Summary:


NtAddAtom(>)  1 
NtGdiGetWidthTable(>)  2 
NtQuerySymbolicLinkObject(>)  6 
NtUserRegisterWindowMessage(>)  25 

NtConnectPort(>)  1 
NtGdiStretchDIBitsInternal(>)  2 
NtUserFillWindow(>)  6 
NtOpenDirectoryObject(>)  28 

NtCreateProcessEx(>)  1 
NtOpenEvent(>)  2 
NtUserGetClassName(>)  6 
NtOpenSection(>)  28 

NtEnumerateValueKey(>)  1 
NtQueryInstallUILanguage(>)  2 
NtUserSetWindowFNID(>)  6 
NtGdiGetCharSet(>)  29 

NtFlushVirtualMemory(>)  1 
NtRegisterThreadTerminatePort(>)  2 
NtAccessCheck(>)  7 
NtUserGetWindowDC(>)  29 

NtGdiCreateDIBitmapInternal(>)  1 
NtResumeThread(>)  2 
NtGdiFlush(>)  7 
NtWaitForSingleObject(>)  29 

NtGdiExtCreateRegion(>)  1 
NtSetEvent(>)  2 
NtOpenThreadToken(>)  7 
NtGdiDrawStream(>)  30 

NtGdiGetDCObject(>)  1 
NtTestAlert(>)  2 
NtUserGetAncestor(>)  7 
NtUnmapViewOfSection(>)  30 

NtGdiGetTextCharsetInfo(>)  1 
NtUserGetImeInfoEx(>)  2 
NtCreateKey(>)  8 
NtQueryInformationFile(>)  35 

NtGdiInit(>)  1 
NtUserGetKeyboardLayoutList(>)  2 
NtEnumerateKey(>)  8 
NtOpenProcessTokenEx(>)  36 

NtGdiOffsetRgn(>)  1 
NtUserKillTimer(>)  2 
NtSetValueKey(>)  8 
NtOpenThreadTokenEx(>)  36 

NtGdiQueryFontAssocInfo(>)  1 
NtUserQueryInputContext(>)  2 
NtUserCallNoParam(>)  8 
NtUserEndPaint(>)  38 

NtNotifyChangeKey(>)  1 
NtUserSetFocus(>)  2 
NtUserShowWindow(>)  8 
NtGdiIntersectClipRect(>)  39 

NtOpenKeyedEvent(>)  1 
NtUserSetWindowRgn(>)  2 
NtUserCalcMenuBar(>)  9 
NtQueryVirtualMemory(>)  40 

NtOpenMutant(>)  1 
NtUserUpdateInputContext(>)  2 
NtUserGetThreadState(>)  9 
NtQueryInformationToken(>)  47 

NtOpenProcess(>)  1 
NtDuplicateObject(>)  3 
NtUserGetTitleBarInfo(>)  9 
NtUserBeginPaint(>)  48 

NtQueryFullAttributesFile(>)  1 
NtDuplicateToken(>)  3 
NtQueryDebugFilterState(>)  10 
NtOpenSymbolicLinkObject(>)  52 

NtQueryInformationJobObject(>)  1 
NtGdiHfontCreate(>)  3 
NtCreateEvent(>)  11 
NtAllocateVirtualMemory(>)  54 

NtQueryInformationThread(>)  1 
NtReadVirtualMemory(>)  3 
NtQuerySection(>)  11 
NtQueryInformationProcess(>)  55 

NtQueryObject(>)  1 
NtSetInformationObject(>)  3 
NtQueryVolumeInformationFile(>)  11 
NtSetInformationFile(>)  55 

NtQueryPerformanceCounter(>)  1 
NtUserGetObjectInformation(>)  3 
NtUserSetProp(>)  11 
NtUserRedrawWindow(>)  55 

NtQuerySystemTime(>)  1 
NtUserGetThreadDesktop(>)  3 
NtUserSetWindowLong(>)  11 
NtUserFindExistingCursorIcon(>)  56 

NtSecureConnectPort(>)  1 
NtUserSetWindowPos(>)  3 
NtQueryDefaultUILanguage(>)  12 
NtQueryAttributesFile(>)  57 

NtUserCallHwndParam(>)  1 
NtCreateSemaphore(>)  4 
NtUserQueryWindow(>)  12 
NtCreateFile(>)  62 

NtUserFindWindowEx(>)  1 
NtGdiExtGetObjectW(>)  4 
NtGdiCreateCompatibleDC(>)  13 
NtUserCallOneParam(>)  62 

NtUserGetGUIThreadInfo(>)  1 
NtSetInformationThread(>)  4 
NtOpenProcessToken(>)  13 
NtMapViewOfSection(>)  63 

NtUserGetIconInfo(>)  1 
NtUserGetClassInfo(>)  4 
NtRequestWaitReplyPort(>)  14 
NtUserRegisterClassExWOW(>)  64 

NtUserGetIconSize(>)  1 
NtUserSetWindowsHookEx(>)  4 
NtUserInternalGetWindowText(>)  14 
NtQuerySystemInformation(>)  76 

NtUserGetProcessWindowStation(>)  1 
NtWriteVirtualMemory(>)  4 
NtContinue(>)  15 
NtQueryDefaultLocale(>)  77 

NtUserNotifyIMEStatus(>)  1 
NtFsControlFile(>)  5 
NtUserCallMsgFilter(>)  15 
NtCreateSection(>)  91 

NtUserSetCursor(>)  1 
NtGdiExcludeClipRect(>)  5 
NtGdiDeleteObjectApp(>)  16 
NtWriteFile(>)  91 

NtUserSetCursorIconData(>)  1 
NtUserBuildHwndList(>)  5 
NtSetInformationProcess(>)  16 
NtFlushInstructionCache(>)  92 

NtUserSetImeOwnerWindow(>)  1 
NtUserCallHwndLock(>)  5 
NtUserCreateWindowEx(>)  16 
NtQueryValueKey(>)  95 

NtUserSetTimer(>)  1 
NtUserGetAtomName(>)  5 
NtGdiExtSelectClipRgn(>)  17 
NtOpenFile(>)  98 

NtCallbackReturn(>)  2 
NtUserGetDCEx(>)  5 
NtGdiGetRandomRgn(>)  17 
NtUserWaitMessage(>)  118 

NtCreateIoCompletion(>)  2 
NtUserGetForegroundWindow(>)  5 
NtUserDefSetText(>)  17 
NtUserPeekMessage(>)  133 

NtCreateThread(>)  2 
NtUserPostThreadMessage(>)  5 
NtUserSystemParametersInfo(>)  17 
NtOpenKey(>)  172 

NtFreeVirtualMemory(>)  2 
NtUserRemoveProp(>)  5 
NtGdiSelectBitmap(>)  19 
NtProtectVirtualMemory(>)  186 

NtGdiCreateBitmap(>)  2 
NtCreateMutant(>)  6 
NtUserGetDC(>)  19 
NtUserMessageCall(>)  227 

NtGdiCreatePatternBrushInternal(>)  2 
NtGdiBitBlt(>)  6 
NtQueryDirectoryFile(>)  21 
NtReadFile(>)  269 

NtGdiCreateSolidBrush(>)  2 
NtGdiCombineRgn(>)  6 
NtUserDispatchMessage(>)  21 
NtUserValidateHandleSecure(>)  373 

NtGdiDoPalette(>)  2 
NtGdiCreateCompatibleBitmap(>)  6 
NtDeviceIoControlFile(>)  22 
NtClose(>)  426 

NtGdiGetDIBitsInternal(>)  2 
NtGdiCreateRectRgn(>)  6 
NtUserGetControlBrush(>)  22 

