ) == 0x1
 01466   896   NtUserMessageCall  (0xc0144, WM_NCCALCSIZE, 0x0, 0x12f4dc, 0, 670, 0, ... ) == 0x0
 01467   896   NtUserSetProp  (786756, 43288, -1, ... ) == 0x1
 01468   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01469   896   NtUserSetProp  (655664, 43287, 2, ... ) == 0x1
 01470   896   NtUserRemoveProp  (786756, 43282, ... ) == 0x0
 01471   896   NtRequestWaitReplyPort  (24, {24, 52, new_msg, 0, 31, 1524240760, 1524058358, 1524058358}  (24, {24, 52, new_msg, 0, 31, 1524240760, 1524058358, 1524058358} "\0\0\0\0\5\4\3\0\0\0\0\0\30\04\0\200\3\0\0\364\357\22\0" ... {24, 52, reply, 0, 1252, 896, 81850, 0} "\0\0\0\0\5\4\3\0\0\0\0\0\30\04\0\200\3\0\0\0\0\0\0" )  ... {24, 52, reply, 0, 1252, 896, 81850, 0}  (24, {24, 52, new_msg, 0, 31, 1524240760, 1524058358, 1524058358} "\0\0\0\0\5\4\3\0\0\0\0\0\30\04\0\200\3\0\0\364\357\22\0" ... {24, 52, reply, 0, 1252, 896, 81850, 0} "\0\0\0\0\5\4\3\0\0\0\0\0\30\04\0\200\3\0\0\0\0\0\0" )  ) == 0x0
 01472   896   NtUserGetThreadDesktop  (896, 0, ... ) == 0x28
 01473   896   NtUserGetObjectInformation  (40, 2, 1241136, 520, 0, ... ) == 0x1
 01474   896   NtUserSetProp  (786756, 43282, 65538, ... ) == 0x1
 01475   896   NtUserSystemParametersInfo  (41, 500, 1241216, 0, ... ) == 0x1
 01476   896   NtGdiHfontCreate  (1240780, 356, 0, 0, 1395752, ... ) == 0x200a05f7
 01477   896   NtUserGetDC  (786756, ... ) == 0x1010051
 01478   896   NtGdiGetTextMetricsW  (16842833, 1241604, 68, ... ) == 0x1
 01479   896   NtUserCallOneParam  (16842833, 57, ... ) == 0x1
 01480   896   NtGdiDeleteObjectApp  (537527799, ... ) == 0x1
 01481   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01482   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01483   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01484   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01485   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01486   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01487   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01488   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01489   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01490   896   NtUserMessageCall  (0xa0130, 0x128, 0x30001, 0x0, 0, 670, 0, ...
 01491   896   NtUserMessageCall  (0xc0144, 0x128, 0x30001, 0x0, 0, 670, 0, ... ) == 0x0
 01492   896   NtUserSystemParametersInfo  (8202, 0, 1239880, 0, ... ) == 0x1
 01490   896   NtUserMessageCall  ... ) == 0x0
 01463   896   NtUserCreateWindowEx  ... ) == 0xc0144
 01493   896   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01494   896   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01495   896   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01496   896   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01497   896   NtUserGetAtomName  (49177, 1242376, ... ) == 0x6
 01498   896   NtUserCreateWindowEx  (4, 49177, 1242428, "1342308355, 11, 11, 0, 0, 655664, 20, 2118189056, 0, 1073742848, 0, ...
 01499   896   NtUserSetWindowLong  (655666, 0, 1418800, 0, ... ) == 0x0
 01500   896   NtUserMessageCall  (0xa0132, WM_NCCREATE, 0x0, 0x12f4b4, 0, 670, 0, ... ) == 0x1
 01501   896   NtUserMessageCall  (0xa0132, WM_NCCALCSIZE, 0x0, 0x12f4dc, 0, 670, 0, ... ) == 0x0
 01502   896   NtUserSetProp  (655666, 43288, -1, ... ) == 0x1
 01503   896   NtUserRemoveProp  (655666, 43282, ... ) == 0x0
 01504   896   NtRequestWaitReplyPort  (24, {24, 52, new_msg, 0, 655664, 295, 196609, 0}  (24, {24, 52, new_msg, 0, 655664, 295, 196609, 0} "\0\0\0\0\5\4\3\0\0\0\0\0T\360\22\0\200\3\0\0(\360\22\0" ... {24, 52, reply, 0, 1252, 896, 81851, 0} "\0\0\0\0\5\4\3\0\0\0\0\0T\360\22\0\200\3\0\0\0\0\0\0" )  ... {24, 52, reply, 0, 1252, 896, 81851, 0}  (24, {24, 52, new_msg, 0, 655664, 295, 196609, 0} "\0\0\0\0\5\4\3\0\0\0\0\0T\360\22\0\200\3\0\0(\360\22\0" ... {24, 52, reply, 0, 1252, 896, 81851, 0} "\0\0\0\0\5\4\3\0\0\0\0\0T\360\22\0\200\3\0\0\0\0\0\0" )  ) == 0x0
 01505   896   NtUserGetThreadDesktop  (896, 0, ... ) == 0x28
 01506   896   NtUserGetObjectInformation  (40, 2, 1241188, 520, 0, ... ) == 0x1
 01507   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01508   896   NtUserSetProp  (655664, 43287, 2, ... ) == 0x1
 01509   896   NtUserFindExistingCursorIcon  (1241148, 1241164, 1241212, ... ) == 0x0
 01510   896   NtUserFindExistingCursorIcon  (1241148, 1241164, 1241212, ... ) == 0x0
 01511   896   NtUserFindExistingCursorIcon  (1241148, 1241164, 1241212, ... ) == 0x10009
 01512   896   NtUserGetIconInfo  (65545, 1241628, 0, 0, 0, 0, ... ) == 0x1
 01513   896   NtGdiExtGetObjectW  (-653982136, 24, 1241604, ... ) == 0x18
 01514   896   NtGdiDeleteObjectApp  (553977335, ... ) == 0x1
 01515   896   NtGdiDeleteObjectApp  (-653982136, ... ) == 0x1
 01516   896   NtUserGetCursorFrameInfo  (65545, 0, 1241788, 1241764, ... ) == 0x10009
 01517   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01518   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01519   896   NtUserSetWindowPos  (655666, 0, 0, 0, 32, 32, 22, ...
 01520   896   NtUserMessageCall  (0xa0132, WM_WINDOWPOSCHANGING, 0x0, 0x12f1f8, 0, 670, 0, ... ) == 0x0
 01521   896   NtUserMessageCall  (0xa0132, WM_NCCALCSIZE, 0x1, 0x12f1cc, 0, 670, 0, ... ) == 0x0
 01522   896   NtUserValidateHandleSecure  (0, ... ) == 0x0
 01519   896   NtUserSetWindowPos  ... ) == 0x1
 01498   896   NtUserCreateWindowEx  ... ) == 0xa0132
 01523   896   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 01524   896   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 01525   896   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 01526   896   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 01527   896   NtUserGetAtomName  (49177, 1242376, ... ) == 0x6
 01528   896   NtUserCreateWindowEx  (4, 49177, 1242428, "The installer you are trying to use is corrupted or incomplete.
 01529   896   NtUserSetWindowLong  (655682, 0, 1404280, 0, ... ) == 0x0
 01530   896   NtUserMessageCall  (0xa0142, WM_NCCREATE, 0x0, 0x12f4b4, 0, 670, 0, ... ) == 0x1
 01531   896   NtUserMessageCall  (0xa0142, WM_NCCALCSIZE, 0x0, 0x12f4dc, 0, 670, 0, ... ) == 0x0
 01532   896   NtUserSetProp  (655682, 43288, -1, ... ) == 0x1
 01533   896   NtUserRemoveProp  (655682, 43282, ... ) == 0x0
 01534   896   NtRequestWaitReplyPort  (24, {24, 52, new_msg, 0, 2118235084, 2118235047, 296, 655664}  (24, {24, 52, new_msg, 0, 2118235084, 2118235047, 296, 655664} "\0\0\0\0\5\4\3\0\274\355\22\0\371\263A~\200\3\0\0\274\355\22\0" ... {24, 52, reply, 0, 1252, 896, 81852, 0} "\0\0\0\0\5\4\3\0\0\0\0\0\371\263A~\200\3\0\0\0\0\0\0" )  ... {24, 52, reply, 0, 1252, 896, 81852, 0}  (24, {24, 52, new_msg, 0, 2118235084, 2118235047, 296, 655664} "\0\0\0\0\5\4\3\0\274\355\22\0\371\263A~\200\3\0\0\274\355\22\0" ... {24, 52, reply, 0, 1252, 896, 81852, 0} "\0\0\0\0\5\4\3\0\0\0\0\0\371\263A~\200\3\0\0\0\0\0\0" )  ) == 0x0
 01535   896   NtUserGetThreadDesktop  (896, 0, ... ) == 0x28
 01536   896   NtUserGetObjectInformation  (40, 2, 1240568, 520, 0, ... ) == 0x1
 01537   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01538   896   NtUserSetProp  (655664, 43287, 2, ... ) == 0x1
 01528   896   NtUserCreateWindowEx  ... ) == 0xa0142
 01539   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 01540   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 01541   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 01542   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 01543   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01544   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01545   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01546   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01547   896   NtUserSetWindowLong  (655664, -21, 1244852, 0, ... ) == 0x0
 01548   896   NtUserCallHwnd  (655664, 73, ... ) == 0xbc64b100
 01549   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01550   896   NtUserSetFocus  (786756, ...
 01551   896   NtUserRegisterClassExWOW  (1242340, 1242436, 1242420, 1242408, 0, 386, 0, ... ) == 0x8177c191
 01552   896   NtUserCreateWindowEx  (-2147483648, 1242600, 1241364, 0x0, -2147483648, 0, 0, 0, 0, 0, 0, 1953628160, 0, 1073742848, 0, ...
 01553   896   NtUserMessageCall  (0xb0116, WM_NCCREATE, 0x0, 0x12f06c, 0, 670, 1, ... ) == 0x1
 01554   896   NtUserMessageCall  (0xb0116, WM_NCCALCSIZE, 0x0, 0x12f0b4, 0, 670, 1, ... ) == 0x0
 01555   896   NtUserSetProp  (721174, 43288, -1, ... ) == 0x1
 01552   896   NtUserCreateWindowEx  ... ) == 0xb0116
 01556   896   NtUserDestroyWindow  (721174, ...
 01557   896   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 01558   896   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 01559   896   NtUserGetThreadState  (0, ... ) == 0x0
 01560   896   NtUserBuildHwndList  (0, 0, 0, 896, 64, ... (0xb0116, 0xa0130, 0x17010c, 0x1, ), 4, ) == 0x0
 01561   896   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 01562   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01563   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01564   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01565   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01566   896   NtUserValidateHandleSecure  (1507596, ... ) == 0x1
 01567   896   NtUserValidateHandleSecure  (1507596, ... ) == 0x1
 01568   896   NtUserValidateHandleSecure  (1507596, ... ) == 0x1
 01569   896   NtUserCallOneParam  (8, 43, ... ) == 0x0
 01570   896   NtUserBuildHwndList  (0, 0, 0, 896, 64, ... (0xb0116, 0xa0130, 0x17010c, 0x1, ), 4, ) == 0x0
 01571   896   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 01572   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01573   896   NtUserRemoveProp  (721174, 43288, ... ) == 0xffffffff
 01574   896   NtUserRemoveProp  (721174, 43282, ... ) == 0x0
 01575   896   NtUserRemoveProp  (721174, 43287, ... ) == 0x0
 01556   896   NtUserDestroyWindow  ... ) == 0x1
 01576   896   NtUserPostThreadMessage  (896, 49313, 17, 786756, ... ) == 0x1
 01577   896   NtUserGetForegroundWindow  (... ) == 0xf0104
 01578   896   NtUserMessageCall  (0xa0130, WM_NCACTIVATE, 0x0, 0xffffffff, 0, 670, 0, ... ) == 0x1
 01579   896   NtAllocateVirtualMemory  (-1, 3362816, 0, 4096, 4096, 4, ... 3362816, 4096, ) == 0x0
 01580   896   NtUserInternalGetWindowText  (0xa0130, 260, ...  (0xa0130, 260, ... "NSIS Error", ) , ) == 0xa
 01581   896   NtUserGetWindowDC  (655664, ... ) == 0x1010051
 01582   896   NtGdiGetTextMetricsW  (16842833, 1241384, 68, ... ) == 0x1
 01583   896   NtGdiGetRandomRgn  (16842833, 1912866012, 1, ... ) == 0x0
 01584   896   NtGdiIntersectClipRect  (16842833, 0, 0, 0, 0, ... ) == 0x3
 01585   896   NtGdiGetWidthTable  (16842833, 10, 1404704, 266, 1405236, 1403648, 1403664, ... ) == 0x1
 01586   896   NtGdiExtSelectClipRgn  (16842833, 0, 5, ... ) == 0x1
 01587   896   NtUserCallOneParam  (16842833, 57, ... ) == 0x1
 01588   896   NtUserCalcMenuBar  (655664, 3, 3, 29, 3353232, ... ) == 0x0
 01589   896   NtUserMessageCall  (0xa0130, WM_GETICON, 0x2, 0x0, 1241344, 690, 0, ...
 01590   896   NtUserMessageCall  (0xa0130, WM_GETICON, 0x2, 0x0, 0, 670, 0, ... ) == 0x0
 01589   896   NtUserMessageCall  ... ) == 0x0
 01591   896   NtUserMessageCall  (0xa0130, WM_GETICON, 0x0, 0x0, 1241344, 690, 0, ...
 01592   896   NtUserMessageCall  (0xa0130, WM_GETICON, 0x0, 0x0, 0, 670, 0, ... ) == 0x0
 01591   896   NtUserMessageCall  ... ) == 0x0
 01593   896   NtUserMessageCall  (0xa0130, WM_GETICON, 0x1, 0x0, 1241344, 690, 0, ...