NtGdiGetTextMetricsW(>)  2 
NtGdiGetStockObject(>)  6 

Trace:
 00001   896   NtOpenFile  (0x80100000, {24, 0, 0x240, 0, 0,  (0x80100000, {24, 0, 0x240, 0, 0, "\SystemRoot\Prefetch\PACKED.EXE-09ED06A1.pf"}, 0, 32, ... -2147481368, {status=0x0, info=1}, ) }, 0, 32, ... -2147481368, {status=0x0, info=1}, ) == 0x0
 00002   896   NtQueryInformationFile  (-2147481368, -142414796, 24, Standard, ... {status=0x0, info=24}, ) == 0x0
 00003   896   NtReadFile  (-2147481368, 0, 0, 0, 13474, 0x0, 0, ... {status=0x0, info=13474},  (-2147481368, 0, 0, 0, 13474, 0x0, 0, ... {status=0x0, info=13474}, "\21\0\0\0SCCA\17\0\0\0\2424\0\0P\0A\0C\0K\0E\0D\0.\0E\0X\0E\0\0\0\0\00\366i\201\0\0\0\0\0\0\0\0\20\0\0\0@-\201\367\0@\300\367\30,\201\367x@s\201@-\201\367\241\6\355\11\0\0\0\0\230\0\0\0\34\0\0\0\310\2\0\0\331\2\0\0\364$\0\0\36\14\0\0\301\0\0\1\0\0\0\212\3\0\0\200\14V6\217\260\310\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\1\0\0\0\0\0\0\01\0\0\0\0\0\0\02\0\0\0\2\0\0\01\0\0\0%\1\0\0f\0\0\05\0\0\0\6\0\0\0V\1\0\0\5\0\0\0\322\0\0\04\0\0\0\4\0\0\0[\1\0\0\3\0\0\0<\1\0\03\0\0\0\4\0\0\0^\1\0\0\4\0\0\0\244\1\0\05\0\0\0\4\0\0\0b\1\0\0\32\0\0\0\20\2\0\03\0\0\0\2\0\0\0|\1\0\0\23\0\0\0x\2\0\02\0\0\0\2\0\0\0\217\1\0\0\7\0\0\0\336\2\0\02\0\0\0\6\0\0\0\226\1\0\0\22\0\0\0D\3\0\05\0\0\0\2\0\0\0\250\1\0\0\14\0\0\0\260\3\0\03\0\0\0\2\0\0\0\264\1\0\0\13\0\0\0\30\4\0\05\0\0\0\2\0\0\0\277\1\0\0*\0\0\0\204\4\0\03\0\0\0\2\0\0\0\351\1\0\0\21\0\0\0\354\4\0\02\0\0\0\2\0\0\0\372\1\0\0\2\0\0\0R\5\0\02\0\0\0\4\0\0\0\374\1\0\0\1\0\0\0\270\5\0\04\0\0\0\4\0\0\0\375\1\0\0\22\0\0\0"\6\0\04\0\0\0\6\0\0\0\17\2\0\0\36\0\0\0\214\6\0\04\0\0\0\2\0\0\0-\2\0\0\13\0\0\0", ) \6\0\04\0\0\0\6\0\0\0\17\2\0\0\36\0\0\0\214\6\0\04\0\0\0\2\0\0\0-\2\0\0\13\0\0\0", ) == 0x0
 00004   896   NtClose  (-2147481368, ... ) == 0x0
 00005   896   NtCreateFile  (0x100080, {24, 0, 0x240, 0, 0,  (0x100080, {24, 0, 0x240, 0, 0, "\DEVICE\HARDDISKVOLUME1"}, 0x0, 0, 7, 1, 32, 0, 0, ... -2147481368, {status=0x0, info=0}, ) }, 0x0, 0, 7, 1, 32, 0, 0, ... -2147481368, {status=0x0, info=0}, ) == 0x0
 00006   896   NtQueryVolumeInformationFile  (-2147481368, -142414840, 8, Device, ... {status=0x0, info=8}, ) == 0x0
 00007   896   NtClose  (-2147481368, ... ) == 0x0
 00008   896   NtCreateFile  (0x100180, {24, 0, 0x240, 0, 0,  (0x100180, {24, 0, 0x240, 0, 0, "\DEVICE\HARDDISKVOLUME1"}, 0x0, 0, 7, 1, 32, 0, 0, ... }, 0x0, 0, 7, 1, 32, 0, 0, ...
 00009   896   NtContinue  (-142419640, 0, ...
 00008   896   NtCreateFile  ... -2147481368, {status=0x0, info=1}, ) == 0x0
 00010   896   NtQueryVolumeInformationFile  (-2147481368, -142414852, 24, Volume, ... {status=0x0, info=18}, ) == 0x0
 00011   896   NtFsControlFile  (-2147481368, 0, 0x0, 0x0, 0x90120,  (-2147481368, 0, 0x0, 0x0, 0x90120, "\1\0\0\0!\0\0\0H\10\0\0\0\0\1\0\2309\0\0\0\0\2\0\15\1\0\0\0\0\1\0\357\0\0\0\0\3\0X\244\0\0\0\0\4\0\217\10\0\0\0\0\1\0\214;\0\0\0\0\2\0XK\0\0\0\0\3\0f\10\0\0\0\0\1\0Z\10\0\0\0\0\1\0\304\10\0\0\0\0\1\0Y\10\0\0\0\0\1\0C\10\0\0\0\0\1\0/:\0\0\0\0\3\0\235\244\0\0\0\0\3\0\26\11\0\0\0\0\1\0\201\246\0\0\0\0\3\0\224\246\0\0\0\0\3\0@C\0\0\0\0\2\0r\10\0\0\0\0\1\0g\10\0\0\0\0\1\0\2\1\0\0\0\0\1\0o%\0\0\0\0\3\0\243\10\0\0\0\0\1\0q\10\0\0\0\0\1\0p\10\0\0\0\0\1\0@\31\0\0\0\0\1\0\2339\0\0\0\0\1\0\5\0\0\0\0\0\5\0\34\0\0\0\0\0\1\0'\0\0\0\0\0\1\0\210\0\0\0\0\0\1\0\2329\0\0\0\0\1\0", 272, 0, ... {status=0x0, info=0}, 0x0, ) , 272, 0, ... {status=0x0, info=0}, 0x0, ) == 0x0
 00012   896   NtCreateFile  (0x100001, {24, 0, 0x240, 0, 0,  (0x100001, {24, 0, 0x240, 0, 0, "\DEVICE\HARDDISKVOLUME1\"}, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) }, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) == 0x0
 00013   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446847, ... {status=0x0, info=1146}, ) == 0x0
 00014   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446848, ... ) == STATUS_NO_MORE_FILES
 00015   896   NtClose  (-2147482764, ... ) == 0x0
 00016   896   NtCreateFile  (0x100001, {24, 0, 0x240, 0, 0,  (0x100001, {24, 0, 0x240, 0, 0, "\DEVICE\HARDDISKVOLUME1\WINDOWS\"}, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) }, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) == 0x0
 00017   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446847, ... {status=0x0, info=15820}, ) == 0x0
 00018   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446848, ... ) == STATUS_NO_MORE_FILES
 00019   896   NtClose  (-2147482764, ... ) == 0x0
 00020   896   NtCreateFile  (0x100001, {24, 0, 0x240, 0, 0,  (0x100001, {24, 0, 0x240, 0, 0, "\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\"}, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) }, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) == 0x0
 00021   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446847, ... {status=0x0, info=16366}, ) == 0x0
 00022   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446848, ... {status=0x0, info=16354}, ) == 0x0
 00023   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446848, ... {status=0x0, info=16348}, ) == 0x0
 00024   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446848, ... {status=0x0, info=16364}, ) == 0x0
 00025   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446848, ... {status=0x0, info=11386}, ) == 0x0
 00026   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446848, ... ) == STATUS_NO_MORE_FILES
 00027   896   NtClose  (-2147482764, ... ) == 0x0
 00028   896   NtCreateFile  (0x100001, {24, 0, 0x240, 0, 0,  (0x100001, {24, 0, 0x240, 0, 0, "\DEVICE\HARDDISKVOLUME1\WINDOWS\WINSXS\"}, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) }, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) == 0x0
 00029   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446847, ... {status=0x0, info=2228}, ) == 0x0
 00030   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446848, ... ) == STATUS_NO_MORE_FILES
 00031   896   NtClose  (-2147482764, ... ) == 0x0
 00032   896   NtCreateFile  (0x100001, {24, 0, 0x240, 0, 0,  (0x100001, {24, 0, 0x240, 0, 0, "\DEVICE\HARDDISKVOLUME1\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_6.0.2600.2982_X-WW_AC3F9C03\"}, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) }, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) == 0x0
 00033   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446847, ... {status=0x0, info=68}, ) == 0x0
 00034   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446848, ... ) == STATUS_NO_MORE_FILES
 00035   896   NtClose  (-2147482764, ... ) == 0x0
 00036   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482764, ... -2147482688, ) == 0x0
 00037   896   NtClose  (-2147482688, ... ) == 0x0
 00038   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482688, ... -2147482660, ) == 0x0
 00039   896   NtClose  (-2147482660, ... ) == 0x0
 00040   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482660, ... -2147482656, ) == 0x0
 00041   896   NtClose  (-2147482656, ... ) == 0x0
 00042   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482656, ... -2147482652, ) == 0x0
 00043   896   NtClose  (-2147482652, ... ) == 0x0
 00044   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482652, ... -2147482724, ) == 0x0
 00045   896   NtClose  (-2147482724, ... ) == 0x0
 00046   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482724, ... -2147481452, ) == 0x0
 00047   896   NtClose  (-2147481452, ... ) == 0x0
 00048   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481452, ... -2147482684, ) == 0x0
 00049   896   NtClose  (-2147482684, ... ) == 0x0
 00050   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482684, ... -2147482680, ) == 0x0
 00051   896   NtClose  (-2147482680, ... ) == 0x0
 00052   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482680, ... -2147482760, ) == 0x0
 00053   896   NtClose  (-2147482760, ... ) == 0x0
 00054   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482760, ... -2147481628, ) == 0x0
 00055   896   NtClose  (-2147481628, ... ) == 0x0
 00056   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481628, ... -2147481484, ) == 0x0
 00057   896   NtClose  (-2147481484, ... ) == 0x0
 00058   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481484, ... -2147481480, ) == 0x0
 00059   896   NtClose  (-2147481480, ... ) == 0x0
 00060   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481480, ... -2147482136, ) == 0x0
 00061   896   NtClose  (-2147482136, ... ) == 0x0
 00062   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482136, ... -2147482748, ) == 0x0
 00063   896   NtClose  (-2147482748, ... ) == 0x0
 00064   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482748, ... -2147482676, ) == 0x0
 00065   896   NtClose  (-2147482676, ... ) == 0x0
 00066   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482676, ... -2147482672, ) == 0x0
 00067   896   NtClose  (-2147482672, ... ) == 0x0
 00068   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482672, ... -2147482668, ) == 0x0
 00069   896   NtClose  (-2147482668, ... ) == 0x0
 00070   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482668, ... -2147482664, ) == 0x0
 00071   896   NtClose  (-2147482664, ... ) == 0x0
 00072   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482664, ... -2147481588, ) == 0x0
 00073   896   NtClose  (-2147481588, ... ) == 0x0
 00074   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481588, ... -2147481584, ) == 0x0
 00075   896   NtClose  (-2147481584, ... ) == 0x0
 00076   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481584, ... -2147482692, ) == 0x0
 00077   896   NtClose  (-2147482692, ... ) == 0x0
 00078   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482692, ... -2147481512, ) == 0x0
 00079   896   NtClose  (-2147481512, ... ) == 0x0
 00080   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481512, ... -2147481580, ) == 0x0
 00081   896   NtClose  (-2147481580, ... ) == 0x0
 00082   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481580, ... -2147481552, ) == 0x0
 00083   896   NtClose  (-2147481552, ... ) == 0x0
 00084   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481552, ... -2147481592, ) == 0x0
 00085   896   NtClose  (-2147481592, ... ) == 0x0
 00086   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481592, ... -2147481596, ) == 0x0
 00087   896   NtClose  (-2147481596, ... ) == 0x0
 00088   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481596, ... -2147482108, ) == 0x0
 00089   896   NtClose  (-2147482108, ... ) == 0x0
 00090   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482108, ... -2147482732, ) == 0x0
 00091   896   NtClose  (-2147482732, ... ) == 0x0
 00092   896   NtClose  (-2147482764, ... ) == 0x0
 00093   896   NtClose  (-2147482688, ... ) == 0x0
 00094   896   NtClose  (-2147482660, ... ) == 0x0
 00095   896   NtClose  (-2147482656, ... ) == 0x0
 00096   896   NtClose  (-2147482652, ... ) == 0x0
 00097   896   NtClose  (-2147482724, ... ) == 0x0
 00098   896   NtClose  (-2147481452, ... ) == 0x0
 00099   896   NtClose  (-2147482684, ... ) == 0x0
 00100   896   NtClose  (-2147482680, ... ) == 0x0
 00101   896   NtClose  (-2147482760, ... ) == 0x0
 00102   896   NtClose  (-2147481628, ... ) == 0x0
 00103   896   NtClose  (-2147481484, ... ) == 0x0
 00104   896   NtClose  (-2147481480, ... ) == 0x0
 00105   896   NtClose  (-2147482136, ... ) == 0x0
 00106   896   NtClose  (-2147482748, ... ) == 0x0
 00107   896   NtClose  (-2147482676, ... ) == 0x0
 00108   896   NtClose  (-2147482672, ... ) == 0x0
 00109   896   NtClose  (-2147482668, ... ) == 0x0
 00110   896   NtClose  (-2147482664, ... ) == 0x0
 00111   896   NtClose  (-2147481588, ... ) == 0x0
 00112   896   NtClose  (-2147481584, ... ) == 0x0
 00113   896   NtClose  (-2147482692, ... ) == 0x0
 00114   896   NtClose  (-2147481512, ... ) == 0x0
 00115   896   NtClose  (-2147481580, ... ) == 0x0
 00116   896   NtClose  (-2147481552, ... ) == 0x0
 00117   896   NtClose  (-2147481592, ... ) == 0x0
 00118   896   NtClose  (-2147481596, ... ) == 0x0
 00119   896   NtClose  (-2147482108, ... ) == 0x0
 00120   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482108, ... -2147481596, ) == 0x0
 00121   896   NtClose  (-2147481596, ... ) == 0x0
 00122   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481596, ... -2147481592, ) == 0x0
 00123   896   NtClose  (-2147481592, ... ) == 0x0
 00124   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481592, ... -2147481552, ) == 0x0
 00125   896   NtClose  (-2147481552, ... ) == 0x0
 00126   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481552, ... -2147481580, ) == 0x0
 00127   896   NtClose  (-2147481580, ... ) == 0x0
 00128   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481580, ... -2147481512, ) == 0x0
 00129   896   NtClose  (-2147481512, ... ) == 0x0
 00130   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481512, ... -2147482692, ) == 0x0
 00131   896   NtClose  (-2147482692, ... ) == 0x0
 00132   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482692, ... -2147481584, ) == 0x0
 00133   896   NtClose  (-2147481584, ... ) == 0x0
 00134   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481584, ... -2147481588, ) == 0x0
 00135   896   NtClose  (-2147481588, ... ) == 0x0
 00136   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481588, ... -2147482664, ) == 0x0
 00137   896   NtClose  (-2147482664, ... ) == 0x0
 00138   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482664, ... -2147482668, ) == 0x0
 00139   896   NtClose  (-2147482668, ... ) == 0x0
 00140   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482668, ... -2147482672, ) == 0x0
 00141   896   NtClose  (-2147482672, ... ) == 0x0
 00142   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482672, ... -2147482676, ) == 0x0
 00143   896   NtClose  (-2147482676, ... ) == 0x0
 00144   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482676, ... -2147482748, ) == 0x0
 00145   896   NtClose  (-2147482748, ... ) == 0x0
 00146   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482748, ... -2147482136, ) == 0x0
 00147   896   NtClose  (-2147482136, ... ) == 0x0
 00148   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482136, ... -2147481480, ) == 0x0
 00149   896   NtClose  (-2147481480, ... ) == 0x0
 00150   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481480, ... -2147481484, ) == 0x0
 00151   896   NtClose  (-2147481484, ... ) == 0x0
 00152   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481484, ... -2147481628, ) == 0x0
 00153   896   NtClose  (-2147481628, ... ) == 0x0
 00154   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481628, ... -2147482760, ) == 0x0
 00155   896   NtClose  (-2147482760, ... ) == 0x0
 00156   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482760, ... -2147482680, ) == 0x0
 00157   896   NtClose  (-2147482680, ... ) == 0x0
 00158   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482680, ... -2147482684, ) == 0x0
 00159   896   NtClose  (-2147482684, ... ) == 0x0
 00160   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482684, ... -2147481452, ) == 0x0
 00161   896   NtClose  (-2147481452, ... ) == 0x0
 00162   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481452, ... -2147482724, ) == 0x0
 00163   896   NtClose  (-2147482724, ... ) == 0x0
 00164   896   NtClose  (-2147482108, ... ) == 0x0
 00165   896   NtClose  (-2147481596, ... ) == 0x0
 00166   896   NtClose  (-2147481592, ... ) == 0x0
 00167   896   NtClose  (-2147481552, ... ) == 0x0
 00168   896   NtClose  (-2147481580, ... ) == 0x0
 00169   896   NtClose  (-2147481512, ... ) == 0x0
 00170   896   NtClose  (-2147482692, ... ) == 0x0
 00171   896   NtClose  (-2147481584, ... ) == 0x0
 00172   896   NtClose  (-2147481588, ... ) == 0x0
 00173   896   NtClose  (-2147482664, ... ) == 0x0
 00174   896   NtClose  (-2147482668, ... ) == 0x0
 00175   896   NtClose  (-2147482672, ... ) == 0x0
 00176   896   NtClose  (-2147482676, ... ) == 0x0
 00177   896   NtClose  (-2147482748, ... ) == 0x0
 00178   896   NtClose  (-2147482136, ... ) == 0x0
 00179   896   NtClose  (-2147481480, ... ) == 0x0
 00180   896   NtClose  (-2147481484, ... ) == 0x0
 00181   896   NtClose  (-2147481628, ... ) == 0x0
 00182   896   NtClose  (-2147482760, ... ) == 0x0
 00183   896   NtClose  (-2147482680, ... ) == 0x0
 00184   896   NtClose  (-2147482684, ... ) == 0x0
 00185   896   NtClose  (-2147481452, ... ) == 0x0
 00186   896   NtClose  (-2147481368, ... ) == 0x0
 00187   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\packed.exe"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00188   896   NtOpenKeyedEvent  (0x2000000, {24, 0, 0x0, 0, 0,  (0x2000000, {24, 0, 0x0, 0, 0, "\KernelObjects\CritSecOutOfMemoryEvent"}, ... 4, ) }, ... 4, ) == 0x0
 00189   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00190   896   NtAllocateVirtualMemory  (-1, 0, 0, 1048576, 8192, 4, ... 524288, 1048576, ) == 0x0