 01594   896   NtUserMessageCall  (0xa0130, WM_GETICON, 0x1, 0x0, 0, 670, 0, ... ) == 0x0
 01593   896   NtUserMessageCall  ... ) == 0x0
 01595   896   NtUserGetTitleBarInfo  (655664, 1241976, ... ) == 0x1
 01596   896   NtUserGetDCEx  (655664, 0, 66561, ... ) == 0x1010050
 01597   896   NtGdiExcludeClipRect  (16842832, 3, 29, 428, 182, ... ) == 0x3
 01598   896   NtGdiDrawStream  (16842832, 96, 1241460, ... ) == 0x1
 01599   896   NtGdiDrawStream  (16842832, 96, 1241460, ... ) == 0x1
 01600   896   NtGdiDrawStream  (16842832, 96, 1241460, ... ) == 0x1
 01601   896   NtGdiCreateCompatibleBitmap  (16842832, 431, 29, ... ) == 0xd20506aa
 01602   896   NtGdiCreateCompatibleDC  (16842832, ... ) == 0xda010648
 01603   896   NtGdiSelectBitmap  (-637467064, -771422550, ... ) == 0x185000f
 01604   896   NtGdiDrawStream  (-637467064, 96, 1241352, ... ) == 0x1
 01605   896   NtGdiDrawStream  (-637467064, 96, 1241308, ... ) == 0x1
 01606   896   NtGdiDrawStream  (-637467064, 96, 1241308, ... ) == 0x1
 01607   896   NtUserInternalGetWindowText  (0xa0130, 260, ...  (0xa0130, 260, ... "NSIS Error", ) , ) == 0xa
 01608   896   NtGdiGetRandomRgn  (-637467064, 1929643228, 1, ... ) == 0x0
 01609   896   NtGdiIntersectClipRect  (-637467064, 7, 7, 402, 25, ... ) == 0x3
 01610   896   NtGdiExtSelectClipRgn  (-637467064, 0, 5, ... ) == 0x2
 01611   896   NtGdiBitBlt  (16842832, 0, 0, 431, 29, -637467064, 0, 0, 13369376, -1, 0, ... ) == 0x1
 01612   896   NtGdiSelectBitmap  (-637467064, 25493519, ... ) == 0xd20506aa
 01613   896   NtGdiDeleteObjectApp  (-637467064, ... ) == 0x1
 01614   896   NtGdiDeleteObjectApp  (-771422550, ... ) == 0x1
 01615   896   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 01616   896   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01617   896   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01618   896   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01619   896   NtUserQueryWindow  (786756, 8, ... ) == 0x1580153
 01620   896   NtUserValidateHandleSecure  (22544723, ... ) == 0x1
 01621   896   NtUserGetThreadState  (13, ... ) == 0x0
 01622   896   NtUserUpdateInputContext  (22544723, 0, 1418848, ... ) == 0x1
 01623   896   NtUserValidateHandleSecure  (22544723, ... ) == 0x1
 01624   896   NtUserQueryInputContext  (22544723, 1, ... ) == 0x380
 01625   896   NtUserCallOneParam  (0, 40, ... ) == 0x4090409
 01626   896   NtUserQueryInputContext  (22544723, 2, ... ) == 0x17010c
 01627   896   NtAllocateVirtualMemory  (-1, 0, 0, 524280, 8192, 4, ... 9830400, 524288, ) == 0x0
 01628   896   NtAllocateVirtualMemory  (-1, 9830400, 0, 4096, 4096, 4, ... 9830400, 4096, ) == 0x0
 01629   896   NtUserCallOneParam  (896, 40, ... ) == 0x4090409
 01630   896   NtUserValidateHandleSecure  (22544723, ... ) == 0x1
 01631   896   NtUserValidateHandleSecure  (22544723, ... ) == 0x1
 01632   896   NtUserValidateHandleSecure  (22544723, ... ) == 0x1
 01633   896   NtUserGetDC  (0, ... ) == 0x1010052
 01634   896   NtGdiGetDCObject  (16842834, 655360, ... ) == 0x18a0021
 01635   896   NtGdiExtGetObjectW  (25821217, 92, 1241836, ... ) == 0x5c
 01636   896   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 01637   896   NtUserValidateHandleSecure  (22544723, ... ) == 0x1
 01638   896   NtUserValidateHandleSecure  (22544723, ... ) == 0x1
 01639   896   NtUserValidateHandleSecure  (22544723, ... ) == 0x1
 01640   896   NtUserValidateHandleSecure  (22544723, ... ) == 0x1
 01641   896   NtUserCallOneParam  (0, 40, ... ) == 0x4090409
 01642   896   NtUserCallOneParam  (0, 40, ... ) == 0x4090409
 01643   896   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01644   896   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01645   896   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01646   896   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01647   896   NtUserQueryWindow  (786756, 7, ... ) == 0x17010c
 01648   896   NtUserGetImeInfoEx  (1240780, 0, ... ) == 0x1
 01649   896   NtUserGetClassInfo  (1968963584, 1240164, 1240108, 1240156, 0, ... ) == 0xc079
 01650   896   NtUserCreateWindowEx  (0, 1240560, 1239324,  (0, 1240560, 1239324, "MSCTFIME UI", -2013265920, 0, 0, 0, 0, 1507596, 0, 1968963584, 0, 1073742848, 0, ... , -2013265920, 0, 0, 0, 0, 1507596, 0, 1968963584, 0, 1073742848, 0, ...
 01651   896   NtUserGetIconSize  (65539, 0, 1238084, 1238088, ... ) == 0x1
 01652   896   NtUserGetIconInfo  (65539, 1238060, 1238052, 1238044, 1238080, 1, ... ) == 0x1
 01653   896   NtUserFindExistingCursorIcon  (1237824, 1237840, 1238016, ... ) == 0x10003
 01654   896   NtGdiExtGetObjectW  (-754645334, 24, 1237824, ... ) == 0x18
 01655   896   NtGdiGetDIBitsInternal  (-2046752853, -754645334, 0, 64, 1407520, 1407472, 0, 256, 0, ... ) == 0x40
 01656   896   NtUserGetDC  (0, ... ) == 0x1010052
 01657   896   NtGdiCreateDIBitmapInternal  (16842834, 16, 32, 2, 0, 2118583256, 0, 48, 0, 0, 0, ... ) == 0x9b0505fe
 01658   896   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 01659   896   NtGdiSelectBitmap  (-2046752853, -1694169602, ... ) == 0x185000f
 01660   896   NtGdiDoPalette  (-2046752853, 0, 1, 1237684, 4, 0, ... ) == 0x1
 01661   896   NtGdiStretchDIBitsInternal  (-2046752853, 0, 0, 16, 32, 0, 0, 32, 64, 1407520, 1405232, 0, 13369376, 48, 256, 0, ... ) == 0x40
 01662   896   NtGdiSelectBitmap  (-2046752853, 25493519, ... ) == 0x9b0505fe
 01663   896   NtGdiCreateCompatibleDC  (-2046752853, ... ) == 0x6301069f
 01664   896   NtGdiExtGetObjectW  (-1694169602, 24, 1237708, ... ) == 0x18
 01665   896   NtGdiCreateBitmap  (16, 32, 1, 1, 0, ... ) == 0xa405056a
 01666   896   NtGdiSelectBitmap  (-2046752853, -1694169602, ... ) == 0x185000f
 01667   896   NtGdiSelectBitmap  (1661011615, -1543174806, ... ) == 0x185000f
 01668   896   NtGdiBitBlt  (1661011615, 0, 0, 16, 32, -2046752853, 0, 0, 13369376, -1, 0, ... ) == 0x1
 01669   896   NtGdiSelectBitmap  (-2046752853, 25493519, ... ) == 0x9b0505fe
 01670   896   NtGdiSelectBitmap  (1661011615, 25493519, ... ) == 0xa405056a
 01671   896   NtGdiDeleteObjectApp  (-1694169602, ... ) == 0x1
 01672   896   NtGdiDeleteObjectApp  (1661011615, ... ) == 0x1
 01673   896   NtGdiExtGetObjectW  (570754551, 24, 1237824, ... ) == 0x18
 01674   896   NtGdiGetDIBitsInternal  (-2046752853, 570754551, 0, 32, 1407836, 1407784, 0, 4096, 0, ... ) == 0x20
 01675   896   NtUserGetDC  (0, ... ) == 0x1010052
 01676   896   NtGdiCreateCompatibleBitmap  (16842834, 16, 16, ... ) == 0x6505069f
 01677   896   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 01678   896   NtGdiSelectBitmap  (-2046752853, 1694828191, ... ) == 0x185000f
 01679   896   NtGdiDoPalette  (-2046752853, 0, 1, 1237684, 4, 0, ... ) == 0x0
 01680   896   NtGdiStretchDIBitsInternal  (-2046752853, 0, 0, 16, 16, 0, 0, 32, 32, 1407836, 1405232, 0, 13369376, 40, 4096, 0, ... ) == 0x20