 00191   896   NtAllocateVirtualMemory  (-1, 524288, 0, 4096, 4096, 4, ... 524288, 4096, ) == 0x0
 00192   896   NtAllocateVirtualMemory  (-1, 528384, 0, 8192, 4096, 4, ... 528384, 8192, ) == 0x0
 00193   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00194   896   NtAllocateVirtualMemory  (-1, 0, 0, 65536, 8192, 4, ... 1572864, 65536, ) == 0x0
 00195   896   NtAllocateVirtualMemory  (-1, 1572864, 0, 24576, 4096, 4, ... 1572864, 24576, ) == 0x0
 00196   896   NtOpenDirectoryObject  (0x3, {24, 0, 0x40, 0, 0,  (0x3, {24, 0, 0x40, 0, 0, "\KnownDlls"}, ... 8, ) }, ... 8, ) == 0x0
 00197   896   NtOpenSymbolicLinkObject  (0x1, {24, 8, 0x40, 0, 0,  (0x1, {24, 8, 0x40, 0, 0, "KnownDllPath"}, ... 12, ) }, ... 12, ) == 0x0
 00198   896   NtQuerySymbolicLinkObject  (12, ...  (12, ... "C:\WINDOWS\system32", 0x0, ) , 0x0, ) == 0x0
 00199   896   NtClose  (12, ... ) == 0x0
 00200   896   NtOpenFile  (0x100020, {24, 0, 0x42, 0, 0,  (0x100020, {24, 0, 0x42, 0, 0, "\??\C:\scripts\"}, 3, 33, ... 12, {status=0x0, info=1}, ) }, 3, 33, ... 12, {status=0x0, info=1}, ) == 0x0
 00201   896   NtQueryVolumeInformationFile  (12, 457420, 8, Device, ... {status=0x0, info=8}, ) == 0x0
 00202   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\u:\work\packed.exe.Local"}, 457372, ... ) }, 457372, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00203   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "kernel32.dll"}, ... 16, ) }, ... 16, ) == 0x0
 00204   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x7c800000), 0x0, 1003520, ) == 0x0
 00205   896   NtClose  (16, ... ) == 0x0
 00206   896   NtProtectVirtualMemory  (-1, (0x7c801000), 1568, 4, ... (0x7c801000), 4096, 32, ) == 0x0
 00207   896   NtProtectVirtualMemory  (-1, (0x7c801000), 4096, 32, ... (0x7c801000), 4096, 4, ) == 0x0
 00208   896   NtFlushInstructionCache  (-1, 2088767488, 1568, ... ) == 0x0
 00209   896   NtQueryInformationProcess  (-1, 36, 4, ... {process info, class 36, size 4}, 0x0, ) == 0x0
 00210   896   NtQuerySystemInformation  (RangeStart, 4, ... {system info, class 50, size 4}, 0x0, ) == 0x0
 00211   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00212   896   NtCreateSection  (0xf001f, 0x0, {65536, 0}, 4, 67108864, 0, ... 16, ) == 0x0
 00213   896   NtSecureConnectPort  ( ("\Windows\ApiPort", {0, 2, 1, 1}, {24, 16, 0, 65536, 0, 0}, 533304, {12, 0, 0}, 455512, 44, ... 24, {24, 16, 0, 65536, 1638400, 18939904}, {0, 0, 0}, 200, 44, ) , {0, 2, 1, 1}, {24, 16, 0, 65536, 0, 0}, 533304, {12, 0, 0}, 455512, 44, ... 24, {24, 16, 0, 65536, 1638400, 18939904}, {0, 0, 0}, 200, 44, ) == 0x0
 00214   896   NtClose  (16, ... ) == 0x0
 00215   896   NtQueryObject  (24, Handle, 2, ... {Inherit=0,ProtectFromClose=0,}, -1, ) == 0x0
 00216   896   NtSetInformationObject  (24, Handle, {Inherit=0,ProtectFromClose=1,}, 256, ... ) == 0x0
 00217   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00218   896   NtQueryVirtualMemory  (-1, 0x190000, Basic, 28, ... {BaseAddress=0x190000,AllocationBase=0x190000,AllocationProtect=0x4,RegionSize=0x10000,State=0x2000,Protect=0x0,Type=0x40000,}, 0x0, ) == 0x0
 00219   896   NtAllocateVirtualMemory  (-1, 1638400, 0, 4096, 4096, 4, ... 1638400, 4096, ) == 0x0
 00220   896   NtRequestWaitReplyPort  (24, {28, 56, new_msg, 0, 455828, 456028, 2089900544, 455752}  (24, {28, 56, new_msg, 0, 455828, 456028, 2089900544, 455752} "\210\6!\1\0\0\0\0eZ\221|\0\0\0\0\1\0\0\0\234\6!\1\4\0\0\0" ... {28, 56, reply, 0, 1252, 896, 81831, 0} "\370\374\27\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\234\6!\1\4\0\0\0" )  ... {28, 56, reply, 0, 1252, 896, 81831, 0}  (24, {28, 56, new_msg, 0, 455828, 456028, 2089900544, 455752} "\210\6!\1\0\0\0\0eZ\221|\0\0\0\0\1\0\0\0\234\6!\1\4\0\0\0" ... {28, 56, reply, 0, 1252, 896, 81831, 0} "\370\374\27\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\234\6!\1\4\0\0\0" )  ) == 0x0
 00221   896   NtRegisterThreadTerminatePort  (24, ... ) == 0x0
 00222   896   NtAllocateVirtualMemory  (-1, 446464, 0, 4096, 4096, 260, ... 446464, 4096, ) == 0x0
 00223   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\System\CurrentControlSet\Control\Terminal Server"}, ... 16, ) }, ... 16, ) == 0x0
 00224   896   NtQueryValueKey  (16,  (16, "TSAppCompat", Partial, 548, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 548, ... TitleIdx=0, Type=4, Data= (16, "TSAppCompat", Partial, 548, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 00225   896   NtClose  (16, ... ) == 0x0
 00226   896   NtOpenSection  (0x4, {24, 0, 0x40, 0, 0,  (0x4, {24, 0, 0x40, 0, 0, "\NLS\NlsSectionUnicode"}, ... 16, ) }, ... 16, ) == 0x0
 00227   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 2, 0, 2, ... (0x1a0000), 0x0, 90112, ) == 0x0
 00228   896   NtClose  (16, ... ) == 0x0
 00229   896   NtQueryDefaultLocale  (0, 2089305000, ... ) == 0x0
 00230   896   NtOpenSection  (0x4, {24, 0, 0x40, 0, 0,  (0x4, {24, 0, 0x40, 0, 0, "\NLS\NlsSectionLocale"}, ... 16, ) }, ... 16, ) == 0x0
 00231   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 2, 0, 2, ... (0x1c0000), 0x0, 249856, ) == 0x0
 00232   896   NtClose  (16, ... ) == 0x0
 00233   896   NtOpenSection  (0x5, {24, 0, 0x40, 0, 0,  (0x5, {24, 0, 0x40, 0, 0, "\NLS\NlsSectionSortkey"}, ... 16, ) }, ... 16, ) == 0x0
 00234   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 2, 0, 2, ... (0x200000), 0x0, 266240, ) == 0x0
 00235   896   NtQuerySection  (16, Basic, 16, ... {BaseAddress=0x0,Attributes=0x800000,Size={0x40004, 0x0},}, 0x0, ) == 0x0
 00236   896   NtClose  (16, ... ) == 0x0
 00237   896   NtOpenSection  (0x4, {24, 0, 0x40, 0, 0,  (0x4, {24, 0, 0x40, 0, 0, "\NLS\NlsSectionSortTbls"}, ... 16, ) }, ... 16, ) == 0x0
 00238   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 2, 0, 2, ... (0x250000), 0x0, 24576, ) == 0x0
 00239   896   NtClose  (16, ... ) == 0x0
 00240   896   NtQueryVirtualMemory  (-1, 0x7ffd2000, Basic, 28, ... {BaseAddress=0x7ffd2000,AllocationBase=0x7ffb0000,AllocationProtect=0x2,RegionSize=0x2000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 00241   896   NtOpenSection  (0x4, {24, 0, 0x40, 0, 0,  (0x4, {24, 0, 0x40, 0, 0, "\NLS\NlsSectionSortkey00000409"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00242   896   NtOpenSection  (0x4, {24, 0, 0x40, 0, 0,  (0x4, {24, 0, 0x40, 0, 0, "\NLS\NlsSectionSortkey00000409"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00243   896   NtAllocateVirtualMemory  (-1, 1642496, 0, 8192, 4096, 4, ... 1642496, 8192, ) == 0x0
 00244   896   NtRequestWaitReplyPort  (24, {24, 52, new_msg, 0, 7012468, 7929957, 3145776, 3145776}  (24, {24, 52, new_msg, 0, 7012468, 7929957, 3145776, 3145776} "\210\6!\1\36\0\1\0\0\0\0\0\377\377\377\377\234\6!\1p\30\0\0" ... {24, 52, reply, 0, 1252, 896, 81832, 0} "\10P\30\0\36\0\1\0\0\0\0\0\377\377\377\377\234\6!\1p\30\0\0" )  ... {24, 52, reply, 0, 1252, 896, 81832, 0}  (24, {24, 52, new_msg, 0, 7012468, 7929957, 3145776, 3145776} "\210\6!\1\36\0\1\0\0\0\0\0\377\377\377\377\234\6!\1p\30\0\0" ... {24, 52, reply, 0, 1252, 896, 81832, 0} "\10P\30\0\36\0\1\0\0\0\0\0\377\377\377\377\234\6!\1p\30\0\0" )  ) == 0x0
 00245   896   NtRequestWaitReplyPort  (24, {28, 56, new_msg, 0, 2089305760, 2090321376, 0, 0}  (24, {28, 56, new_msg, 0, 2089305760, 2090321376, 0, 0} "\210\6!\1\0\0\0\0\0\0\0\0\0\0\0\0\2\0\0\0\234\6!\18\6\0\0" ... {28, 56, reply, 0, 1252, 896, 81833, 0} "\250\202\26\0\0\0\0\0\0\0\0\0\0\0\0\0\2\0\0\0\234\6!\18\6\0\0" )  ... {28, 56, reply, 0, 1252, 896, 81833, 0}  (24, {28, 56, new_msg, 0, 2089305760, 2090321376, 0, 0} "\210\6!\1\0\0\0\0\0\0\0\0\0\0\0\0\2\0\0\0\234\6!\18\6\0\0" ... {28, 56, reply, 0, 1252, 896, 81833, 0} "\250\202\26\0\0\0\0\0\0\0\0\0\0\0\0\0\2\0\0\0\234\6!\18\6\0\0" )  ) == 0x0
 00246   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "msvcrt.dll"}, ... 16, ) }, ... 16, ) == 0x0
 00247   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77c10000), 0x0, 360448, ) == 0x0
 00248   896   NtClose  (16, ... ) == 0x0
 00249   896   NtProtectVirtualMemory  (-1, (0x77c11000), 632, 4, ... (0x77c11000), 4096, 32, ) == 0x0
 00250   896   NtProtectVirtualMemory  (-1, (0x77c11000), 4096, 32, ... (0x77c11000), 4096, 4, ) == 0x0
 00251   896   NtFlushInstructionCache  (-1, 2009141248, 632, ... ) == 0x0
 00252   896   NtProtectVirtualMemory  (-1, (0x1001000), 356, 4, ... (0x1001000), 4096, 32, ) == 0x0
 00253   896   NtProtectVirtualMemory  (-1, (0x1001000), 4096, 32, ... (0x1001000), 4096, 4, ) == 0x0
 00254   896   NtFlushInstructionCache  (-1, 16781312, 356, ... ) == 0x0
 00255   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "ADVAPI32.dll"}, ... 16, ) }, ... 16, ) == 0x0
 00256   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77dd0000), 0x0, 634880, ) == 0x0
 00257   896   NtClose  (16, ... ) == 0x0
 00258   896   NtProtectVirtualMemory  (-1, (0x77dd1000), 1700, 4, ... (0x77dd1000), 4096, 32, ) == 0x0
 00259   896   NtProtectVirtualMemory  (-1, (0x77dd1000), 4096, 32, ... (0x77dd1000), 4096, 4, ) == 0x0
 00260   896   NtFlushInstructionCache  (-1, 2010976256, 1700, ... ) == 0x0
 00261   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "RPCRT4.dll"}, ... 16, ) }, ... 16, ) == 0x0
 00262   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77e70000), 0x0, 593920, ) == 0x0
 00263   896   NtClose  (16, ... ) == 0x0
 00264   896   NtProtectVirtualMemory  (-1, (0x77e71000), 868, 4, ... (0x77e71000), 4096, 32, ) == 0x0
 00265   896   NtProtectVirtualMemory  (-1, (0x77e71000), 4096, 32, ... (0x77e71000), 4096, 4, ) == 0x0
 00266   896   NtFlushInstructionCache  (-1, 2011631616, 868, ... ) == 0x0
 00267   896   NtProtectVirtualMemory  (-1, (0x77e71000), 868, 4, ... (0x77e71000), 4096, 32, ) == 0x0
 00268   896   NtProtectVirtualMemory  (-1, (0x77e71000), 4096, 32, ... (0x77e71000), 4096, 4, ) == 0x0
 00269   896   NtFlushInstructionCache  (-1, 2011631616, 868, ... ) == 0x0
 00270   896   NtProtectVirtualMemory  (-1, (0x77e71000), 868, 4, ... (0x77e71000), 4096, 32, ) == 0x0
 00271   896   NtProtectVirtualMemory  (-1, (0x77e71000), 4096, 32, ... (0x77e71000), 4096, 4, ) == 0x0
 00272   896   NtFlushInstructionCache  (-1, 2011631616, 868, ... ) == 0x0
 00273   896   NtProtectVirtualMemory  (-1, (0x77dd1000), 1700, 4, ... (0x77dd1000), 4096, 32, ) == 0x0
 00274   896   NtProtectVirtualMemory  (-1, (0x77dd1000), 4096, 32, ... (0x77dd1000), 4096, 4, ) == 0x0
 00275   896   NtFlushInstructionCache  (-1, 2010976256, 1700, ... ) == 0x0
 00276   896   NtProtectVirtualMemory  (-1, (0x1001000), 356, 4, ... (0x1001000), 4096, 32, ) == 0x0
 00277   896   NtProtectVirtualMemory  (-1, (0x1001000), 4096, 32, ... (0x1001000), 4096, 4, ) == 0x0
 00278   896   NtFlushInstructionCache  (-1, 16781312, 356, ... ) == 0x0
 00279   896   NtProtectVirtualMemory  (-1, (0x1001000), 356, 4, ... (0x1001000), 4096, 32, ) == 0x0
 00280   896   NtProtectVirtualMemory  (-1, (0x1001000), 4096, 32, ... (0x1001000), 4096, 4, ) == 0x0
 00281   896   NtFlushInstructionCache  (-1, 16781312, 356, ... ) == 0x0
 00282   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "USER32.dll"}, ... 16, ) }, ... 16, ) == 0x0
 00283   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x7e410000), 0x0, 589824, ) == 0x0
 00284   896   NtClose  (16, ... ) == 0x0
 00285   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "GDI32.dll"}, ... 16, ) }, ... 16, ) == 0x0
 00286   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77f10000), 0x0, 290816, ) == 0x0
 00287   896   NtClose  (16, ... ) == 0x0
 00288   896   NtProtectVirtualMemory  (-1, (0x77f11000), 508, 4, ... (0x77f11000), 4096, 32, ) == 0x0
 00289   896   NtProtectVirtualMemory  (-1, (0x77f11000), 4096, 32, ... (0x77f11000), 4096, 4, ) == 0x0
 00290   896   NtFlushInstructionCache  (-1, 2012286976, 508, ... ) == 0x0
 00291   896   NtProtectVirtualMemory  (-1, (0x77f11000), 508, 4, ... (0x77f11000), 4096, 32, ) == 0x0
 00292   896   NtProtectVirtualMemory  (-1, (0x77f11000), 4096, 32, ... (0x77f11000), 4096, 4, ) == 0x0
 00293   896   NtFlushInstructionCache  (-1, 2012286976, 508, ... ) == 0x0
 00294   896   NtProtectVirtualMemory  (-1, (0x77f11000), 508, 4, ... (0x77f11000), 4096, 32, ) == 0x0
 00295   896   NtProtectVirtualMemory  (-1, (0x77f11000), 4096, 32, ... (0x77f11000), 4096, 4, ) == 0x0
 00296   896   NtFlushInstructionCache  (-1, 2012286976, 508, ... ) == 0x0
 00297   896   NtProtectVirtualMemory  (-1, (0x7e411000), 1252, 4, ... (0x7e411000), 4096, 32, ) == 0x0
 00298   896   NtProtectVirtualMemory  (-1, (0x7e411000), 4096, 32, ... (0x7e411000), 4096, 4, ) == 0x0
 00299   896   NtFlushInstructionCache  (-1, 2118193152, 1252, ... ) == 0x0
 00300   896   NtProtectVirtualMemory  (-1, (0x7e411000), 1252, 4, ... (0x7e411000), 4096, 32, ) == 0x0
 00301   896   NtProtectVirtualMemory  (-1, (0x7e411000), 4096, 32, ... (0x7e411000), 4096, 4, ) == 0x0
 00302   896   NtFlushInstructionCache  (-1, 2118193152, 1252, ... ) == 0x0
 00303   896   NtProtectVirtualMemory  (-1, (0x7e411000), 1252, 4, ... (0x7e411000), 4096, 32, ) == 0x0
 00304   896   NtProtectVirtualMemory  (-1, (0x7e411000), 4096, 32, ... (0x7e411000), 4096, 4, ) == 0x0
 00305   896   NtFlushInstructionCache  (-1, 2118193152, 1252, ... ) == 0x0
 00306   896   NtProtectVirtualMemory  (-1, (0x1001000), 356, 4, ... (0x1001000), 4096, 32, ) == 0x0
 00307   896   NtProtectVirtualMemory  (-1, (0x1001000), 4096, 32, ... (0x1001000), 4096, 4, ) == 0x0
 00308   896   NtFlushInstructionCache  (-1, 16781312, 356, ... ) == 0x0
 00309   896   NtProtectVirtualMemory  (-1, (0x1001000), 356, 4, ... (0x1001000), 4096, 32, ) == 0x0
 00310   896   NtProtectVirtualMemory  (-1, (0x1001000), 4096, 32, ... (0x1001000), 4096, 4, ) == 0x0
 00311   896   NtFlushInstructionCache  (-1, 16781312, 356, ... ) == 0x0
 00312   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "COMCTL32.dll"}, ... 16, ) }, ... 16, ) == 0x0
 00313   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x5d090000), 0x0, 630784, ) == 0x0
 00314   896   NtClose  (16, ... ) == 0x0
 00315   896   NtProtectVirtualMemory  (-1, (0x5d091000), 1656, 4, ... (0x5d091000), 4096, 32, ) == 0x0
 00316   896   NtProtectVirtualMemory  (-1, (0x5d091000), 4096, 32, ... (0x5d091000), 4096, 4, ) == 0x0
 00317   896   NtFlushInstructionCache  (-1, 1560875008, 1656, ... ) == 0x0
 00318   896   NtProtectVirtualMemory  (-1, (0x5d091000), 1656, 4, ... (0x5d091000), 4096, 32, ) == 0x0
 00319   896   NtProtectVirtualMemory  (-1, (0x5d091000), 4096, 32, ... (0x5d091000), 4096, 4, ) == 0x0
 00320   896   NtFlushInstructionCache  (-1, 1560875008, 1656, ... ) == 0x0
 00321   896   NtProtectVirtualMemory  (-1, (0x5d091000), 1656, 4, ... (0x5d091000), 4096, 32, ) == 0x0
 00322   896   NtProtectVirtualMemory  (-1, (0x5d091000), 4096, 32, ... (0x5d091000), 4096, 4, ) == 0x0
 00323   896   NtFlushInstructionCache  (-1, 1560875008, 1656, ... ) == 0x0
 00324   896   NtProtectVirtualMemory  (-1, (0x5d091000), 1656, 4, ... (0x5d091000), 4096, 32, ) == 0x0
 00325   896   NtProtectVirtualMemory  (-1, (0x5d091000), 4096, 32, ... (0x5d091000), 4096, 4, ) == 0x0
 00326   896   NtFlushInstructionCache  (-1, 1560875008, 1656, ... ) == 0x0
 00327   896   NtProtectVirtualMemory  (-1, (0x5d091000), 1656, 4, ... (0x5d091000), 4096, 32, ) == 0x0
 00328   896   NtProtectVirtualMemory  (-1, (0x5d091000), 4096, 32, ... (0x5d091000), 4096, 4, ) == 0x0
 00329   896   NtFlushInstructionCache  (-1, 1560875008, 1656, ... ) == 0x0
 00330   896   NtProtectVirtualMemory  (-1, (0x1001000), 356, 4, ... (0x1001000), 4096, 32, ) == 0x0
 00331   896   NtProtectVirtualMemory  (-1, (0x1001000), 4096, 32, ... (0x1001000), 4096, 4, ) == 0x0
 00332   896   NtFlushInstructionCache  (-1, 16781312, 356, ... ) == 0x0
 00333   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "SHELL32.dll"}, ... 16, ) }, ... 16, ) == 0x0
 00334   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x7c9c0000), 0x0, 8482816, ) == 0x0
 00335   896   NtClose  (16, ... ) == 0x0
 00336   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00337   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00338   896   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00339   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00340   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00341   896   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00342   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00343   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00344   896   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00345   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00346   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00347   896   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00348   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00349   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00350   896   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00351   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00352   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00353   896   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00354   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "SHLWAPI.dll"}, ... 16, ) }, ... 16, ) == 0x0