 01681   896   NtGdiSelectBitmap  (-2046752853, 25493519, ... ) == 0x6505069f
 01682   896   NtGdiDeleteObjectApp  (-754645334, ... ) == 0x1
 01683   896   NtGdiDeleteObjectApp  (570754551, ... ) == 0x1
 01684   896   NtUserCallOneParam  (0, 33, ... ) == 0x3101e3
 01685   896   NtUserSetCursorIconData  (3211747, 1237868, 1237884, 1237928, ... ) == 0x1
 01686   896   NtUserMessageCall  (0xc0116, WM_NCCREATE, 0x0, 0x12e894, 0, 670, 1, ... ) == 0x1
 01687   896   NtUserMessageCall  (0xc0116, WM_NCCALCSIZE, 0x0, 0x12e8bc, 0, 670, 1, ... ) == 0x0
 01688   896   NtUserSetProp  (786710, 43288, -1, ... ) == 0x1
 01689   896   NtUserSetWindowLong  (786710, 4, 1403192, 1, ... ) == 0x0
 01650   896   NtUserCreateWindowEx  ... ) == 0xc0116
 01690   896   NtUserSetWindowLong  (786710, 0, 22544723, 0, ... ) == 0x0
 01691   896   NtUserGetThreadState  (17, ... ) == 0x0
 01692   896   NtUserQueryWindow  (1507596, 3, ... ) == 0xc0144
 01693   896   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01694   896   NtUserValidateHandleSecure  (22544723, ... ) == 0x1
 01695   896   NtUserUpdateInputContext  (22544723, 1, 0, ... ) == 0x1
 01696   896   NtUserValidateHandleSecure  (786710, ... ) == 0x1
 01697   896   NtUserSetWindowLong  (786710, 0, 0, 0, ... ) == 0x1580153
 01698   896   NtUserSetImeOwnerWindow  (1507596, 0, ... ) == 0x1
 01699   896   NtUserValidateHandleSecure  (786710, ... ) == 0x1
 01700   896   NtUserValidateHandleSecure  (786710, ... ) == 0x1
 01701   896   NtUserValidateHandleSecure  (786710, ... ) == 0x1
 01702   896   NtUserKillTimer  (786710, 1, ... ) == 0x0
 01703   896   NtUserSetTimer  (786710, 1, 300, 0, ... ) == 0x1
 01704   896   NtUserCallNoParam  (7, ... ) == 0x1
 01705   896   NtUserQueryWindow  (1507596, 3, ... ) == 0xc0144
 01706   896   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01707   896   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01708   896   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01709   896   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01710   896   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01711   896   NtUserQueryWindow  (786756, 7, ... ) == 0x17010c
 01712   896   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01713   896   NtUserValidateHandleSecure  (786710, ... ) == 0x1
 01714   896   NtUserValidateHandleSecure  (786710, ... ) == 0x1
 01715   896   NtUserCallHwndLock  (1507596, 86, ... ) == 0x1
 01716   896   NtUserNotifyIMEStatus  (786756, 0, 0, ... ) == 0x81771b40
 01717   896   NtUserInvalidateRect  (786756, 0, 0, ... ) == 0x1
 01550   896   NtUserSetFocus  ... ) == 0x0
 01718   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01719   896   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01720   896   NtUserSetWindowLong  (786756, -12, 2, 0, ... ) == 0x1
 01721   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01722   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01723   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01724   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01725   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01726   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01727   896   NtUserGetClassName  (786756, 0, 1242868, ... ) == 0x6
 01728   896   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01729   896   NtUserGetClassName  (655666, 0, 1242868, ... ) == 0x6
 01730   896   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 01731   896   NtUserGetClassName  (655682, 0, 1242868, ... ) == 0x6
 01732   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 01733   896   NtUserGetAncestor  (655664, 1, ... ) == 0x10014
 01734   896   NtUserValidateHandleSecure  (65556, ... ) == 0x1
 01735   896   NtUserSetWindowPos  (655664, 0, 300, 306, 431, 185, 1047, ... ) == 0x1
 01736   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01737   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01738   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01739   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01740   896   NtUserPeekMessage  (0, 0, 0, 1, ...
 01741   896   NtUserGetThreadState  (0, ... ) == 0xc0144
 01742   896   NtUserGetForegroundWindow  (... ) == 0xf0104
 01743   896   NtUserValidateHandleSecure  (983300, ... ) == 0x1
 01744   896   NtUserFindWindowEx  (0, 0,  (0, 0, "Shell_TrayWnd", 0x0, 0, ... ) , 0x0, 0, ... ) == 0x20052
 01745   896   NtUserBuildHwndList  (0, 131154, 1, 0, 64, ... (0x3003e, 0x3003c, 0x30040, 0x30042, 0x30044, 0x30046, 0x10076, 0x10082, 0x1007a, 0x1007e, 0x1, ), 11, ) == 0x0
 01746   896   NtUserValidateHandleSecure  (196670, ... ) == 0x1
 01747   896   NtUserValidateHandleSecure  (196670, ... ) == 0x1
 01748   896   NtUserValidateHandleSecure  (196668, ... ) == 0x1
 01749   896   NtUserValidateHandleSecure  (196668, ... ) == 0x1
 01750   896   NtUserValidateHandleSecure  (196672, ... ) == 0x1
 01751   896   NtUserValidateHandleSecure  (196672, ... ) == 0x1
 01752   896   NtUserValidateHandleSecure  (196674, ... ) == 0x1
 01753   896   NtUserValidateHandleSecure  (196674, ... ) == 0x1
 01754   896   NtUserValidateHandleSecure  (196676, ... ) == 0x1
 01755   896   NtUserValidateHandleSecure  (196676, ... ) == 0x1
 01756   896   NtUserValidateHandleSecure  (196678, ... ) == 0x1
 01757   896   NtUserValidateHandleSecure  (196678, ... ) == 0x1
 01758   896   NtUserValidateHandleSecure  (65654, ... ) == 0x1
 01759   896   NtUserValidateHandleSecure  (65654, ... ) == 0x1
 01760   896   NtUserValidateHandleSecure  (65666, ... ) == 0x1
 01761   896   NtUserValidateHandleSecure  (65666, ... ) == 0x1
 01762   896   NtUserValidateHandleSecure  (65658, ... ) == 0x1
 01763   896   NtUserValidateHandleSecure  (65658, ... ) == 0x1
 01764   896   NtUserValidateHandleSecure  (65662, ... ) == 0x1
 01765   896   NtUserValidateHandleSecure  (65662, ... ) == 0x1
 01766   896   NtUserQueryWindow  (131154, 1, ... ) == 0x6d4
 01767   896   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01768   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01769   896   NtUserQueryWindow  (983300, 1, ... ) == 0x544
 01770   896   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01771   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01772   896   NtUserCallOneParam  (0, 40, ... ) == 0x4090409
 01740   896   NtUserPeekMessage  ... {0x0, WM_USER+0xbca1, 0x11, 0xc0144, 0x131139c, {0, 0}}, ) == 0x1
 01773   896   NtOpenProcessToken  (-1, 0x8, ... 116, ) == 0x0
 01774   896   NtQueryInformationToken  (116, Statistics, 56, ... {token info, class 10, size 56}, 56, ) == 0x0
 01775   896   NtClose  (116, ... ) == 0x0
 01776   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01777   896   NtUserCallMsgFilter  (1243636, 0, ... ) == 0x0
 01778   896   NtUserShowWindow  (655664, 1, ...