 00355   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77f60000), 0x0, 483328, ) == 0x0
 00356   896   NtClose  (16, ... ) == 0x0
 00357   896   NtProtectVirtualMemory  (-1, (0x77f61000), 2076, 4, ... (0x77f61000), 4096, 32, ) == 0x0
 00358   896   NtProtectVirtualMemory  (-1, (0x77f61000), 4096, 32, ... (0x77f61000), 4096, 4, ) == 0x0
 00359   896   NtFlushInstructionCache  (-1, 2012614656, 2076, ... ) == 0x0
 00360   896   NtProtectVirtualMemory  (-1, (0x77f61000), 2076, 4, ... (0x77f61000), 4096, 32, ) == 0x0
 00361   896   NtProtectVirtualMemory  (-1, (0x77f61000), 4096, 32, ... (0x77f61000), 4096, 4, ) == 0x0
 00362   896   NtFlushInstructionCache  (-1, 2012614656, 2076, ... ) == 0x0
 00363   896   NtProtectVirtualMemory  (-1, (0x77f61000), 2076, 4, ... (0x77f61000), 4096, 32, ) == 0x0
 00364   896   NtProtectVirtualMemory  (-1, (0x77f61000), 4096, 32, ... (0x77f61000), 4096, 4, ) == 0x0
 00365   896   NtFlushInstructionCache  (-1, 2012614656, 2076, ... ) == 0x0
 00366   896   NtProtectVirtualMemory  (-1, (0x77f61000), 2076, 4, ... (0x77f61000), 4096, 32, ) == 0x0
 00367   896   NtProtectVirtualMemory  (-1, (0x77f61000), 4096, 32, ... (0x77f61000), 4096, 4, ) == 0x0
 00368   896   NtFlushInstructionCache  (-1, 2012614656, 2076, ... ) == 0x0
 00369   896   NtProtectVirtualMemory  (-1, (0x77f61000), 2076, 4, ... (0x77f61000), 4096, 32, ) == 0x0
 00370   896   NtProtectVirtualMemory  (-1, (0x77f61000), 4096, 32, ... (0x77f61000), 4096, 4, ) == 0x0
 00371   896   NtFlushInstructionCache  (-1, 2012614656, 2076, ... ) == 0x0
 00372   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00373   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00374   896   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00375   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00376   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00377   896   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00378   896   NtProtectVirtualMemory  (-1, (0x1001000), 356, 4, ... (0x1001000), 4096, 32, ) == 0x0
 00379   896   NtProtectVirtualMemory  (-1, (0x1001000), 4096, 32, ... (0x1001000), 4096, 4, ) == 0x0
 00380   896   NtFlushInstructionCache  (-1, 16781312, 356, ... ) == 0x0
 00381   896   NtQueryInformationProcess  (-1, 37, 48, ... {process info, class 37, size 48}, 0x0, ) == 0x0
 00382   896   NtSetInformationProcess  (-1, 34, {process info, class 34, size 4}, 4, ... ) == 0x0
 00383   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msvcrt.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00384   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00385   896   NtAllocateVirtualMemory  (-1, 0, 0, 65536, 8192, 4, ... 2490368, 65536, ) == 0x0
 00386   896   NtAllocateVirtualMemory  (-1, 2490368, 0, 4096, 4096, 4, ... 2490368, 4096, ) == 0x0
 00387   896   NtAllocateVirtualMemory  (-1, 2494464, 0, 8192, 4096, 4, ... 2494464, 8192, ) == 0x0
 00388   896   NtAllocateVirtualMemory  (-1, 536576, 0, 4096, 4096, 4, ... 536576, 4096, ) == 0x0
 00389   896   NtAllocateVirtualMemory  (-1, 2502656, 0, 4096, 4096, 4, ... 2502656, 4096, ) == 0x0
 00390   896   NtOpenSection  (0x4, {24, 0, 0x40, 0, 0,  (0x4, {24, 0, 0x40, 0, 0, "\NLS\NlsSectionCType"}, ... 16, ) }, ... 16, ) == 0x0
 00391   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 2, 0, 2, ... (0x270000), 0x0, 12288, ) == 0x0
 00392   896   NtClose  (16, ... ) == 0x0
 00393   896   NtAllocateVirtualMemory  (-1, 2506752, 0, 4096, 4096, 4, ... 2506752, 4096, ) == 0x0
 00394   896   NtQueryVirtualMemory  (-1, 0x77c2807c, Basic, 28, ... {BaseAddress=0x77c28000,AllocationBase=0x77c10000,AllocationProtect=0x80,RegionSize=0x35000,State=0x1000,Protect=0x20,Type=0x1000000,}, 28, ) == 0x0
 00395   896   NtQueryInformationProcess  (-1, 36, 4, ... {process info, class 36, size 4}, 0x0, ) == 0x0
 00396   896   NtQueryInformationProcess  (-1, 36, 4, ... {process info, class 36, size 4}, 0x0, ) == 0x0
 00397   896   NtQueryVirtualMemory  (-1, 0x0, Basic, 28, ... {BaseAddress=0x0,AllocationBase=0x0,AllocationProtect=0x0,RegionSize=0x10000,State=0x10000,Protect=0x1,Type=0x0,}, 28, ) == 0x0
 00398   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RPCRT4.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00399   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ADVAPI32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00400   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"}, ... 16, ) }, ... 16, ) == 0x0
 00401   896   NtQueryValueKey  (16,  (16, "LeakTrack", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00402   896   NtClose  (16, ... ) == 0x0
 00403   896   NtOpenKey  (0x2000000, {24, 0, 0x40, 0, 0,  (0x2000000, {24, 0, 0x40, 0, 0, "\REGISTRY\MACHINE"}, ... 16, ) }, ... 16, ) == 0x0
 00404   896   NtSetInformationObject  (16, Handle, {Inherit=0,ProtectFromClose=1,}, 2011431168, ... ) == 0x0
 00405   896   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "Software\Microsoft\Windows NT\CurrentVersion\Diagnostics"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00406   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GDI32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00407   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\USER32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00408   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00409   896   NtRequestWaitReplyPort  (24, {28, 56, new_msg, 0, 256, 456660, 256, 456404}  (24, {28, 56, new_msg, 0, 256, 456660, 256, 456404} "\210\6!\1\0\0\0\0\0\0\0\0\1\0\0\0\3\0\0\0\234\6!\1$\1\0\0" ... {28, 56, reply, 0, 1252, 896, 81834, 0} "\320G\26\0\0\0\0\0\0\0\0\0\1\0\0\0\3\0\0\0\234\6!\1$\1\0\0" )  ... {28, 56, reply, 0, 1252, 896, 81834, 0}  (24, {28, 56, new_msg, 0, 256, 456660, 256, 456404} "\210\6!\1\0\0\0\0\0\0\0\0\1\0\0\0\3\0\0\0\234\6!\1$\1\0\0" ... {28, 56, reply, 0, 1252, 896, 81834, 0} "\320G\26\0\0\0\0\0\0\0\0\0\1\0\0\0\3\0\0\0\234\6!\1$\1\0\0" )  ) == 0x0
 00410   896   NtFsControlFile  (12, 0, 0x0, 0x0, 0x90028, 0x0, 0, 0, ... {status=0x0, info=0}, 0x0, ) == 0x0
 00411   896   NtOpenKey  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\Registry\MACHINE\System\CurrentControlSet\Control\Session Manager"}, ... 28, ) }, ... 28, ) == 0x0
 00412   896   NtQueryValueKey  (28,  (28, "SafeDllSearchMode", Partial, 16, ... ) , Partial, 16, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00413   896   NtClose  (28, ... ) == 0x0
 00414   896   NtAllocateVirtualMemory  (-1, 540672, 0, 4096, 4096, 4, ... 540672, 4096, ) == 0x0
 00415   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 452988, ... ) }, 452988, ... ) == 0x0
 00416   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 5, 96, ... 28, {status=0x0, info=1}, ) }, 5, 96, ... 28, {status=0x0, info=1}, ) == 0x0
 00417   896   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 28, ... 32, ) == 0x0
 00418   896   NtClose  (28, ... ) == 0x0
 00419   896   NtMapViewOfSection  (32, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x350000), 0x0, 110592, ) == 0x0
 00420   896   NtClose  (32, ... ) == 0x0
 00421   896   NtUnmapViewOfSection  (-1, 0x350000, ... ) == 0x0
 00422   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 452896, ... ) }, 452896, ... ) == 0x0
 00423   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 5, 96, ... 32, {status=0x0, info=1}, ) }, 5, 96, ... 32, {status=0x0, info=1}, ) == 0x0
 00424   896   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 32, ... 28, ) == 0x0
 00425   896   NtClose  (32, ... ) == 0x0
 00426   896   NtMapViewOfSection  (28, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x350000), 0x0, 110592, ) == 0x0
 00427   896   NtClose  (28, ... ) == 0x0
 00428   896   NtUnmapViewOfSection  (-1, 0x350000, ... ) == 0x0
 00429   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 453204, ... ) }, 453204, ... ) == 0x0
 00430   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 5, 96, ... 28, {status=0x0, info=1}, ) }, 5, 96, ... 28, {status=0x0, info=1}, ) == 0x0
 00431   896   NtCreateSection  (0xf, 0x0, 0x0, 16, 16777216, 28, ... 32, ) == 0x0
 00432   896   NtQuerySection  (32, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 00433   896   NtOpenProcessToken  (-1, 0x8, ... 36, ) == 0x0
 00434   896   NtQueryInformationToken  (36, User, 136, ... {token info, class 1, size 36}, 36, ) == 0x0
 00435   896   NtOpenKey  (0x3, {24, 0, 0x40, 0, 0,  (0x3, {24, 0, 0x40, 0, 0, "\Registry\MACHINE\System\CurrentControlSet\Control\SafeBoot\Option"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00436   896   NtOpenKey  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers"}, ... 40, ) }, ... 40, ) == 0x0
 00437   896   NtQueryValueKey  (40,  (40, "TransparentEnabled", Partial, 80, ... TitleIdx=0, Type=4, Data="\1\0\0\0"}, 16, ) , Partial, 80, ... TitleIdx=0, Type=4, Data= (40, "TransparentEnabled", Partial, 80, ... TitleIdx=0, Type=4, Data="\1\0\0\0"}, 16, ) }, 16, ) == 0x0
 00438   896   NtClose  (40, ... ) == 0x0
 00439   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00440   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 40, ) == 0x0
 00441   896   NtQueryInformationToken  (40, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00442   896   NtClose  (40, ... ) == 0x0
 00443   896   NtOpenKey  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00444   896   NtClose  (36, ... ) == 0x0
 00445   896   NtClose  (28, ... ) == 0x0
 00446   896   NtMapViewOfSection  (32, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x76390000), 0x0, 118784, ) == 0x0
 00447   896   NtClose  (32, ... ) == 0x0
 00448   896   NtProtectVirtualMemory  (-1, (0x76391000), 696, 4, ... (0x76391000), 4096, 32, ) == 0x0
 00449   896   NtProtectVirtualMemory  (-1, (0x76391000), 4096, 32, ... (0x76391000), 4096, 4, ) == 0x0
 00450   896   NtFlushInstructionCache  (-1, 1983451136, 696, ... ) == 0x0
 00451   896   NtProtectVirtualMemory  (-1, (0x76391000), 696, 4, ... (0x76391000), 4096, 32, ) == 0x0
 00452   896   NtProtectVirtualMemory  (-1, (0x76391000), 4096, 32, ... (0x76391000), 4096, 4, ) == 0x0
 00453   896   NtFlushInstructionCache  (-1, 1983451136, 696, ... ) == 0x0
 00454   896   NtProtectVirtualMemory  (-1, (0x76391000), 696, 4, ... (0x76391000), 4096, 32, ) == 0x0
 00455   896   NtProtectVirtualMemory  (-1, (0x76391000), 4096, 32, ... (0x76391000), 4096, 4, ) == 0x0
 00456   896   NtFlushInstructionCache  (-1, 1983451136, 696, ... ) == 0x0
 00457   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IMM32.DLL"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00458   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00459   896   NtAllocateVirtualMemory  (-1, 442368, 0, 4096, 4096, 260, ... 442368, 4096, ) == 0x0
 00460   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 450120, ... ) }, 450120, ... ) == 0x0
 00461   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ntdll.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00462   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kernel32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00463   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\COMCTL32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00464   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SHLWAPI.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00465   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SHELL32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00466   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 453524, ... ) }, 453524, ... ) == 0x0
 00467   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\System\CurrentControlSet\Control\Error Message Instrument\"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00468   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\GRE_Initialize"}, ... 32, ) }, ... 32, ) == 0x0
 00469   896   NtQueryValueKey  (32,  (32, "DisableMetaFiles", Partial, 20, ... ) , Partial, 20, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00470   896   NtClose  (32, ... ) == 0x0
 00471   896   NtMapViewOfSection  (-2147481368, -1, (0x0), 0, 0, 0x0, 0, 2, 0, 2, ... (0x350000), 0x0, 1060864, ) == 0x0
 00472   896   NtClose  (-2147481368, ... ) == 0x0
 00473   896   NtCreateEvent  (0x1f0003, 0x0, 1, 0, ... 32, ) == 0x0
 00474   896   NtOpenThreadTokenEx  (-2, 0x8, 1, 512, ... ) == STATUS_NO_TOKEN
 00475   896   NtOpenProcessTokenEx  (-1, 0x8, 512, ... -2147481368, ) == 0x0
 00476   896   NtQueryInformationToken  (-2147481368, Statistics, 0, ... ) == STATUS_BUFFER_TOO_SMALL
 00477   896   NtQueryInformationToken  (-2147481368, Statistics, 56, ... {token info, class 10, size 56}, 56, ) == 0x0
 00478   896   NtClose  (-2147481368, ... ) == 0x0
 00479   896   NtAllocateVirtualMemory  (-1, 0, 0, 32, 4096, 4, ... 4587520, 4096, ) == 0x0
 00480   896   NtFreeVirtualMemory  (-1, (0x460000), 4096, 32768, ... (0x460000), 4096, ) == 0x0
 00481   896   NtDuplicateObject  (-1, 28, -1, 0x0, 0, 2, ... 40, ) == 0x0
 00482   896   NtOpenKey  (0x20019, {24, 0, 0x240, 0, 0,  (0x20019, {24, 0, 0x240, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Compatibility32"}, ... -2147481368, ) }, ... -2147481368, ) == 0x0
 00483   896   NtQueryValueKey  (-2147481368,  (-2147481368, "packed", Partial, 172, ... ) , Partial, 172, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00484   896   NtClose  (-2147481368, ... ) == 0x0
 00485   896   NtOpenKey  (0x20019, {24, 0, 0x240, 0, 0,  (0x20019, {24, 0, 0x240, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\IME Compatibility"}, ... -2147481368, ) }, ... -2147481368, ) == 0x0
 00486   896   NtQueryValueKey  (-2147481368,  (-2147481368, "packed", Partial, 172, ... ) , Partial, 172, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00487   896   NtClose  (-2147481368, ... ) == 0x0
 00488   896   NtQueryDefaultLocale  (0, -135747252, ... ) == 0x0
 00489   896   NtGdiQueryFontAssocInfo  (0, ... ) == 0x0
 00490   896   NtUserCallNoParam  (24, ... ) == 0x0
 00491   896   NtGdiCreateCompatibleDC  (0, ...
 00492   896   NtAllocateVirtualMemory  (-1, 0, 0, 4096, 12288, 4, ... 4587520, 4096, ) == 0x0
 00491   896   NtGdiCreateCompatibleDC  ... ) == 0x860107ab
 00493   896   NtGdiGetStockObject  (0, ... ) == 0x1900010
 00494   896   NtGdiGetStockObject  (4, ... ) == 0x1900011
 00495   896   NtGdiCreateBitmap  (8, 8, 1, 1, 2118200212, ... ) == 0x870506a2
 00496   896   NtGdiCreateSolidBrush  (0, 0, ...
 00497   896   NtAllocateVirtualMemory  (-1, 0, 0, 4096, 12288, 4, ... 7798784, 4096, ) == 0x0
 00496   896   NtGdiCreateSolidBrush  ... ) == 0x1100680
 00498   896   NtGdiGetStockObject  (13, ... ) == 0x18a0021
 00499   896   NtGdiCreateCompatibleDC  (0, ... ) == 0xf6010687
 00500   896   NtGdiSelectBitmap  (-167704953, -2029713758, ... ) == 0x185000f
 00501   896   NtUserGetThreadDesktop  (896, 0, ... ) == 0x24
 00502   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Windows"}, ... 44, ) }, ... 44, ) == 0x0
 00503   896   NtQueryValueKey  (44,  (44, "AppInit_DLLs", Partial, 64, ... TitleIdx=0, Type=1, Data="\0\0"}, 14, ) , Partial, 64, ... TitleIdx=0, Type=1, Data= (44, "AppInit_DLLs", Partial, 64, ... TitleIdx=0, Type=1, Data="\0\0"}, 14, ) }, 14, ) == 0x0
 00504   896   NtClose  (44, ... ) == 0x0
 00505   896   NtUserFindExistingCursorIcon  (454700, 454716, 454764, ... ) == 0x10011
 00506   896   NtUserRegisterClassExWOW  (454712, 454780, 454796, 454812, 673, 128, 0, ... ) == 0x8177c017
 00507   896   NtUserFindExistingCursorIcon  (454700, 454716, 454764, ... ) == 0x10011
 00508   896   NtUserRegisterClassExWOW  (454712, 454780, 454796, 454812, 674, 128, 0, ... ) == 0x8177c01c
 00509   896   NtUserFindExistingCursorIcon  (454700, 454716, 454764, ... ) == 0x10011
 00510   896   NtUserRegisterClassExWOW  (454712, 454780, 454796, 454812, 675, 128, 0, ... ) == 0x8177c01e
 00511   896   NtUserFindExistingCursorIcon  (454700, 454716, 454764, ... ) == 0x10011
 00512   896   NtUserRegisterClassExWOW  (454712, 454780, 454796, 454812, 676, 128, 0, ... ) == 0x81778002
 00513   896   NtUserFindExistingCursorIcon  (454700, 454716, 454764, ... ) == 0x10013
 00514   896   NtUserRegisterClassExWOW  (454712, 454780, 454796, 454812, 677, 128, 0, ... ) == 0x8177c018
 00515   896   NtUserFindExistingCursorIcon  (454700, 454716, 454764, ... ) == 0x10011
 00516   896   NtUserRegisterClassExWOW  (454712, 454780, 454796, 454812, 678, 128, 0, ... ) == 0x8177c01a
 00517   896   NtUserFindExistingCursorIcon  (454700, 454716, 454764, ... ) == 0x10011
 00518   896   NtUserRegisterClassExWOW  (454712, 454780, 454796, 454812, 679, 128, 0, ... ) == 0x8177c01d