 01779   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01780   896   NtUserInternalGetWindowText  (0xa0130, 260, ...  (0xa0130, 260, ... "NSIS Error", ) , ) == 0xa
 01781   896   NtUserGetWindowDC  (655664, ... ) == 0x1010050
 01782   896   NtGdiGetRandomRgn  (16842832, 1946420444, 1, ... ) == 0x0
 01783   896   NtGdiIntersectClipRect  (16842832, 0, 0, 0, 0, ... ) == 0x3
 01784   896   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 01785   896   NtGdiExtSelectClipRgn  (16842832, 0, 5, ... ) == 0x2
 01786   896   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 01787   896   NtUserCalcMenuBar  (655664, 3, 3, 29, 3353232, ... ) == 0x0
 01788   896   NtUserMessageCall  (0xa0130, WM_GETICON, 0x2, 0x0, 1241964, 690, 0, ...
 01789   896   NtUserMessageCall  (0xa0130, WM_GETICON, 0x2, 0x0, 0, 670, 0, ... ) == 0x0
 01788   896   NtUserMessageCall  ... ) == 0x0
 01790   896   NtUserMessageCall  (0xa0130, WM_GETICON, 0x0, 0x0, 1241964, 690, 0, ...
 01791   896   NtUserMessageCall  (0xa0130, WM_GETICON, 0x0, 0x0, 0, 670, 0, ... ) == 0x0
 01790   896   NtUserMessageCall  ... ) == 0x0
 01792   896   NtUserMessageCall  (0xa0130, WM_GETICON, 0x1, 0x0, 1241964, 690, 0, ...
 01793   896   NtUserMessageCall  (0xa0130, WM_GETICON, 0x1, 0x0, 0, 670, 0, ... ) == 0x0
 01792   896   NtUserMessageCall  ... ) == 0x0
 01794   896   NtUserGetTitleBarInfo  (655664, 1242596, ... ) == 0x1
 01795   896   NtUserGetDCEx  (655664, 0, 66561, ... ) == 0x1010051
 01796   896   NtGdiExcludeClipRect  (16842833, 3, 29, 428, 182, ... ) == 0x3
 01797   896   NtGdiDrawStream  (16842833, 96, 1242080, ... ) == 0x1
 01798   896   NtGdiDrawStream  (16842833, 96, 1242080, ... ) == 0x1
 01799   896   NtGdiDrawStream  (16842833, 96, 1242080, ... ) == 0x1
 01800   896   NtGdiCreateCompatibleBitmap  (16842833, 431, 29, ... ) == 0xd80506aa
 01801   896   NtGdiCreateCompatibleDC  (16842833, ... ) == 0xc0103d2
 01802   896   NtGdiSelectBitmap  (201393106, -670759254, ... ) == 0x185000f
 01803   896   NtGdiDrawStream  (201393106, 96, 1241972, ... ) == 0x1
 01804   896   NtGdiDrawStream  (201393106, 96, 1241928, ... ) == 0x1
 01805   896   NtGdiDrawStream  (201393106, 96, 1241928, ... ) == 0x1
 01806   896   NtUserInternalGetWindowText  (0xa0130, 260, ...  (0xa0130, 260, ... "NSIS Error", ) , ) == 0xa
 01807   896   NtGdiGetRandomRgn  (201393106, 1963197660, 1, ... ) == 0x0
 01808   896   NtGdiIntersectClipRect  (201393106, 8, 8, 403, 25, ... ) == 0x3
 01809   896   NtGdiExtSelectClipRgn  (201393106, 0, 5, ... ) == 0x2
 01810   896   NtGdiGetRandomRgn  (201393106, 1979974876, 1, ... ) == 0x0
 01811   896   NtGdiIntersectClipRect  (201393106, 7, 7, 402, 25, ... ) == 0x3
 01812   896   NtGdiExtSelectClipRgn  (201393106, 0, 5, ... ) == 0x2
 01813   896   NtGdiBitBlt  (16842833, 0, 0, 431, 29, 201393106, 0, 0, 13369376, -1, 0, ... ) == 0x1
 01814   896   NtGdiSelectBitmap  (201393106, 25493519, ... ) == 0xd80506aa
 01815   896   NtGdiDeleteObjectApp  (201393106, ... ) == 0x1
 01816   896   NtGdiDeleteObjectApp  (-670759254, ... ) == 0x1
 01817   896   NtUserCallOneParam  (16842833, 57, ... ) == 0x1
 01818   896   NtUserFillWindow  (655664, 655664, 16842835, 4, ...
 01819   896   NtUserGetAncestor  (655664, 1, ... ) == 0x10014
 01820   896   NtUserValidateHandleSecure  (65556, ... ) == 0x1
 01821   896   NtUserGetAncestor  (65556, 1, ... ) == 0x0
 01818   896   NtUserFillWindow  ... ) == 0x1
 01822   896   NtUserInternalGetWindowText  (0xa0130, 260, ...  (0xa0130, 260, ... "NSIS Error", ) , ) == 0xa
 01823   896   NtUserGetWindowDC  (655664, ... ) == 0x1010050
 01824   896   NtGdiGetRandomRgn  (16842832, 1996752092, 1, ... ) == 0x0
 01825   896   NtGdiIntersectClipRect  (16842832, 0, 0, 0, 0, ... ) == 0x3
 01826   896   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 01827   896   NtGdiExtSelectClipRgn  (16842832, 0, 5, ... ) == 0x2
 01828   896   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 01829   896   NtUserCalcMenuBar  (655664, 3, 3, 29, 3353232, ... ) == 0x0
 01830   896   NtUserMessageCall  (0xa0130, WM_GETICON, 0x2, 0x0, 1242256, 690, 0, ...