 00519   896   NtUserFindExistingCursorIcon  (454700, 454716, 454764, ... ) == 0x10011
 00520   896   NtUserRegisterClassExWOW  (454712, 454780, 454796, 454812, 681, 128, 0, ... ) == 0x8177c026
 00521   896   NtUserFindExistingCursorIcon  (454700, 454716, 454764, ... ) == 0x10011
 00522   896   NtUserRegisterClassExWOW  (454712, 454780, 454796, 454812, 680, 128, 0, ... ) == 0x8177c019
 00523   896   NtUserRegisterClassExWOW  (454664, 454732, 454748, 454764, 0, 128, 0, ... ) == 0x8177c020
 00524   896   NtUserRegisterClassExWOW  (454920, 455016, 455000, 454988, 0, 130, 0, ... ) == 0x8177c022
 00525   896   NtUserRegisterClassExWOW  (454664, 454732, 454748, 454764, 0, 128, 0, ... ) == 0x8177c023
 00526   896   NtUserRegisterClassExWOW  (454920, 455016, 455000, 454988, 0, 130, 0, ... ) == 0x8177c024
 00527   896   NtUserRegisterClassExWOW  (454664, 454732, 454748, 454764, 0, 128, 0, ... ) == 0x8177c025
 00528   896   NtCallbackReturn  (0, 0, 0, ...
 00529   896   NtGdiInit  (... ) == 0x1
 00530   896   NtGdiGetStockObject  (18, ... ) == 0x290001c
 00531   896   NtGdiGetStockObject  (19, ... ) == 0x1b00019
 00532   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00533   896   NtAllocateVirtualMemory  (-1, 0, 0, 65536, 8192, 4, ... 7864320, 65536, ) == 0x0
 00534   896   NtAllocateVirtualMemory  (-1, 7864320, 0, 4096, 4096, 4, ... 7864320, 4096, ) == 0x0
 00535   896   NtAllocateVirtualMemory  (-1, 7868416, 0, 8192, 4096, 4, ... 7868416, 8192, ) == 0x0
 00536   896   NtAllocateVirtualMemory  (-1, 7876608, 0, 4096, 4096, 4, ... 7876608, 4096, ) == 0x0
 00537   896   NtAllocateVirtualMemory  (-1, 7880704, 0, 4096, 4096, 4, ... 7880704, 4096, ) == 0x0
 00538   896   NtQueryDefaultUILanguage  (455256, ...
 00539   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00540   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... -2147481368, ) == 0x0
 00541   896   NtQueryInformationToken  (-2147481368, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00542   896   NtClose  (-2147481368, ... ) == 0x0
 00543   896   NtOpenKey  (0x2000000, {24, 0, 0x640, 0, 0,  (0x2000000, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... -2147481368, ) }, ... -2147481368, ) == 0x0
 00544   896   NtOpenKey  (0x80000000, {24, -2147481368, 0x240, 0, 0,  (0x80000000, {24, -2147481368, 0x240, 0, 0, "Software\Policies\Microsoft\Control Panel\Desktop"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00545   896   NtOpenKey  (0x80000000, {24, -2147481368, 0x640, 0, 0,  (0x80000000, {24, -2147481368, 0x640, 0, 0, "Control Panel\Desktop"}, ... -2147481452, ) }, ... -2147481452, ) == 0x0
 00546   896   NtQueryValueKey  (-2147481452,  (-2147481452, "MultiUILanguageId", Partial, 256, ... ) , Partial, 256, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00547   896   NtClose  (-2147481452, ... ) == 0x0
 00548   896   NtClose  (-2147481368, ... ) == 0x0
 00538   896   NtQueryDefaultUILanguage  ... ) == 0x0
 00549   896   NtOpenFile  (0x1200a9, {24, 0, 0x40, 0, 0,  (0x1200a9, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\COMCTL32.dll"}, 1, 96, ... 44, {status=0x0, info=1}, ) }, 1, 96, ... 44, {status=0x0, info=1}, ) == 0x0
 00550   896   NtCreateSection  (0x4, 0x0, 0x0, 2, 134217728, 44, ... 48, ) == 0x0
 00551   896   NtMapViewOfSection  (48, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 2, ... (0x790000), 0x0, 618496, ) == 0x0
 00552   896   NtOpenFile  (0x1200a9, {24, 0, 0x40, 0, 0,  (0x1200a9, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\COMCTL32.dll.124.Manifest"}, 1, 96, ... ) }, 1, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00553   896   NtQueryDefaultUILanguage  (2090319928, ...
 00554   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00555   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... -2147481368, ) == 0x0
 00556   896   NtQueryInformationToken  (-2147481368, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00557   896   NtClose  (-2147481368, ... ) == 0x0
 00558   896   NtOpenKey  (0x2000000, {24, 0, 0x640, 0, 0,  (0x2000000, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... -2147481368, ) }, ... -2147481368, ) == 0x0
 00559   896   NtOpenKey  (0x80000000, {24, -2147481368, 0x240, 0, 0,  (0x80000000, {24, -2147481368, 0x240, 0, 0, "Software\Policies\Microsoft\Control Panel\Desktop"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00560   896   NtOpenKey  (0x80000000, {24, -2147481368, 0x640, 0, 0,  (0x80000000, {24, -2147481368, 0x640, 0, 0, "Control Panel\Desktop"}, ... -2147481452, ) }, ... -2147481452, ) == 0x0
 00561   896   NtQueryValueKey  (-2147481452,  (-2147481452, "MultiUILanguageId", Partial, 256, ... ) , Partial, 256, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00562   896   NtClose  (-2147481452, ... ) == 0x0
 00563   896   NtClose  (-2147481368, ... ) == 0x0
 00553   896   NtQueryDefaultUILanguage  ... ) == 0x0
 00564   896   NtQueryInstallUILanguage  (2090319930, ... ) == 0x0
 00565   896   NtQueryDefaultLocale  (1, 453352, ... ) == 0x0
 00566   896   NtOpenFile  (0x1200a9, {24, 0, 0x40, 0, 0,  (0x1200a9, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\COMCTL32.dll.124.Config"}, 1, 96, ... ) }, 1, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00567   896   NtRequestWaitReplyPort  (24, {128, 156, new_msg, 0, 2088850039, 454388, 1179817, 454112}  (24, {128, 156, new_msg, 0, 2088850039, 454388, 1179817, 454112} "\210\6!\1\33\0\1\0`\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\1\0@\0D\0\250\6!\1,\0\0\0\377\377\377\377\0\0\0\0\340q\200\0\0\0\0\0k\10\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0(\0,\0\354\6!\1\0\0\0\0\0\0\0\0\350\362\6\0\0\0\0\0" ... {128, 156, reply, 0, 1252, 896, 81835, 0} "\300\270\26\0\33\0\1\0\0\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\1\0@\0D\0\250\6!\1,\0\0\0\377\377\377\377\0\0\0\0\340q\200\0\0\0\0\0k\10\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0(\0,\0\354\6!\1\0\0\0\0\0\0\0\0\350\362\6\0\0\0\0\0" )  ... {128, 156, reply, 0, 1252, 896, 81835, 0}  (24, {128, 156, new_msg, 0, 2088850039, 454388, 1179817, 454112} "\210\6!\1\33\0\1\0`\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\1\0@\0D\0\250\6!\1,\0\0\0\377\377\377\377\0\0\0\0\340q\200\0\0\0\0\0k\10\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0(\0,\0\354\6!\1\0\0\0\0\0\0\0\0\350\362\6\0\0\0\0\0" ... {128, 156, reply, 0, 1252, 896, 81835, 0} "\300\270\26\0\33\0\1\0\0\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\1\0@\0D\0\250\6!\1,\0\0\0\377\377\377\377\0\0\0\0\340q\200\0\0\0\0\0k\10\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0(\0,\0\354\6!\1\0\0\0\0\0\0\0\0\350\362\6\0\0\0\0\0" )  ) == 0x0
 00568   896   NtClose  (44, ... ) == 0x0
 00569   896   NtClose  (48, ... ) == 0x0
 00570   896   NtUnmapViewOfSection  (-1, 0x790000, ... ) == 0x0
 00571   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00572   896   NtOpenProcess  (0x400, {24, 0, 0x0, 0, 0, 0x0}, {1252, 0}, ... 48, ) == 0x0
 00573   896   NtQueryInformationProcess  (48, Session, 4, ... {SessionId=0,}, 0x0, ) == 0x0
 00574   896   NtClose  (48, ... ) == 0x0
 00575   896   NtUserRegisterWindowMessage  ( ("ShellGetDragImage", ... ) , ... ) == 0xc03a
 00576   896   NtUserSystemParametersInfo  (104, 0, 1561338260, 0, ... ) == 0x1
 00577   896   NtUserSystemParametersInfo  (38, 4, 1561337988, 0, ... ) == 0x1
 00578   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00579   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 48, ) == 0x0
 00580   896   NtQueryInformationToken  (48, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00581   896   NtClose  (48, ... ) == 0x0
 00582   896   NtOpenKey  (0x20019, {24, 0, 0x640, 0, 0,  (0x20019, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... 48, ) }, ... 48, ) == 0x0
 00583   896   NtOpenProcessToken  (-1, 0x8, ... 44, ) == 0x0
 00584   896   NtAccessCheck  (543392, 44, 0x1, 456448, 456500, 56, 456480, ... ) == STATUS_NO_IMPERSONATION_TOKEN
 00585   896   NtClose  (44, ... ) == 0x0
 00586   896   NtOpenKey  (0x20019, {24, 48, 0x40, 0, 0,  (0x20019, {24, 48, 0x40, 0, 0, "Control Panel\Desktop"}, ... 44, ) }, ... 44, ) == 0x0
 00587   896   NtQueryValueKey  (44,  (44, "SmoothScroll", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00588   896   NtClose  (44, ... ) == 0x0
 00589   896   NtUserSystemParametersInfo  (41, 500, 456628, 0, ... ) == 0x1
 00590   896   NtUserSystemParametersInfo  (102, 0, 1561338280, 0, ... ) == 0x1
 00591   896   NtClose  (48, ... ) == 0x0
 00592   896   NtAllocateVirtualMemory  (-1, 544768, 0, 4096, 4096, 4, ... 544768, 4096, ) == 0x0
 00593   896   NtUserFindExistingCursorIcon  (456380, 456396, 456444, ... ) == 0x10011
 00594   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c03b
 00595   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c03d
 00596   896   NtUserFindExistingCursorIcon  (456380, 456396, 456444, ... ) == 0x10011
 00597   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c03f
 00598   896   NtUserFindExistingCursorIcon  (456380, 456396, 456444, ... ) == 0x10011
 00599   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c041
 00600   896   NtUserFindExistingCursorIcon  (456380, 456396, 456444, ... ) == 0x10011
 00601   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c043
 00602   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c045
 00603   896   NtUserFindExistingCursorIcon  (456380, 456396, 456444, ... ) == 0x10011
 00604   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c047
 00605   896   NtUserFindExistingCursorIcon  (456380, 456396, 456444, ... ) == 0x10011
 00606   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c049
 00607   896   NtUserFindExistingCursorIcon  (456380, 456396, 456444, ... ) == 0x10011
 00608   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c04b
 00609   896   NtUserFindExistingCursorIcon  (456380, 456396, 456444, ... ) == 0x10011
 00610   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c04d
 00611   896   NtUserFindExistingCursorIcon  (456380, 456396, 456444, ... ) == 0x10011
 00612   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c04f
 00613   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c051
 00614   896   NtUserFindExistingCursorIcon  (456380, 456396, 456444, ... ) == 0x10011
 00615   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c053
 00616   896   NtUserFindExistingCursorIcon  (456376, 456392, 456440, ... ) == 0x10011
 00617   896   NtUserRegisterClassExWOW  (456320, 456388, 456404, 456420, 0, 384, 0, ... ) == 0x8177c055
 00618   896   NtUserFindExistingCursorIcon  (456376, 456392, 456440, ... ) == 0x10011
 00619   896   NtUserRegisterClassExWOW  (456320, 456388, 456404, 456420, 0, 384, 0, ... ) == 0x8177c057
 00620   896   NtUserFindExistingCursorIcon  (456380, 456396, 456444, ... ) == 0x10011
 00621   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c059
 00622   896   NtUserFindExistingCursorIcon  (456380, 456396, 456444, ... ) == 0x10013
 00623   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c05b
 00624   896   NtUserFindExistingCursorIcon  (456380, 456396, 456444, ... ) == 0x10011
 00625   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c05d
 00626   896   NtUserFindExistingCursorIcon  (456380, 456396, 456444, ... ) == 0x10011
 00627   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c05f
 00628   896   NtOpenKey  (0x2000000, {24, 16, 0x40, 0, 0,  (0x2000000, {24, 16, 0x40, 0, 0, "Software\Microsoft\Windows\CurrentVersion\Explorer\Performance"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00629   896   NtOpenDirectoryObject  (0x2000f, {24, 0, 0x40, 0, 0,  (0x2000f, {24, 0, 0x40, 0, 0, "\BaseNamedObjects"}, ... 48, ) }, ... 48, ) == 0x0
 00630   896   NtCreateSemaphore  (0x1f0003, {24, 48, 0x80, 543856, 0,  (0x1f0003, {24, 48, 0x80, 543856, 0, "shell.{A48F1A32-A340-11D1-BC6B-00A0C90312E1}"}, 0, 2147483647, ... 44, ) }, 0, 2147483647, ... 44, ) == STATUS_OBJECT_NAME_EXISTS
 00631   896   NtOpenKey  (0x1, {24, 16, 0x40, 0, 0,  (0x1, {24, 16, 0x40, 0, 0, "SYSTEM\Setup"}, ... 52, ) }, ... 52, ) == 0x0
 00632   896   NtQueryValueKey  (52,  (52, "SystemSetupInProgress", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 144, ... TitleIdx=0, Type=4, Data= (52, "SystemSetupInProgress", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 00633   896   NtClose  (52, ... ) == 0x0
 00634   896   NtQueryDefaultUILanguage  (455260, ...
 00635   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00636   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... -2147481368, ) == 0x0
 00637   896   NtQueryInformationToken  (-2147481368, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00638   896   NtClose  (-2147481368, ... ) == 0x0
 00639   896   NtOpenKey  (0x2000000, {24, 0, 0x640, 0, 0,  (0x2000000, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... -2147481368, ) }, ... -2147481368, ) == 0x0
 00640   896   NtOpenKey  (0x80000000, {24, -2147481368, 0x240, 0, 0,  (0x80000000, {24, -2147481368, 0x240, 0, 0, "Software\Policies\Microsoft\Control Panel\Desktop"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00641   896   NtOpenKey  (0x80000000, {24, -2147481368, 0x640, 0, 0,  (0x80000000, {24, -2147481368, 0x640, 0, 0, "Control Panel\Desktop"}, ... -2147481452, ) }, ... -2147481452, ) == 0x0
 00642   896   NtQueryValueKey  (-2147481452,  (-2147481452, "MultiUILanguageId", Partial, 256, ... ) , Partial, 256, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00643   896   NtClose  (-2147481452, ... ) == 0x0
 00644   896   NtClose  (-2147481368, ... ) == 0x0
 00634   896   NtQueryDefaultUILanguage  ... ) == 0x0
 00645   896   NtOpenFile  (0x1200a9, {24, 0, 0x40, 0, 0,  (0x1200a9, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\SHELL32.dll"}, 1, 96, ... 52, {status=0x0, info=1}, ) }, 1, 96, ... 52, {status=0x0, info=1}, ) == 0x0
 00646   896   NtCreateSection  (0x4, 0x0, 0x0, 2, 134217728, 52, ... 56, ) == 0x0
 00647   896   NtMapViewOfSection  (56, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 2, ... (0x1020000), 0x0, 8462336, ) == 0x0
 00648   896   NtOpenFile  (0x1200a9, {24, 0, 0x40, 0, 0,  (0x1200a9, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\SHELL32.dll.124.Manifest"}, 1, 96, ... ) }, 1, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00649   896   NtQueryDefaultLocale  (1, 453356, ... ) == 0x0
 00650   896   NtOpenFile  (0x1200a9, {24, 0, 0x40, 0, 0,  (0x1200a9, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\SHELL32.dll.124.Config"}, 1, 96, ... ) }, 1, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00651   896   NtRequestWaitReplyPort  (24, {128, 156, new_msg, 0, 2088850039, 454392, 1179817, 454116}  (24, {128, 156, new_msg, 0, 2088850039, 454392, 1179817, 454116} "\210\6!\1\33\0\1\0`\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\1\0>\0@\0\250\6!\14\0\0\0\377\377\377\377\0\0\0\0@ %\1\0\0\0\0\236\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0(\0,\0\350\6!\1\0\0\0\0\0\0\0\0\354\362\6\0\0\0\0\0" ... {128, 156, reply, 0, 1252, 896, 81836, 0} "\300\270\26\0\33\0\1\0\0\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\1\0>\0@\0\250\6!\14\0\0\0\377\377\377\377\0\0\0\0@ %\1\0\0\0\0\236\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0(\0,\0\350\6!\1\0\0\0\0\0\0\0\0\354\362\6\0\0\0\0\0" )  ... {128, 156, reply, 0, 1252, 896, 81836, 0}  (24, {128, 156, new_msg, 0, 2088850039, 454392, 1179817, 454116} "\210\6!\1\33\0\1\0`\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\1\0>\0@\0\250\6!\14\0\0\0\377\377\377\377\0\0\0\0@ %\1\0\0\0\0\236\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0(\0,\0\350\6!\1\0\0\0\0\0\0\0\0\354\362\6\0\0\0\0\0" ... {128, 156, reply, 0, 1252, 896, 81836, 0} "\300\270\26\0\33\0\1\0\0\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\1\0>\0@\0\250\6!\14\0\0\0\377\377\377\377\0\0\0\0@ %\1\0\0\0\0\236\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0(\0,\0\350\6!\1\0\0\0\0\0\0\0\0\354\362\6\0\0\0\0\0" )  ) == 0x0
 00652   896   NtClose  (52, ... ) == 0x0
 00653   896   NtClose  (56, ... ) == 0x0
 00654   896   NtUnmapViewOfSection  (-1, 0x1020000, ... ) == 0x0
 00655   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00656   896   NtOpenKey  (0x8, {24, 0, 0x40, 0, 0,  (0x8, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows\CurrentVersion\SideBySide\AssemblyStorageRoots"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00657   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00658   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00659   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\u:\work\packed.exe.Local\"}, 452548, ... ) }, 452548, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00660   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00661   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00662   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00663   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03"}, 452612, ... ) }, 452612, ... ) == 0x0