 01831   896   NtUserMessageCall  (0xa0130, WM_GETICON, 0x2, 0x0, 0, 670, 0, ... ) == 0x0
 01830   896   NtUserMessageCall  ... ) == 0x0
 01832   896   NtUserMessageCall  (0xa0130, WM_GETICON, 0x0, 0x0, 1242256, 690, 0, ...
 01833   896   NtUserMessageCall  (0xa0130, WM_GETICON, 0x0, 0x0, 0, 670, 0, ... ) == 0x0
 01832   896   NtUserMessageCall  ... ) == 0x0
 01834   896   NtUserMessageCall  (0xa0130, WM_GETICON, 0x1, 0x0, 1242256, 690, 0, ...
 01835   896   NtUserMessageCall  (0xa0130, WM_GETICON, 0x1, 0x0, 0, 670, 0, ... ) == 0x0
 01834   896   NtUserMessageCall  ... ) == 0x0
 01836   896   NtUserGetTitleBarInfo  (655664, 1242888, ... ) == 0x1
 01837   896   NtUserBuildHwndList  (0, 655664, 1, 0, 64, ... (0xc0144, 0xa0132, 0xa0142, 0x1, ), 4, ) == 0x0
 01838   896   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01839   896   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01840   896   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01841   896   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 01842   896   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 01843   896   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 01844   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 01845   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 01846   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 01847   896   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01848   896   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01849   896   NtGdiExtCreateRegion  (0, 112, 3363352, ... ) == 0xda0406aa
 01850   896   NtGdiOffsetRgn  (-637270358, 0, 0, ... ) == 0x3
 01851   896   NtGdiCombineRgn  (2013529308, -637270358, 2013529308, 5, ... ) == 0x3
 01852   896   NtGdiCreateRectRgn  (0, 0, 1, 1, ... ) == 0xd0403d2
 01853   896   NtGdiCombineRgn  (2013529308, 218366930, 2013529308, 2, ... ) == 0x3
 01854   896   NtGdiCreateRectRgn  (0, 0, 1, 1, ... ) == 0x9d0405fe
 01855   896   NtGdiCombineRgn  (2013529308, -1660680706, 2013529308, 2, ... ) == 0x3
 01856   896   NtGdiCreateRectRgn  (0, 0, 1, 1, ... ) == 0xe20405ed
 01857   896   NtGdiCombineRgn  (2013529308, -503052819, 2013529308, 2, ... ) == 0x3
 01858   896   NtGdiCreateRectRgn  (0, 0, 1, 1, ... ) == 0xc4040679
 01859   896   NtGdiCombineRgn  (2013529308, -1006369159, 2013529308, 2, ... ) == 0x3
 01860   896   NtGdiCreateRectRgn  (0, 0, 1, 1, ... ) == 0x95040580
 01861   896   NtGdiCombineRgn  (-1794898560, 2013529308, 0, 5, ... ) == 0x3
 01862   896   NtUserSetWindowRgn  (655664, 2013529308, 1, ...
 01863   896   NtUserMessageCall  (0xa0130, WM_NCCALCSIZE, 0x1, 0x12f644, 0, 670, 0, ... ) == 0x0
 01864   896   NtUserInternalGetWindowText  (0xa0130, 260, ...  (0xa0130, 260, ... "NSIS Error", ) , ) == 0xa
 01865   896   NtUserGetWindowDC  (655664, ... ) == 0x1010050
 01866   896   NtGdiGetRandomRgn  (16842832, -989591943, 1, ... ) == 0x0
 01867   896   NtGdiIntersectClipRect  (16842832, 0, 0, 0, 0, ... ) == 0x3
 01868   896   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 01869   896   NtGdiExtSelectClipRgn  (16842832, 0, 5, ... ) == 0x2
 01870   896   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 01871   896   NtUserCalcMenuBar  (655664, 3, 3, 29, 3353232, ... ) == 0x0
 01872   896   NtUserMessageCall  (0xa0130, WM_GETICON, 0x2, 0x0, 1241036, 690, 0, ...
 01873   896   NtUserMessageCall  (0xa0130, WM_GETICON, 0x2, 0x0, 0, 670, 0, ... ) == 0x0
 01872   896   NtUserMessageCall  ... ) == 0x0
 01874   896   NtUserMessageCall  (0xa0130, WM_GETICON, 0x0, 0x0, 1241036, 690, 0, ...
 01875   896   NtUserMessageCall  (0xa0130, WM_GETICON, 0x0, 0x0, 0, 670, 0, ... ) == 0x0
 01874   896   NtUserMessageCall  ... ) == 0x0
 01876   896   NtUserMessageCall  (0xa0130, WM_GETICON, 0x1, 0x0, 1241036, 690, 0, ...
 01877   896   NtUserMessageCall  (0xa0130, WM_GETICON, 0x1, 0x0, 0, 670, 0, ... ) == 0x0
 01876   896   NtUserMessageCall  ... ) == 0x0
 01878   896   NtUserGetTitleBarInfo  (655664, 1241668, ... ) == 0x1
 01879   896   NtUserGetDCEx  (655664, 0, 66561, ... ) == 0x1010053
 01880   896   NtGdiExcludeClipRect  (16842835, 3, 29, 428, 182, ... ) == 0x3
 01881   896   NtGdiDrawStream  (16842835, 96, 1241152, ... ) == 0x1
 01882   896   NtGdiDrawStream  (16842835, 96, 1241152, ... ) == 0x1
 01883   896   NtGdiDrawStream  (16842835, 96, 1241152, ... ) == 0x1
 01884   896   NtGdiCreateCompatibleBitmap  (16842835, 431, 29, ... ) == 0xa50506d8
 01885   896   NtGdiCreateCompatibleDC  (16842835, ... ) == 0x52010763
 01886   896   NtGdiSelectBitmap  (1375799139, -1526397224, ... ) == 0x185000f
 01887   896   NtGdiDrawStream  (1375799139, 96, 1241044, ... ) == 0x1
 01888   896   NtGdiDrawStream  (1375799139, 96, 1241000, ... ) == 0x1
 01889   896   NtGdiDrawStream  (1375799139, 96, 1241000, ... ) == 0x1
 01890   896   NtUserInternalGetWindowText  (0xa0130, 260, ...  (0xa0130, 260, ... "NSIS Error", ) , ) == 0xa
 01891   896   NtGdiGetRandomRgn  (1375799139, -972814727, 1, ... ) == 0x0
 01892   896   NtGdiIntersectClipRect  (1375799139, 8, 8, 403, 25, ... ) == 0x3
 01893   896   NtGdiExtSelectClipRgn  (1375799139, 0, 5, ... ) == 0x2
 01894   896   NtGdiGetRandomRgn  (1375799139, -956037511, 1, ... ) == 0x0
 01895   896   NtGdiIntersectClipRect  (1375799139, 7, 7, 402, 25, ... ) == 0x3
 01896   896   NtGdiExtSelectClipRgn  (1375799139, 0, 5, ... ) == 0x2
 01897   896   NtGdiBitBlt  (16842835, 0, 0, 431, 29, 1375799139, 0, 0, 13369376, -1, 0, ... ) == 0x1
 01898   896   NtGdiSelectBitmap  (1375799139, 25493519, ... ) == 0xa50506d8
 01899   896   NtGdiDeleteObjectApp  (1375799139, ... ) == 0x1
 01900   896   NtGdiDeleteObjectApp  (-1526397224, ... ) == 0x1
 01901   896   NtUserCallOneParam  (16842835, 57, ... ) == 0x1
 01902   896   NtUserFillWindow  (655664, 655664, 16842833, 4, ...