 00664   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03"}, 3, 33, ... 56, {status=0x0, info=1}, ) }, 3, 33, ... 56, {status=0x0, info=1}, ) == 0x0
 00665   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00666   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll"}, 5, 96, ... 52, {status=0x0, info=1}, ) }, 5, 96, ... 52, {status=0x0, info=1}, ) == 0x0
 00667   896   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 52, ... 60, ) == 0x0
 00668   896   NtClose  (52, ... ) == 0x0
 00669   896   NtMapViewOfSection  (60, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x840000), 0x0, 1056768, ) == 0x0
 00670   896   NtClose  (60, ... ) == 0x0
 00671   896   NtUnmapViewOfSection  (-1, 0x840000, ... ) == 0x0
 00672   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll"}, 5, 96, ... 60, {status=0x0, info=1}, ) }, 5, 96, ... 60, {status=0x0, info=1}, ) == 0x0
 00673   896   NtCreateSection  (0xf, 0x0, 0x0, 16, 16777216, 60, ... 52, ) == 0x0
 00674   896   NtQuerySection  (52, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 00675   896   NtClose  (60, ... ) == 0x0
 00676   896   NtMapViewOfSection  (52, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x773d0000), 0x0, 1060864, ) == 0x0
 00677   896   NtClose  (52, ... ) == 0x0
 00678   896   NtProtectVirtualMemory  (-1, (0x773d1000), 1924, 4, ... (0x773d1000), 4096, 32, ) == 0x0
 00679   896   NtProtectVirtualMemory  (-1, (0x773d1000), 4096, 32, ... (0x773d1000), 4096, 4, ) == 0x0
 00680   896   NtFlushInstructionCache  (-1, 2000490496, 1924, ... ) == 0x0
 00681   896   NtProtectVirtualMemory  (-1, (0x773d1000), 1924, 4, ... (0x773d1000), 4096, 32, ) == 0x0
 00682   896   NtProtectVirtualMemory  (-1, (0x773d1000), 4096, 32, ... (0x773d1000), 4096, 4, ) == 0x0
 00683   896   NtFlushInstructionCache  (-1, 2000490496, 1924, ... ) == 0x0
 00684   896   NtProtectVirtualMemory  (-1, (0x773d1000), 1924, 4, ... (0x773d1000), 4096, 32, ) == 0x0
 00685   896   NtProtectVirtualMemory  (-1, (0x773d1000), 4096, 32, ... (0x773d1000), 4096, 4, ) == 0x0
 00686   896   NtFlushInstructionCache  (-1, 2000490496, 1924, ... ) == 0x0
 00687   896   NtProtectVirtualMemory  (-1, (0x773d1000), 1924, 4, ... (0x773d1000), 4096, 32, ) == 0x0
 00688   896   NtProtectVirtualMemory  (-1, (0x773d1000), 4096, 32, ... (0x773d1000), 4096, 4, ) == 0x0
 00689   896   NtFlushInstructionCache  (-1, 2000490496, 1924, ... ) == 0x0
 00690   896   NtProtectVirtualMemory  (-1, (0x773d1000), 1924, 4, ... (0x773d1000), 4096, 32, ) == 0x0
 00691   896   NtProtectVirtualMemory  (-1, (0x773d1000), 4096, 32, ... (0x773d1000), 4096, 4, ) == 0x0
 00692   896   NtFlushInstructionCache  (-1, 2000490496, 1924, ... ) == 0x0
 00693   896   NtProtectVirtualMemory  (-1, (0x773d1000), 1924, 4, ... (0x773d1000), 4096, 32, ) == 0x0
 00694   896   NtProtectVirtualMemory  (-1, (0x773d1000), 4096, 32, ... (0x773d1000), 4096, 4, ) == 0x0
 00695   896   NtFlushInstructionCache  (-1, 2000490496, 1924, ... ) == 0x0
 00696   896   NtProtectVirtualMemory  (-1, (0x773d1000), 1924, 4, ... (0x773d1000), 4096, 32, ) == 0x0
 00697   896   NtProtectVirtualMemory  (-1, (0x773d1000), 4096, 32, ... (0x773d1000), 4096, 4, ) == 0x0
 00698   896   NtFlushInstructionCache  (-1, 2000490496, 1924, ... ) == 0x0
 00699   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\comctl32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00700   896   NtAddAtom  ( ("T\0h\0e\0m\0e\0P\0r\0o\0p\0S\0c\0r\0o\0l\0l\0B\0a\0r\0C\0t\0l\0", 42, 454092, ... ) , 42, 454092, ... ) == 0x0
 00701   896   NtQueryDefaultUILanguage  (452776, ...
 00702   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00703   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... -2147481368, ) == 0x0
 00704   896   NtQueryInformationToken  (-2147481368, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00705   896   NtClose  (-2147481368, ... ) == 0x0
 00706   896   NtOpenKey  (0x2000000, {24, 0, 0x640, 0, 0,  (0x2000000, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... -2147481368, ) }, ... -2147481368, ) == 0x0
 00707   896   NtOpenKey  (0x80000000, {24, -2147481368, 0x240, 0, 0,  (0x80000000, {24, -2147481368, 0x240, 0, 0, "Software\Policies\Microsoft\Control Panel\Desktop"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00708   896   NtOpenKey  (0x80000000, {24, -2147481368, 0x640, 0, 0,  (0x80000000, {24, -2147481368, 0x640, 0, 0, "Control Panel\Desktop"}, ... -2147481452, ) }, ... -2147481452, ) == 0x0
 00709   896   NtQueryValueKey  (-2147481452,  (-2147481452, "MultiUILanguageId", Partial, 256, ... ) , Partial, 256, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00710   896   NtClose  (-2147481452, ... ) == 0x0
 00711   896   NtClose  (-2147481368, ... ) == 0x0
 00701   896   NtQueryDefaultUILanguage  ... ) == 0x0
 00712   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WindowsShell.Manifest"}, 451616, ... ) }, 451616, ... ) == 0x0
 00713   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WindowsShell.Manifest"}, 5, 96, ... 52, {status=0x0, info=1}, ) }, 5, 96, ... 52, {status=0x0, info=1}, ) == 0x0
 00714   896   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 52, ... 60, ) == 0x0
 00715   896   NtClose  (52, ... ) == 0x0
 00716   896   NtMapViewOfSection  (60, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x7a0000), 0x0, 4096, ) == 0x0
 00717   896   NtClose  (60, ... ) == 0x0
 00718   896   NtUnmapViewOfSection  (-1, 0x7a0000, ... ) == 0x0
 00719   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WindowsShell.Manifest"}, 451212, ... ) }, 451212, ... ) == 0x0
 00720   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 451956,  (0x80100080, {24, 0, 0x40, 0, 451956, "\??\C:\WINDOWS\WindowsShell.Manifest"}, 0x0, 0, 5, 1, 96, 0, 0, ... 60, {status=0x0, info=1}, ) }, 0x0, 0, 5, 1, 96, 0, 0, ... 60, {status=0x0, info=1}, ) == 0x0
 00721   896   NtCreateSection  (0xf0005, 0x0, 0x0, 2, 134217728, 60, ... 52, ) == 0x0
 00722   896   NtClose  (60, ... ) == 0x0
 00723   896   NtMapViewOfSection  (52, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 2, ... (0x7a0000), {0, 0}, 4096, ) == 0x0
 00724   896   NtClose  (52, ... ) == 0x0
 00725   896   NtUnmapViewOfSection  (-1, 0x7a0000, ... ) == 0x0
 00726   896   NtOpenFile  (0x1200a9, {24, 0, 0x40, 0, 0,  (0x1200a9, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WindowsShell.Manifest"}, 1, 96, ... 52, {status=0x0, info=1}, ) }, 1, 96, ... 52, {status=0x0, info=1}, ) == 0x0
 00727   896   NtCreateSection  (0x4, 0x0, 0x0, 2, 134217728, 52, ... 60, ) == 0x0
 00728   896   NtMapViewOfSection  (60, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 2, ... (0x7a0000), 0x0, 4096, ) == 0x0
 00729   896   NtQueryInformationFile  (52, 451608, 24, Standard, ... {status=0x0, info=24}, ) == 0x0
 00730   896   NtOpenFile  (0x1200a9, {24, 0, 0x40, 0, 0,  (0x1200a9, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WindowsShell.Config"}, 1, 96, ... ) }, 1, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00731   896   NtRequestWaitReplyPort  (24, {128, 156, new_msg, 0, 2088850039, 451908, 1179817, 451632}  (24, {128, 156, new_msg, 0, 2088850039, 451908, 1179817, 451632} "\210\6!\1\33\0\1\0`\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\3\0@\0D\0\250\6!\14\0\0\0<\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\355\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\26\0\30\0\354\6!\1\0\0\0\0\0\0\0\08\351\6\0\0\0\0\0" ... {128, 156, reply, 0, 1252, 896, 81839, 0} "\260d\27\0\33\0\1\0\0\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\3\0@\0D\0\250\6!\14\0\0\0<\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\355\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\26\0\30\0\354\6!\1\0\0\0\0\0\0\0\08\351\6\0\0\0\0\0" )  ... {128, 156, reply, 0, 1252, 896, 81839, 0}  (24, {128, 156, new_msg, 0, 2088850039, 451908, 1179817, 451632} "\210\6!\1\33\0\1\0`\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\3\0@\0D\0\250\6!\14\0\0\0<\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\355\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\26\0\30\0\354\6!\1\0\0\0\0\0\0\0\08\351\6\0\0\0\0\0" ... {128, 156, reply, 0, 1252, 896, 81839, 0} "\260d\27\0\33\0\1\0\0\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\3\0@\0D\0\250\6!\14\0\0\0<\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\355\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\26\0\30\0\354\6!\1\0\0\0\0\0\0\0\08\351\6\0\0\0\0\0" )  ) == 0x0
 00732   896   NtClose  (52, ... ) == 0x0
 00733   896   NtClose  (60, ... ) == 0x0
 00734   896   NtUnmapViewOfSection  (-1, 0x7a0000, ... ) == 0x0
 00735   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00736   896   NtUserRegisterWindowMessage  ( ("ShellGetDragImage", ... ) , ... ) == 0xc03a
 00737   896   NtUserSystemParametersInfo  (104, 0, 2001084812, 0, ... ) == 0x1
 00738   896   NtUserGetDC  (0, ... ) == 0x1010052
 00739   896   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 00740   896   NtUserSystemParametersInfo  (38, 4, 2001086940, 0, ... ) == 0x1
 00741   896   NtUserSystemParametersInfo  (66, 12, 453608, 0, ... ) == 0x1
 00742   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00743   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 60, ) == 0x0
 00744   896   NtQueryInformationToken  (60, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00745   896   NtClose  (60, ... ) == 0x0
 00746   896   NtOpenKey  (0x20019, {24, 0, 0x640, 0, 0,  (0x20019, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... 60, ) }, ... 60, ) == 0x0
 00747   896   NtOpenProcessToken  (-1, 0x8, ... 52, ) == 0x0
 00748   896   NtAccessCheck  (543392, 52, 0x1, 453440, 453492, 56, 453472, ... ) == STATUS_NO_IMPERSONATION_TOKEN
 00749   896   NtClose  (52, ... ) == 0x0
 00750   896   NtOpenKey  (0x20019, {24, 60, 0x40, 0, 0,  (0x20019, {24, 60, 0x40, 0, 0, "Control Panel\Desktop"}, ... 52, ) }, ... 52, ) == 0x0
 00751   896   NtQueryValueKey  (52,  (52, "SmoothScroll", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00752   896   NtClose  (52, ... ) == 0x0
 00753   896   NtUserSystemParametersInfo  (41, 500, 453636, 0, ... ) == 0x1
 00754   896   NtOpenProcessToken  (-1, 0x8, ... 52, ) == 0x0
 00755   896   NtAccessCheck  (543392, 52, 0x1, 453440, 453492, 56, 453472, ... ) == STATUS_NO_IMPERSONATION_TOKEN
 00756   896   NtClose  (52, ... ) == 0x0
 00757   896   NtOpenKey  (0x20019, {24, 60, 0x40, 0, 0,  (0x20019, {24, 60, 0x40, 0, 0, "software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"}, ... 52, ) }, ... 52, ) == 0x0
 00758   896   NtQueryValueKey  (52,  (52, "EnableBalloonTips", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00759   896   NtClose  (52, ... ) == 0x0
 00760   896   NtUserSystemParametersInfo  (27, 0, 2001085788, 0, ... ) == 0x1
 00761   896   NtUserSystemParametersInfo  (102, 0, 2001086828, 0, ... ) == 0x1
 00762   896   NtClose  (60, ... ) == 0x0
 00763   896   NtUserSystemParametersInfo  (4130, 0, 454140, 0, ... ) == 0x1
 00764   896   NtOpenKey  (0x1, {24, 16, 0x40, 0, 0,  (0x1, {24, 16, 0x40, 0, 0, "Software\Microsoft\Windows NT\CurrentVersion\LanguagePack"}, ... 60, ) }, ... 60, ) == 0x0
 00765   896   NtEnumerateValueKey  (60, 0, Full, 220, ... ) == STATUS_NO_MORE_ENTRIES
 00766   896   NtClose  (60, ... ) == 0x0
 00767   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00768   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c03b
 00769   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c03d
 00770   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00771   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c03f
 00772   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00773   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c041
 00774   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00775   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c043
 00776   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c045
 00777   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00778   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c047
 00779   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00780   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c049
 00781   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00782   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c04b
 00783   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00784   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c04d
 00785   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00786   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c04f
 00787   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c051
 00788   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00789   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c053
 00790   896   NtUserFindExistingCursorIcon  (453384, 453400, 453448, ... ) == 0x10011
 00791   896   NtUserRegisterClassExWOW  (453328, 453396, 453412, 453428, 0, 384, 0, ... ) == 0x8177c055
 00792   896   NtUserFindExistingCursorIcon  (453384, 453400, 453448, ... ) == 0x10011
 00793   896   NtUserRegisterClassExWOW  (453328, 453396, 453412, 453428, 0, 384, 0, ... ) == 0x8177c057
 00794   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00795   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c059
 00796   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10013
 00797   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c05b
 00798   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00799   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c05d
 00800   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00801   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c05f
 00802   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00803   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c017
 00804   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00805   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c019
 00806   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10013
 00807   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c018
 00808   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00809   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c01a
 00810   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00811   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c01c
 00812   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00813   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c01e
 00814   896   NtUserFindExistingCursorIcon  (453380, 453396, 453444, ... ) == 0x10011
 00815   896   NtUserRegisterClassExWOW  (453380, 453448, 453464, 453480, 0, 384, 0, ... ) == 0x8177c01b
 00816   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00817   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c068
 00818   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00819   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c06a
 00820   896   NtTestAlert  (... ) == 0x0
 00821   896   NtContinue  (458032, 1, ...
 00822   896   NtSetInformationThread  (-2, Win32StartAddress(LpcReceivedMessageId), {StartAddress(LpcReceivedMsgId)=0x10031fd,}, 4, ... ) == 0x0
 00823   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 458092,  (0x80100080, {24, 0, 0x40, 0, 458092, "\??\u:\work\packed.exe"}, 0x0, 0, 3, 1, 2144, 0, 0, ... 60, {status=0x0, info=1}, ) }, 0x0, 0, 3, 1, 2144, 0, 0, ... 60, {status=0x0, info=1}, ) == 0x0
 00824   896   NtReadFile  (60, 0, 0, 0, 248, 0x0, 0, ... {status=0x0, info=248},  (60, 0, 0, 0, 248, 0x0, 0, ... {status=0x0, info=248}, "MZ\220\0\3\0\0\0\4\0\0\0\377\377\0\0\270\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\310\0\0\0\16\37\272\16\0\264\11\315!\270\1L\315!This program cannot be run in DOS mode.\15\15\12$\0\0\0\0\0\0\0+\242Dlo\303*?o\303*?o\303*?o\303+?=\303*?\225\3403?`\303*?\370\340o?n\303*?\265\3406?\177\303*?\225\340\27?n\303*?Richo\303*?\0\0\0\0\0\0\0\0PE\0\0L\1\3\0\235\256o>\0\0\0\0\0\0\0\0\340\0\17\15\13\1\7\0\0V\0\0\0\30\1\0\0\0\0\0\3751\0\0\0\20\0\0", ) , ) == 0x0
 00825   896   NtSetInformationFile  (60, 458176, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 00826   896   NtReadFile  (60, 0, 0, 0, 248, 0x0, 0, ... {status=0x0, info=248},  (60, 0, 0, 0, 248, 0x0, 0, ... {status=0x0, info=248}, "PE\0\0L\1\3\0\235\256o>\0\0\0\0\0\0\0\0\340\0\17\15\13\1\7\0\0V\0\0\0\30\1\0\0\0\0\0\3751\0\0\0\20\0\0\0p\0\0\0\0\0\1\0\20\0\0\0\2\0\0\5\0\1\0\5\0\1\0\4\0\0\0\0\0\0\0\0\220\1\0\0\4\0\0\300\270\16\0\2\0\0\200\0\0\4\0\0\20\0\0\0\0\20\0\0\20\0\0\0\0\0\0\20\0\0\0\0\0\0\0\0\0\0\0\210]\0\0\240\0\0\0\0\200\1\0H\10\0\0\0\0\0\0\0\0\0\0\0\352\15\00\32\0\0\0\0\0\0\0\0\0\0p\21\0\0\34\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\0d\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) , ) == 0x0
 00827   896   NtAllocateVirtualMemory  (-1, 548864, 0, 8192, 4096, 4, ... 548864, 8192, ) == 0x0
 00828   896   NtSetInformationFile  (60, 458176, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 00829   896   NtReadFile  (60, 0, 0, 0, 6704, 0x0, 0, ... {status=0x0, info=6704},  (60, 0, 0, 0, 6704, 0x0, 0, ... {status=0x0, info=6704}, "0\32\0\0\0\2\2\00\202\32\35\6\11*\206H\206\367\15\1\7\2\240\202\32\160\202\32\12\2\1\11\160\14\6\10*\206H\206\367\15\2\5\5\00g\6\12+\6\1\4\1\2027\2\1\4\240Y0W03\6\12+\6\1\4\1\2027\2\1\170%\3\1\0\240 \242\36\200\34\0<\0<\0<\0O\0b\0s\0o\0l\0e\0t\0e\0>\0>\0>0 0\14\6\10*\206H\206\367\15\2\5\5\0\4\20\263r\250\252\335\327\3416\271\225\343#afiL\240\202\2460\202\2\2740\202\2%\2\20J\31\3228\214\202Y\34\245]s_\25]\334\2430\15\6\11*\206H\206\367\15\1\1\4\5\00\201\2361\370\35\6\3U\4\12\23\26VeriSign Trust Network1\270\25\6\3U\4\13\23\16VeriSign, Inc.1,0*\6\3U\4\13\23#VeriSign Time Stamping Service Root1402\6\3U\4\13\23+NO LIABILITY ACCEPTED, (c)97 VeriSign, Inc.0\36\27\15970512000000Z\27\15040107235959Z0\201\2361\370\35\6\3U\4\12\23\26VeriSign Trust Network1\270\25\6\3U\4\13\23\16VeriSign, Inc.1,0*\6\3U\4\13\23#VeriSign Time Stamping Service Root", ) , ) == 0x0
 00830   896   NtClose  (60, ... ) == 0x0
 00831   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\u:\work\packed.exe"}, 458400, ... ) }, 458400, ... ) == 0x0
 00832   896   NtCreateEvent  (0x1f0003, 0x0, 1, 0, ... 60, ) == 0x0
 00833   896   NtAllocateVirtualMemory  (-1, 0, 0, 262144, 8192, 4, ... 8126464, 262144, ) == 0x0
 00834   896   NtAllocateVirtualMemory  (-1, 8380416, 0, 8192, 4096, 4, ... 8380416, 8192, ) == 0x0
 00835   896   NtProtectVirtualMemory  (-1, (0x7fe000), 4096, 260, ... (0x7fe000), 4096, 4, ) == 0x0
 00836   896   NtCreateThread  (0x1f03ff, 0x0, -1, 457540, 457484, 1, ... 52, {1252, 2016}, ) == 0x0
 00837   896   NtQueryInformationThread  (52, Basic, 28, ... {ExitStatus=0x103,TebBaseAddress=0x7ffdc000,Pid=1252,Tid=2016,}, 0x0, ) == 0x0
 00838   896   NtRequestWaitReplyPort  (24, {28, 56, new_msg, 0, 0, 0, 552, 0}  (24, {28, 56, new_msg, 0, 0, 0, 552, 0} "\0\0\0\0\1\0\1\0\0\0\0\0\0\0\0\04\0\0\0\344\4\0\0\340\7\0\0" ... {28, 56, reply, 0, 1252, 896, 81840, 0} "\0\0\0\0\1\0\1\0\0\0\0\0\0\0\0\04\0\0\0\344\4\0\0\340\7\0\0" )  ... {28, 56, reply, 0, 1252, 896, 81840, 0}  (24, {28, 56, new_msg, 0, 0, 0, 552, 0} "\0\0\0\0\1\0\1\0\0\0\0\0\0\0\0\04\0\0\0\344\4\0\0\340\7\0\0" ... {28, 56, reply, 0, 1252, 896, 81840, 0} "\0\0\0\0\1\0\1\0\0\0\0\0\0\0\0\04\0\0\0\344\4\0\0\340\7\0\0" )  ) == 0x0
 00839   896   NtResumeThread  (52, ... 1, ) == 0x0
 00840   896   NtWaitForSingleObject  (60, 0, 0x0, ...
 00841  2016   NtTestAlert  (... ) == 0x0
 00842  2016   NtContinue  (8387888, 1, ...
 00843  2016   NtRegisterThreadTerminatePort  (24, ... ) == 0x0
 00844  2016   NtQueryDefaultLocale  (1, 8388328, ... ) == 0x0
 00845  2016   NtCreateEvent  (0x1f0003, 0x0, 1, 0, ... 64, ) == 0x0
 00846  2016   NtCallbackReturn  (0, 0, 0, ...
 00847  2016   NtUserGetThreadState  (18, ... ) == 0x1
 00848  2016   NtUserFindExistingCursorIcon  (8387748, 8387764, 8387812, ... ) == 0x10015
 00849  2016   NtUserSetCursor  (65557, ... ) == 0x10015
 00850  2016   NtGdiCreateCompatibleDC  (0, ... ) == 0x64010596
 00851  2016   NtGdiGetTextCharsetInfo  (1677788566, 0, 0, ... ) == 0x0
 00852  2016   NtGdiHfontCreate  (8387504, 356, 0, 0, 543464, ... ) == 0x740a05de
 00853  2016   NtGdiGetTextMetricsW  (1677788566, 8388032, 68, ... ) == 0x1
 00854  2016   NtGdiGetWidthTable  (1677788566, 52, 554352, 308, 554968, 553720, 553736, ... ) == 0x1
 00855  2016   NtGdiDeleteObjectApp  (1677788566, ... ) == 0x1
 00856  2016   NtUserGetForegroundWindow  (... ) == 0xf0104
 00857  2016   NtUserQueryWindow  (983300, 0, ... ) == 0x2fc
 00858  2016   NtUserQueryWindow  (983300, 1, ... ) == 0x544
 00859  2016   NtUserGetAtomName  (32770, 8387008, ... ) == 0x6
 00860  2016   NtUserCreateWindowEx  (-2147417855, 32770, 32770,  (-2147417855, 32770, 32770, "Extracting Files", -2134373436, 344, 304, 336, 130, 0, 0, 0, 0, 1073742848, 0, ... , -2134373436, 344, 304, 336, 130, 0, 0, 0, 0, 1073742848, 0, ...
 00861  2016   NtAllocateVirtualMemory  (-1, 8376320, 0, 4096, 4096, 260, ... 8376320, 4096, ) == 0x0
 00862  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\uxtheme.dll"}, 8384480, ... ) }, 8384480, ... ) == 0x0
 00863  2016   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\uxtheme.dll"}, 5, 96, ... 68, {status=0x0, info=1}, ) }, 5, 96, ... 68, {status=0x0, info=1}, ) == 0x0
 00864  2016   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 68, ... 72, ) == 0x0
 00865  2016   NtClose  (68, ... ) == 0x0
 00866  2016   NtMapViewOfSection  (72, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x840000), 0x0, 221184, ) == 0x0
 00867  2016   NtClose  (72, ... ) == 0x0
 00868  2016   NtUnmapViewOfSection  (-1, 0x840000, ... ) == 0x0
 00869  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\uxtheme.dll"}, 8384788, ... ) }, 8384788, ... ) == 0x0
 00870  2016   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\uxtheme.dll"}, 5, 96, ... 72, {status=0x0, info=1}, ) }, 5, 96, ... 72, {status=0x0, info=1}, ) == 0x0
 00871  2016   NtCreateSection  (0xf, 0x0, 0x0, 16, 16777216, 72, ... 68, ) == 0x0
 00872  2016   NtQuerySection  (68, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 00873  2016   NtClose  (72, ... ) == 0x0
 00874  2016   NtMapViewOfSection  (68, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x5ad70000), 0x0, 229376, ) == 0x0
 00875  2016   NtClose  (68, ... ) == 0x0
 00876  2016   NtProtectVirtualMemory  (-1, (0x5ad71000), 1300, 4, ... (0x5ad71000), 4096, 32, ) == 0x0
 00877  2016   NtProtectVirtualMemory  (-1, (0x5ad71000), 4096, 32, ... (0x5ad71000), 4096, 4, ) == 0x0
 00878  2016   NtFlushInstructionCache  (-1, 1524043776, 1300, ... ) == 0x0
 00879  2016   NtProtectVirtualMemory  (-1, (0x5ad71000), 1300, 4, ... (0x5ad71000), 4096, 32, ) == 0x0
 00880  2016   NtProtectVirtualMemory  (-1, (0x5ad71000), 4096, 32, ... (0x5ad71000), 4096, 4, ) == 0x0
 00881  2016   NtFlushInstructionCache  (-1, 1524043776, 1300, ... ) == 0x0
 00882  2016   NtProtectVirtualMemory  (-1, (0x5ad71000), 1300, 4, ... (0x5ad71000), 4096, 32, ) == 0x0
 00883  2016   NtProtectVirtualMemory  (-1, (0x5ad71000), 4096, 32, ... (0x5ad71000), 4096, 4, ) == 0x0
 00884  2016   NtFlushInstructionCache  (-1, 1524043776, 1300, ... ) == 0x0
 00885  2016   NtProtectVirtualMemory  (-1, (0x5ad71000), 1300, 4, ... (0x5ad71000), 4096, 32, ) == 0x0
 00886  2016   NtProtectVirtualMemory  (-1, (0x5ad71000), 4096, 32, ... (0x5ad71000), 4096, 4, ) == 0x0
 00887  2016   NtFlushInstructionCache  (-1, 1524043776, 1300, ... ) == 0x0
 00888  2016   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\uxtheme.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00889  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00890  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00891  2016   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00892  2016   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 68, ) == 0x0
 00893  2016   NtQueryInformationToken  (68, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00894  2016   NtClose  (68, ... ) == 0x0
 00895  2016   NtOpenKey  (0x2001f, {24, 0, 0x640, 0, 0,  (0x2001f, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... 68, ) }, ... 68, ) == 0x0
 00896  2016   NtOpenKey  (0x1, {24, 68, 0x40, 0, 0,  (0x1, {24, 68, 0x40, 0, 0, "Software\Microsoft\Windows\CurrentVersion\ThemeManager"}, ... 72, ) }, ... 72, ) == 0x0
 00897  2016   NtQueryValueKey  (72,  (72, "Compositing", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00898  2016   NtClose  (72, ... ) == 0x0
 00899  2016   NtClose  (68, ... ) == 0x0
 00900  2016   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00901  2016   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 68, ) == 0x0
 00902  2016   NtQueryInformationToken  (68, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00903  2016   NtClose  (68, ... ) == 0x0
 00904  2016   NtOpenKey  (0x20019, {24, 0, 0x640, 0, 0,  (0x20019, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... 68, ) }, ... 68, ) == 0x0
 00905  2016   NtOpenKey  (0x1, {24, 68, 0x40, 0, 0,  (0x1, {24, 68, 0x40, 0, 0, "Control Panel\Desktop"}, ... 72, ) }, ... 72, ) == 0x0
 00906  2016   NtQueryValueKey  (72,  (72, "LameButtonText", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00907  2016   NtClose  (72, ... ) == 0x0
 00908  2016   NtClose  (68, ... ) == 0x0
 00909  2016   NtUserGetProcessWindowStation  (... ) == 0x1c
 00910  2016   NtUserGetObjectInformation  (28, 2, 8386576, 64, 8386572, ... ) == 0x1
 00911  2016   NtUserGetGUIThreadInfo  (2016, 8386596, ... ) == 0x1
 00912  2016   NtConnectPort  ( ("\ThemeApiPort", {12, 2, 1, 1}, 0x0, 0x0, 8386440, 64, ... 68, 0x0, 0x0, 0x0, 64, ) , {12, 2, 1, 1}, 0x0, 0x0, 8386440, 64, ... 68, 0x0, 0x0, 0x0, 64, ) == 0x0
 00913  2016   NtRequestWaitReplyPort  (68, {32, 56, new_msg, 0, 0, 0, 0, 0}  (68, {32, 56, new_msg, 0, 0, 0, 0, 0} "\4\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" ... {32, 56, reply, 0, 1252, 2016, 81842, 0} "\0\0\0\0\1\0\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" )  ... {32, 56, reply, 0, 1252, 2016, 81842, 0}  (68, {32, 56, new_msg, 0, 0, 0, 0, 0} "\4\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" ... {32, 56, reply, 0, 1252, 2016, 81842, 0} "\0\0\0\0\1\0\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" )  ) == 0x0
 00914  2016   NtRequestWaitReplyPort  (68, {32, 56, new_msg, 0, 0, 0, 0, 0}  (68, {32, 56, new_msg, 0, 0, 0, 0, 0} "\355\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" ... {32, 56, reply, 0, 1252, 2016, 81843, 0} "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" )  ... {32, 56, reply, 0, 1252, 2016, 81843, 0}  (68, {32, 56, new_msg, 0, 0, 0, 0, 0} "\355\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" ... {32, 56, reply, 0, 1252, 2016, 81843, 0} "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" )  ) == 0x0
 00915  2016   NtUserCallNoParam  (29, ...
 00916  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\uxtheme.dll"}, 8383836, ... ) }, 8383836, ... ) == 0x0
 00915  2016   NtUserCallNoParam  ... ) == 0x0
 00917  2016   NtUserSystemParametersInfo  (41, 0, 1524240760, 0, ... ) == 0x1
 00918  2016   NtGdiHfontCreate  (8385964, 356, 0, 0, 543456, ... ) == 0x650a0596
 00919  2016   NtGdiHfontCreate  (8385964, 356, 0, 0, 543448, ... ) == 0xc90a0697
 00920  2016   NtRequestWaitReplyPort  (68, {32, 56, new_msg, 0, 0, 0, 0, 0}  (68, {32, 56, new_msg, 0, 0, 0, 0, 0} "\7\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" ... {32, 56, reply, 0, 1252, 2016, 81844, 0} "\0\0\0\0\0\0\0\0H\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" )  ... {32, 56, reply, 0, 1252, 2016, 81844, 0}  (68, {32, 56, new_msg, 0, 0, 0, 0, 0} "\7\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" ... {32, 56, reply, 0, 1252, 2016, 81844, 0} "\0\0\0\0\0\0\0\0H\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" )  ) == 0x0
 00921  2016   NtMapViewOfSection  (72, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 2, ... (0x840000), {0, 0}, 327680, ) == 0x0
 00922  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00923  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00924  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00925  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00926  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00927  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00928  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00929  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00930  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00931  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00932  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00933  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00934  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00935  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00936  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00937  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00938  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00939  2016   NtGdiCreatePatternBrushInternal  (59048383, 0, 0, ... ) == 0x701004dc
 00940  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00941  2016   NtUserCallNoParam  (29, ...
 00942  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\uxtheme.dll"}, 8383276, ... ) }, 8383276, ... ) == 0x0
 00941  2016   NtUserCallNoParam  ... ) == 0x0
 00943  2016   NtUserCallNoParam  (29, ...
 00944  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\uxtheme.dll"}, 8383272, ... ) }, 8383272, ... ) == 0x0
 00943  2016   NtUserCallNoParam  ... ) == 0x0
 00945  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\MSCTF.dll"}, 8384484, ... ) }, 8384484, ... ) == 0x0
 00946  2016   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\MSCTF.dll"}, 5, 96, ... 76, {status=0x0, info=1}, ) }, 5, 96, ... 76, {status=0x0, info=1}, ) == 0x0
 00947  2016   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 76, ... 80, ) == 0x0
 00948  2016   NtClose  (76, ... ) == 0x0
 00949  2016   NtMapViewOfSection  (80, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x890000), 0x0, 294912, ) == 0x0
 00950  2016   NtClose  (80, ... ) == 0x0
 00951  2016   NtUnmapViewOfSection  (-1, 0x890000, ... ) == 0x0
 00952  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\MSCTF.dll"}, 8384792, ... ) }, 8384792, ... ) == 0x0
 00953  2016   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\MSCTF.dll"}, 5, 96, ... 80, {status=0x0, info=1}, ) }, 5, 96, ... 80, {status=0x0, info=1}, ) == 0x0
 00954  2016   NtCreateSection  (0xf, 0x0, 0x0, 16, 16777216, 80, ... 76, ) == 0x0
 00955  2016   NtQuerySection  (76, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 00956  2016   NtClose  (80, ... ) == 0x0
 00957  2016   NtMapViewOfSection  (76, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x74720000), 0x0, 307200, ) == 0x0
 00958  2016   NtClose  (76, ... ) == 0x0
 00959  2016   NtProtectVirtualMemory  (-1, (0x74721000), 928, 4, ... (0x74721000), 4096, 32, ) == 0x0
 00960  2016   NtProtectVirtualMemory  (-1, (0x74721000), 4096, 32, ... (0x74721000), 4096, 4, ) == 0x0
 00961  2016   NtFlushInstructionCache  (-1, 1953632256, 928, ... ) == 0x0
 00962  2016   NtProtectVirtualMemory  (-1, (0x74721000), 928, 4, ... (0x74721000), 4096, 32, ) == 0x0
 00963  2016   NtProtectVirtualMemory  (-1, (0x74721000), 4096, 32, ... (0x74721000), 4096, 4, ) == 0x0
 00964  2016   NtFlushInstructionCache  (-1, 1953632256, 928, ... ) == 0x0
 00965  2016   NtProtectVirtualMemory  (-1, (0x74721000), 928, 4, ... (0x74721000), 4096, 32, ) == 0x0
 00966  2016   NtProtectVirtualMemory  (-1, (0x74721000), 4096, 32, ... (0x74721000), 4096, 4, ) == 0x0
 00967  2016   NtFlushInstructionCache  (-1, 1953632256, 928, ... ) == 0x0
 00968  2016   NtProtectVirtualMemory  (-1, (0x74721000), 928, 4, ... (0x74721000), 4096, 32, ) == 0x0
 00969  2016   NtProtectVirtualMemory  (-1, (0x74721000), 4096, 32, ... (0x74721000), 4096, 4, ) == 0x0
 00970  2016   NtFlushInstructionCache  (-1, 1953632256, 928, ... ) == 0x0
 00971  2016   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSCTF.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00972  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\ntdll.dll"}, 8382148, ... ) }, 8382148, ... ) == 0x0
 00973  2016   NtQueryInformationProcess  (-1, Wow64, 4, ... {process info, class 26, size 4}, 0x0, ) == 0x0
 00974  2016   NtUserCallOneParam  (0, 40, ... ) == 0x4090409
 00975  2016   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.Private", ... ) , ... ) == 0xc0a1
 00976  2016   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.SetFocus", ... ) , ... ) == 0xc0a2
 00977  2016   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.ThreadTerminate", ... ) , ... ) == 0xc0a3
 00978  2016   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.ThreadItemChange", ... ) , ... ) == 0xc0a4
 00979  2016   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.LangBarModal", ... ) , ... ) == 0xc0a5
 00980  2016   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.RpcSendReceive", ... ) , ... ) == 0xc0a6
 00981  2016   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.ThreadMarshal", ... ) , ... ) == 0xc0a7
 00982  2016   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.CheckThreadInputIdel", ... ) , ... ) == 0xc0a8
 00983  2016   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.StubCleanUp", ... ) , ... ) == 0xc0a9
 00984  2016   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.ShowFloating", ... ) , ... ) == 0xc0aa
 00985  2016   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.LBUpdate", ... ) , ... ) == 0xc0ab
 00986  2016   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.MuiMgrDirtyUpdate", ... ) , ... ) == 0xc0ac