 01903   896   NtUserGetAncestor  (655664, 1, ... ) == 0x10014
 01904   896   NtUserValidateHandleSecure  (65556, ... ) == 0x1
 01905   896   NtUserGetAncestor  (65556, 1, ... ) == 0x0
 01902   896   NtUserFillWindow  ... ) == 0x1
 01862   896   NtUserSetWindowRgn  ... ) == 0x1
 01778   896   NtUserShowWindow  ... ) == 0x0
 01906   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01907   896   NtUserCallHwndLock  (655664, 94, ...
 01908   896   NtUserMessageCall  (0xa0130, WM_PAINT, 0x0, 0x0, 0, 670, 0, ... ) == 0x0
 01909   896   NtUserBeginPaint  (0xc0144, 1243308, ...
 01910   896   NtUserMessageCall  (0xc0144, WM_NCPAINT, 0x1, 0x0, 0, 670, 0, ... ) == 0x0
 01909   896   NtUserBeginPaint  ... ) == 0x1010051
 01911   896   NtGdiCreateCompatibleDC  (16842833, ... ) == 0xa80106d8
 01912   896   NtGdiCreateCompatibleBitmap  (16842833, 75, 23, ... ) == 0x53050763
 01913   896   NtGdiSelectBitmap  (-1476327720, 1392838499, ... ) == 0x185000f
 01914   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01915   896   NtUserSetProp  (655664, 43286, 1, ... ) == 0x1
 01916   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01917   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01918   896   NtUserFillWindow  (655664, 655664, -1476327720, 4, ...
 01919   896   NtUserGetAncestor  (655664, 1, ... ) == 0x10014
 01920   896   NtUserValidateHandleSecure  (65556, ... ) == 0x1
 01921   896   NtUserGetAncestor  (65556, 1, ... ) == 0x0
 01918   896   NtUserFillWindow  ... ) == 0x1
 01922   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01923   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01924   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01925   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01926   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01927   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01928   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01929   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01930   896   NtUserSetProp  (655664, 43286, 2, ... ) == 0x1
 01931   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01932   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01933   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01934   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01935   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01936   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01937   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01938   896   NtUserRemoveProp  (655664, 43286, ... ) == 0x2
 01939   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01940   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01941   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01942   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01943   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01944   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01945   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01946   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01947   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01948   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01949   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01950   896   NtGdiIntersectClipRect  (-1476327720, 0, 0, 75, 23, ... ) == 0x3
 01951   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01952   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01953   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01954   896   NtGdiDrawStream  (-1476327720, 96, 1241944, ... ) == 0x1
 01955   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01956   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01957   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01958   896   NtGdiGetRandomRgn  (-1476327720, -939260295, 1, ... ) == 0x1
 01959   896   NtGdiIntersectClipRect  (-1476327720, 3, 3, 72, 20, ... ) == 0x3
 01960   896   NtGdiExtSelectClipRgn  (-1476327720, -939260295, 5, ... ) == 0x2
 01961   896   NtGdiBitBlt  (16842833, 0, 0, 75, 23, -1476327720, 0, 0, 13369376, -1, 0, ... ) == 0x1
 01962   896   NtGdiSelectBitmap  (-1476327720, 25493519, ... ) == 0x53050763
 01963   896   NtGdiDeleteObjectApp  (1392838499, ... ) == 0x1
 01964   896   NtGdiDeleteObjectApp  (-1476327720, ... ) == 0x1
 01965   896   NtUserEndPaint  (0xc0144, 1243308, ... ) == 0x1
 01966   896   NtUserBeginPaint  (0xa0132, 1243308, ...
 01967   896   NtUserMessageCall  (0xa0132, WM_NCPAINT, 0x1, 0x0, 0, 670, 0, ... ) == 0x0
 01966   896   NtUserBeginPaint  ... ) == 0x1010051
 01968   896   NtGdiIntersectClipRect  (16842833, 0, 0, 32, 32, ... ) == 0x3
 01969   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01970   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01971   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01972   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01973   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01974   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01975   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01976   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01977   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01978   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01979   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01980   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01981   896   NtGdiGetDCDword  (16842833, 7, 1243000, ... ) == 0x1
 01982   896   NtUserDrawIconEx  (16842833, 0, 0, 65545, 32, 32, 0, 17825878, 3, 0, 1243052, ... ) == 0x1
 01983   896   NtUserEndPaint  (0xa0132, 1243308, ... ) == 0x1
 01984   896   NtUserBeginPaint  (0xa0142, 1243308, ...
 01985   896   NtUserMessageCall  (0xa0142, WM_NCPAINT, 0x1, 0x0, 0, 670, 0, ... ) == 0x0
 01984   896   NtUserBeginPaint  ... ) == 0x1010051
 01986   896   NtGdiIntersectClipRect  (16842833, 0, 0, 357, 93, ... ) == 0x3
 01987   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01988   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01989   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01990   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01991   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01992   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01993   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01994   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01995   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01996   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01997   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01998   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 01999   896   NtGdiGetTextCharsetInfo  (16842833, 0, 0, ... ) == 0x0
 02000   896   NtUserEndPaint  (0xa0142, 1243308, ... ) == 0x1
 01907   896   NtUserCallHwndLock  ... ) == 0x1
 02001   896   NtUserWaitMessage  (... ) == 0x1
 02002   896   NtUserPeekMessage  (0, 0, 0, 1, ...
 02003   896   NtUserMessageCall  (0xa0130, WM_GETICON, 0x2, 0x0, 0, 670, 0, ... ) == 0x0
 02002   896   NtUserPeekMessage  ... {0x0, WM_USER+0xbca1, 0x11, 0xc0144, 0x131139c, {0, 0}}, ) == 0x0
 02004   896   NtUserWaitMessage  (... ) == 0x1
 02005   896   NtUserPeekMessage  (0, 0, 0, 1, ...
 02006   896   NtUserMessageCall  (0xa0130, WM_GETICON, 0x0, 0x0, 0, 670, 0, ... ) == 0x0
 02005   896   NtUserPeekMessage  ... {0x0, WM_USER+0xbca1, 0x11, 0xc0144, 0x131139c, {0, 0}}, ) == 0x0
 02007   896   NtUserWaitMessage  (... ) == 0x1
 02008   896   NtUserPeekMessage  (0, 0, 0, 1, ...
 02009   896   NtUserMessageCall  (0xa0130, WM_GETICON, 0x1, 0x0, 0, 670, 0, ... ) == 0x0
 02008   896   NtUserPeekMessage  ... {0x0, WM_USER+0xbca1, 0x11, 0xc0144, 0x131139c, {0, 0}}, ) == 0x0
 02010   896   NtUserWaitMessage  (... ) == 0x1
 02011   896   NtUserPeekMessage  (0, 0, 0, 1, ... {0xc0116, WM_TIMER, 0x1, 0x0, 0x13114f3, {0, 0}}, ) == 0x1
 02012   896   NtUserValidateHandleSecure  (655664, ... ) == 0x1
 02013   896   NtUserCallMsgFilter  (1243636, 0, ... ) == 0x0
 02014   896   NtUserValidateHandleSecure  (786710, ... ) == 0x1
 02015   896   NtUserValidateHandleSecure  (786710, ... ) == 0x1
 02016   896   NtUserValidateHandleSecure  (786710, ... ) == 0x1
 02017   896   NtUserValidateHandleSecure  (786710, ... ) == 0x1
 02018   896   NtUserKillTimer  (786710, 1, ... ) == 0x1
 02019   896   NtUserValidateHandleSecure  (0, ... ) == 0x0
 02020   896   NtUserWaitMessage  (...
NtCallbackReturn(>)	1	NtUserSetTimer(>)	1	NtUserDestroyWindow(>)	4	NtUserSystemParametersInfo(>)	11
NtConnectPort(>)	1	NtUserUnregisterClass(>)	1	NtUserGetClassInfo(>)	4	NtGdiCreateCompatibleDC(>)	12
NtCreateEvent(>)	1	NtContinue(>)	2	NtUserGetClassName(>)	4	NtGdiExtSelectClipRgn(>)	12
NtCreateSemaphore(>)	1	NtDuplicateToken(>)	2	NtUserGetDCEx(>)	4	NtGdiGetRandomRgn(>)	12
NtDuplicateObject(>)	1	NtFsControlFile(>)	2	NtUserGetForegroundWindow(>)	4	NtOpenProcessTokenEx(>)	12
NtEnumerateValueKey(>)	1	NtGdiCreateBitmap(>)	2	NtUserGetTitleBarInfo(>)	4	NtOpenThreadTokenEx(>)	12
NtFreeVirtualMemory(>)	1	NtGdiCreatePatternBrushInternal(>)	2	NtUserSetWindowsHookEx(>)	4	NtUserQueryWindow(>)	12
NtGdiCreateDIBitmapInternal(>)	1	NtGdiCreateSolidBrush(>)	2	NtGdiBitBlt(>)	5	NtQueryDebugFilterState(>)	14
NtGdiExtCreateRegion(>)	1	NtGdiDoPalette(>)	2	NtGdiCreateCompatibleBitmap(>)	5	NtUnmapViewOfSection(>)	14
NtGdiGetDCDword(>)	1	NtGdiGetDIBitsInternal(>)	2	NtQueryDefaultLocale(>)	5	NtUserCreateWindowEx(>)	14
NtGdiGetDCObject(>)	1	NtGdiGetWidthTable(>)	2	NtReleaseMutant(>)	5	NtUserSetProp(>)	14
NtGdiInit(>)	1	NtGdiStretchDIBitsInternal(>)	2	NtUserGetAtomName(>)	5	NtCreateFile(>)	15
NtGdiOffsetRgn(>)	1	NtOpenDirectoryObject(>)	2	NtUserWaitMessage(>)	5	NtGdiIntersectClipRect(>)	15
NtGdiQueryFontAssocInfo(>)	1	NtOpenThreadToken(>)	2	NtWaitForSingleObject(>)	5	NtRequestWaitReplyPort(>)	15
NtOpenEvent(>)	1	NtUserCallMsgFilter(>)	2	NtCreateMutant(>)	6	NtDeviceIoControlFile(>)	16
NtOpenKeyedEvent(>)	1	NtUserGetIconInfo(>)	2	NtGdiCombineRgn(>)	6	NtGdiDeleteObjectApp(>)	17
NtOpenMutant(>)	1	NtUserGetImeInfoEx(>)	2	NtGdiCreateRectRgn(>)	6	NtGdiSelectBitmap(>)	17
NtOpenSymbolicLinkObject(>)	1	NtUserKillTimer(>)	2	NtGdiExtGetObjectW(>)	6	NtQueryDirectoryFile(>)	17
NtQueryInstallUILanguage(>)	1	NtUserQueryInputContext(>)	2	NtGdiGetStockObject(>)	6	NtQueryInformationToken(>)	18
NtQueryObject(>)	1	NtUserSetCursor(>)	2	NtQuerySection(>)	6	NtGdiDrawStream(>)	19
NtQuerySymbolicLinkObject(>)	1	NtUserSetFocus(>)	2	NtUserBeginPaint(>)	6	NtOpenSection(>)	19
NtRegisterThreadTerminatePort(>)	1	NtUserSetWindowFNID(>)	2	NtUserBuildHwndList(>)	6	NtUserGetWindowDC(>)	24
NtSecureConnectPort(>)	1	NtUserSetWindowRgn(>)	2	NtUserFillWindow(>)	6	NtOpenFile(>)	25
NtSetInformationFile(>)	1	NtUserShowWindow(>)	2	NtUserGetDC(>)	6	NtAllocateVirtualMemory(>)	26
NtSetInformationThread(>)	1	NtUserUnhookWindowsHookEx(>)	2	NtUserGetObjectInformation(>)	6	NtUserRegisterWindowMessage(>)	26
NtTestAlert(>)	1	NtAddAtom(>)	3	NtUserGetThreadDesktop(>)	6	NtQueryAttributesFile(>)	34
NtUserCallHwnd(>)	1	NtGdiExcludeClipRect(>)	3	NtUserGetThreadState(>)	6	NtQueryValueKey(>)	35
NtUserCallHwndParam(>)	1	NtGdiGetCharSet(>)	3	NtSetInformationProcess(>)	7	NtMapViewOfSection(>)	39
NtUserDrawIconEx(>)	1	NtGdiGetTextCharsetInfo(>)	3	NtUserGetAncestor(>)	7	NtUserFindExistingCursorIcon(>)	44
NtUserFindWindowEx(>)	1	NtGdiGetTextMetricsW(>)	3	NtUserInternalGetWindowText(>)	7	NtUserCallOneParam(>)	45
NtUserGetCursorFrameInfo(>)	1	NtQueryVolumeInformationFile(>)	3	NtCreateKey(>)	8	NtUserRegisterClassExWOW(>)	47
NtUserGetGUIThreadInfo(>)	1	NtSetInformationObject(>)	3	NtOpenProcessToken(>)	8	NtFlushInstructionCache(>)	66
NtUserGetIconSize(>)	1	NtUserEndPaint(>)	3	NtQueryDefaultUILanguage(>)	8	NtUserMessageCall(>)	66
NtUserGetProcessWindowStation(>)	1	NtUserSetWindowPos(>)	3	NtQueryVirtualMemory(>)	8	NtCreateSection(>)	71
NtUserInvalidateRect(>)	1	NtUserUpdateInputContext(>)	3	NtSetValueKey(>)	8	NtOpenKey(>)	71
NtUserModifyUserStartupInfoFlags(>)	1	NtAccessCheck(>)	4	NtUserCallNoParam(>)	8	NtQuerySystemInformation(>)	73
NtUserNotifyIMEStatus(>)	1	NtGdiHfontCreate(>)	4	NtUserPeekMessage(>)	9	NtReadFile(>)	115
NtUserPostThreadMessage(>)	1	NtQueryInformationFile(>)	4	NtUserSetWindowLong(>)	9	NtProtectVirtualMemory(>)	132
NtUserSetCursorIconData(>)	1	NtUserCalcMenuBar(>)	4	NtQueryInformationProcess(>)	11	NtUserValidateHandleSecure(>)	205
NtUserSetImeOwnerWindow(>)	1	NtUserCallHwndLock(>)	4	NtUserRemoveProp(>)	11	NtClose(>)	237