 00987  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\imm32.dll"}, 8382156, ... ) }, 8382156, ... ) == 0x0
 00988  2016   NtRequestWaitReplyPort  (24, {24, 52, new_msg, 0, 3998, 8384548, 0, 0}  (24, {24, 52, new_msg, 0, 3998, 8384548, 0, 0} "\0\0\0\0\5\4\3\0\0\0\0\0\1\0\0\0\340\7\0\0\0\0\0\0" ... {24, 52, reply, 0, 1252, 2016, 81845, 0} "\0\0\0\0\5\4\3\0\0\0\0\0\1\0\0\0\340\7\0\0\0\0\0\0" )  ... {24, 52, reply, 0, 1252, 2016, 81845, 0}  (24, {24, 52, new_msg, 0, 3998, 8384548, 0, 0} "\0\0\0\0\5\4\3\0\0\0\0\0\1\0\0\0\340\7\0\0\0\0\0\0" ... {24, 52, reply, 0, 1252, 2016, 81845, 0} "\0\0\0\0\5\4\3\0\0\0\0\0\1\0\0\0\340\7\0\0\0\0\0\0" )  ) == 0x0
 00989  2016   NtUserGetThreadDesktop  (2016, 0, ... ) == 0x24
 00990  2016   NtUserGetObjectInformation  (36, 2, 532112, 520, 8384456, ... ) == 0x1
 00991  2016   NtOpenProcessToken  (-1, 0x8, ... 76, ) == 0x0
 00992  2016   NtQueryInformationToken  (76, User, 0, ... ) == STATUS_BUFFER_TOO_SMALL
 00993  2016   NtQueryInformationToken  (76, User, 36, ... {token info, class 1, size 36}, 36, ) == 0x0
 00994  2016   NtClose  (76, ... ) == 0x0
 00995  2016   NtCreateSection  (0xf0007, {24, 48, 0x80, 0, 0,  (0xf0007, {24, 48, 0x80, 0, 0, "CiceroSharedMemDefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, {3240, 0}, 4, 134217728, 0, ... 76, ) }, {3240, 0}, 4, 134217728, 0, ... 76, ) == STATUS_OBJECT_NAME_EXISTS
 00996  2016   NtMapViewOfSection  (76, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 4, ... (0x7a0000), {0, 0}, 4096, ) == 0x0
 00997  2016   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "SOFTWARE\Microsoft\CTF\Compatibility\packed.exe"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00998  2016   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "SOFTWARE\Microsoft\CTF\SystemShared\"}, ... 80, ) }, ... 80, ) == 0x0
 00999  2016   NtQueryValueKey  (80,  (80, "CUAS", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 144, ... TitleIdx=0, Type=4, Data= (80, "CUAS", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 01000  2016   NtClose  (80, ... ) == 0x0
 01001  2016   NtUserFindExistingCursorIcon  (8383988, 8384004, 8384052, ... ) == 0x10011
 01002  2016   NtUserRegisterClassExWOW  (8384260, 8384356, 8384340, 8384328, 0, 386, 0, ... ) == 0x8169c0ad
 01003  2016   NtCreateMutant  (0x1f0001, {24, 48, 0x80, 0, 0,  (0x1f0001, {24, 48, 0x80, 0, 0, "CTF.LBES.MutexDefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, 0, ... 80, ) }, 0, ... 80, ) == STATUS_OBJECT_NAME_EXISTS
 01004  2016   NtCreateMutant  (0x1f0001, {24, 48, 0x80, 0, 0,  (0x1f0001, {24, 48, 0x80, 0, 0, "CTF.Compart.MutexDefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, 0, ... 84, ) }, 0, ... 84, ) == STATUS_OBJECT_NAME_EXISTS
 01005  2016   NtCreateMutant  (0x1f0001, {24, 48, 0x80, 0, 0,  (0x1f0001, {24, 48, 0x80, 0, 0, "CTF.Asm.MutexDefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, 0, ... 88, ) }, 0, ... 88, ) == STATUS_OBJECT_NAME_EXISTS
 01006  2016   NtCreateMutant  (0x1f0001, {24, 48, 0x80, 0, 0,  (0x1f0001, {24, 48, 0x80, 0, 0, "CTF.Layouts.MutexDefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, 0, ... 92, ) }, 0, ... 92, ) == STATUS_OBJECT_NAME_EXISTS
 01007  2016   NtCreateMutant  (0x1f0001, {24, 48, 0x80, 0, 0,  (0x1f0001, {24, 48, 0x80, 0, 0, "CTF.TMD.MutexDefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, 0, ... 96, ) }, 0, ... 96, ) == STATUS_OBJECT_NAME_EXISTS
 01008  2016   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 01009  2016   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 100, ) == 0x0
 01010  2016   NtQueryInformationToken  (100, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 01011  2016   NtClose  (100, ... ) == 0x0
 01012  2016   NtOpenKey  (0x2000000, {24, 0, 0x640, 0, 0,  (0x2000000, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... 100, ) }, ... 100, ) == 0x0
 01013  2016   NtSetInformationObject  (100, Handle, {Inherit=0,ProtectFromClose=1,}, 8323328, ... ) == 0x0
 01014  2016   NtOpenKey  (0x20019, {24, 100, 0x40, 0, 0,  (0x20019, {24, 100, 0x40, 0, 0, "Keyboard Layout\Toggle"}, ... 104, ) }, ... 104, ) == 0x0
 01015  2016   NtQueryValueKey  (104,  (104, "Language Hotkey", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01016  2016   NtQueryValueKey  (104,  (104, "Hotkey", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01017  2016   NtQueryValueKey  (104,  (104, "Layout Hotkey", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01018  2016   NtClose  (104, ... ) == 0x0
 01019  2016   NtAllocateVirtualMemory  (-1, 557056, 0, 4096, 4096, 4, ... 557056, 4096, ) == 0x0
 01020  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\KERNEL32.dll"}, 8381976, ... ) }, 8381976, ... ) == 0x0
 01021  2016   NtQueryDefaultUILanguage  (8384536, ...
 01022  2016   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 01023  2016   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... -2147481368, ) == 0x0
 01024  2016   NtQueryInformationToken  (-2147481368, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 01025  2016   NtClose  (-2147481368, ... ) == 0x0
 01026  2016   NtOpenKey  (0x2000000, {24, 0, 0x640, 0, 0,  (0x2000000, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... -2147481368, ) }, ... -2147481368, ) == 0x0
 01027  2016   NtOpenKey  (0x80000000, {24, -2147481368, 0x240, 0, 0,  (0x80000000, {24, -2147481368, 0x240, 0, 0, "Software\Policies\Microsoft\Control Panel\Desktop"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01028  2016   NtOpenKey  (0x80000000, {24, -2147481368, 0x640, 0, 0,  (0x80000000, {24, -2147481368, 0x640, 0, 0, "Control Panel\Desktop"}, ... -2147481452, ) }, ... -2147481452, ) == 0x0
 01029  2016   NtQueryValueKey  (-2147481452,  (-2147481452, "MultiUILanguageId", Partial, 256, ... ) , Partial, 256, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01030  2016   NtClose  (-2147481452, ... ) == 0x0
 01031  2016   NtClose  (-2147481368, ... ) == 0x0
 01021  2016   NtQueryDefaultUILanguage  ... ) == 0x0
 01032  2016   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "SOFTWARE\Microsoft\CTF\"}, ... 104, ) }, ... 104, ) == 0x0
 01033  2016   NtQueryValueKey  (104,  (104, "EnableAnchorContext", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01034  2016   NtClose  (104, ... ) == 0x0
 01035  2016   NtCreateMutant  (0x1f0001, {24, 48, 0x80, 0, 0,  (0x1f0001, {24, 48, 0x80, 0, 0, "CTF.TimListCache.FMPDefaultS-1-5-21-1292428093-1383384898-725345543-1003MUTEX.DefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, 0, ... 104, ) }, 0, ... 104, ) == STATUS_OBJECT_NAME_EXISTS
 01036  2016   NtOpenSection  (0xf001f, {24, 48, 0x0, 0, 0,  (0xf001f, {24, 48, 0x0, 0, 0, "CTF.TimListCache.FMPDefaultS-1-5-21-1292428093-1383384898-725345543-1003SFM.DefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, ... 108, ) }, ... 108, ) == 0x0
 01037  2016   NtMapViewOfSection  (108, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 4, ... (0x890000), {0, 0}, 262144, ) == 0x0
 01038  2016   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ... ) == 0x0
 01039  2016   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 01040  2016   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ... ) == 0x0
 01041  2016   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 01042  2016   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ... ) == 0x0
 01043  2016   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 01044  2016   NtUserSetWindowsHookEx  (1953628160, 8385988, 2016, 2, 1953694283, 2, ... ) == 0x1580153
 01045  2016   NtUserSetWindowsHookEx  (1953628160, 8385988, 2016, 7, 1953693577, 2, ... ) == 0x250297
 01046  2016   NtUserSetWindowFNID  (590128, 676, ... ) == 0x1
 01047  2016   NtUserCallHwndParam  (590128, 556804, 79, ... ) == 0x87f04
 01048  2016   NtUserMessageCall  (0x90130, WM_NCCREATE, 0x0, 0x7ff944, 0, 670, 1, ... ) == 0x1
 01049  2016   NtUserSetWindowFNID  (1507596, 681, ... ) == 0x1
 01050  2016   NtUserSetWindowLong  (1507596, 0, 554776, 0, ... ) == 0x0
 01051  2016   NtOpenKey  (0x2000000, {24, 16, 0x40, 0, 0,  (0x2000000, {24, 16, 0x40, 0, 0, "Software\Microsoft\Windows NT\CurrentVersion\IMM"}, ... 112, ) }, ... 112, ) == 0x0
 01052  2016   NtQueryValueKey  (112,  (112, "Ime File", Partial, 144, ... TitleIdx=0, Type=1, Data="m\0s\0c\0t\0f\0i\0m\0e\0.\0i\0m\0e\0\0\0"}, 38, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (112, "Ime File", Partial, 144, ... TitleIdx=0, Type=1, Data="m\0s\0c\0t\0f\0i\0m\0e\0.\0i\0m\0e\0\0\0"}, 38, ) }, 38, ) == 0x0
 01053  2016   NtClose  (112, ... ) == 0x0
 01054  2016   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "version.dll"}, ... 112, ) }, ... 112, ) == 0x0
 01055  2016   NtMapViewOfSection  (112, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77c00000), 0x0, 32768, ) == 0x0
 01056  2016   NtClose  (112, ... ) == 0x0
 01057  2016   NtProtectVirtualMemory  (-1, (0x77c01000), 304, 4, ... (0x77c01000), 4096, 32, ) == 0x0
 01058  2016   NtProtectVirtualMemory  (-1, (0x77c01000), 4096, 32, ... (0x77c01000), 4096, 4, ) == 0x0
 01059  2016   NtFlushInstructionCache  (-1, 2009075712, 304, ... ) == 0x0
 01060  2016   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\version.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01061  2016   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 01062  2016   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 01063  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 8383276, ... ) }, 8383276, ... ) == 0x0
 01064  2016   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 5, 96, ... 112, {status=0x0, info=1}, ) }, 5, 96, ... 112, {status=0x0, info=1}, ) == 0x0
 01065  2016   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 112, ... 116, ) == 0x0
 01066  2016   NtClose  (112, ... ) == 0x0
 01067  2016   NtMapViewOfSection  (116, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x800000), 0x0, 180224, ) == 0x0
 01068  2016   NtClose  (116, ... ) == 0x0
 01069  2016   NtUnmapViewOfSection  (-1, 0x800000, ... ) == 0x0
 01070  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 8382872, ... ) }, 8382872, ... ) == 0x0
 01071  2016   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 8383616,  (0x80100080, {24, 0, 0x40, 0, 8383616, "\??\C:\WINDOWS\system32\msctfime.ime"}, 0x0, 0, 5, 1, 96, 0, 0, ... 116, {status=0x0, info=1}, ) }, 0x0, 0, 5, 1, 96, 0, 0, ... 116, {status=0x0, info=1}, ) == 0x0
 01072  2016   NtCreateSection  (0xf0005, 0x0, 0x0, 2, 134217728, 116, ... 112, ) == 0x0
 01073  2016   NtClose  (116, ... ) == 0x0
 01074  2016   NtMapViewOfSection  (112, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 2, ... (0x800000), {0, 0}, 180224, ) == 0x0
 01075  2016   NtClose  (112, ... ) == 0x0
 01076  2016   NtAllocateVirtualMemory  (-1, 8372224, 0, 4096, 4096, 260, ... 8372224, 4096, ) == 0x0
 01077  2016   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 01078  2016   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 01079  2016   NtQueryDefaultLocale  (1, 8384236, ... ) == 0x0
 01080  2016   NtQueryVirtualMemory  (-1, 0x800000, Basic, 28, ... {BaseAddress=0x800000,AllocationBase=0x800000,AllocationProtect=0x2,RegionSize=0x2c000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 01081  2016   NtQueryVirtualMemory  (-1, 0x800000, Basic, 28, ... {BaseAddress=0x800000,AllocationBase=0x800000,AllocationProtect=0x2,RegionSize=0x2c000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 01082  2016   NtUnmapViewOfSection  (-1, 0x800000, ... ) == 0x0
 01083  2016   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 01084  2016   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 01085  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 8383268, ... ) }, 8383268, ... ) == 0x0
 01086  2016   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 5, 96, ... 112, {status=0x0, info=1}, ) }, 5, 96, ... 112, {status=0x0, info=1}, ) == 0x0
 01087  2016   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 112, ... 116, ) == 0x0
 01088  2016   NtClose  (112, ... ) == 0x0
 01089  2016   NtMapViewOfSection  (116, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x800000), 0x0, 180224, ) == 0x0
 01090  2016   NtClose  (116, ... ) == 0x0
 01091  2016   NtUnmapViewOfSection  (-1, 0x800000, ... ) == 0x0
 01092  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 8382864, ... ) }, 8382864, ... ) == 0x0
 01093  2016   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 8383608,  (0x80100080, {24, 0, 0x40, 0, 8383608, "\??\C:\WINDOWS\system32\msctfime.ime"}, 0x0, 0, 5, 1, 96, 0, 0, ... 116, {status=0x0, info=1}, ) }, 0x0, 0, 5, 1, 96, 0, 0, ... 116, {status=0x0, info=1}, ) == 0x0
 01094  2016   NtCreateSection  (0xf0005, 0x0, 0x0, 2, 134217728, 116, ... 112, ) == 0x0
 01095  2016   NtClose  (116, ... ) == 0x0
 01096  2016   NtMapViewOfSection  (112, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 2, ... (0x800000), {0, 0}, 180224, ) == 0x0
 01097  2016   NtClose  (112, ... ) == 0x0
 01098  2016   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 01099  2016   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 01100  2016   NtQueryDefaultLocale  (1, 8384228, ... ) == 0x0
 01101  2016   NtQueryVirtualMemory  (-1, 0x800000, Basic, 28, ... {BaseAddress=0x800000,AllocationBase=0x800000,AllocationProtect=0x2,RegionSize=0x2c000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 01102  2016   NtUnmapViewOfSection  (-1, 0x800000, ... ) == 0x0
 01103  2016   NtSetInformationThread  (-2, ZeroTlsCell, {ZeroTlsCell=0xa,}, 4, ... ) == 0x0
 01104  2016   NtUnmapViewOfSection  (-1, 0x77c00000, ... ) == 0x0
 01105  2016   NtOpenMutant  (0x120001, {24, 48, 0x0, 0, 0,  (0x120001, {24, 48, 0x0, 0, 0, "ShimCacheMutex"}, ... 112, ) }, ... 112, ) == 0x0
 01106  2016   NtWaitForSingleObject  (112, 0, {-1000000, -1}, ... ) == 0x0
 01107  2016   NtOpenSection  (0x2, {24, 48, 0x0, 0, 0,  (0x2, {24, 48, 0x0, 0, 0, "ShimSharedMemory"}, ... 116, ) }, ... 116, ) == 0x0
 01108  2016   NtMapViewOfSection  (116, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 4, ... (0x800000), {0, 0}, 57344, ) == 0x0
 01109  2016   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 01110  2016   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 120, ) == 0x0
 01111  2016   NtQueryInformationToken  (120, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 01112  2016   NtClose  (120, ... ) == 0x0
 01113  2016   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01114  2016   NtReleaseMutant  (112, ... 0x0, ) == 0x0
 01115  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 8383248, ... ) }, 8383248, ... ) == 0x0
 01116  2016   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 5, 96, ... 120, {status=0x0, info=1}, ) }, 5, 96, ... 120, {status=0x0, info=1}, ) == 0x0
 01117  2016   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 120, ... 124, ) == 0x0
 01118  2016   NtClose  (120, ... ) == 0x0
 01119  2016   NtMapViewOfSection  (124, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x8d0000), 0x0, 180224, ) == 0x0
 01120  2016   NtClose  (124, ... ) == 0x0
 01121  2016   NtUnmapViewOfSection  (-1, 0x8d0000, ... ) == 0x0
 01122  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 8383556, ... ) }, 8383556, ... ) == 0x0
 01123  2016   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 5, 96, ... 124, {status=0x0, info=1}, ) }, 5, 96, ... 124, {status=0x0, info=1}, ) == 0x0
 01124  2016   NtCreateSection  (0xf, 0x0, 0x0, 16, 16777216, 124, ... 120, ) == 0x0
 01125  2016   NtQuerySection  (120, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 01126  2016   NtClose  (124, ... ) == 0x0
 01127  2016   NtMapViewOfSection  (120, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x755c0000), 0x0, 188416, ) == 0x0
 01128  2016   NtClose  (120, ... ) == 0x0
 01129  2016   NtProtectVirtualMemory  (-1, (0x755c1000), 860, 4, ... (0x755c1000), 4096, 32, ) == 0x0
 01130  2016   NtProtectVirtualMemory  (-1, (0x755c1000), 4096, 32, ... (0x755c1000), 4096, 4, ) == 0x0
 01131  2016   NtFlushInstructionCache  (-1, 1968967680, 860, ... ) == 0x0
 01132  2016   NtProtectVirtualMemory  (-1, (0x755c1000), 860, 4, ... (0x755c1000), 4096, 32, ) == 0x0
 01133  2016   NtProtectVirtualMemory  (-1, (0x755c1000), 4096, 32, ... (0x755c1000), 4096, 4, ) == 0x0
 01134  2016   NtFlushInstructionCache  (-1, 1968967680, 860, ... ) == 0x0
 01135  2016   NtProtectVirtualMemory  (-1, (0x755c1000), 860, 4, ... (0x755c1000), 4096, 32, ) == 0x0
 01136  2016   NtProtectVirtualMemory  (-1, (0x755c1000), 4096, 32, ... (0x755c1000), 4096, 4, ) == 0x0
 01137  2016   NtFlushInstructionCache  (-1, 1968967680, 860, ... ) == 0x0
 01138  2016   NtProtectVirtualMemory  (-1, (0x755c1000), 860, 4, ... (0x755c1000), 4096, 32, ) == 0x0
 01139  2016   NtProtectVirtualMemory  (-1, (0x755c1000), 4096, 32, ... (0x755c1000), 4096, 4, ) == 0x0
 01140  2016   NtFlushInstructionCache  (-1, 1968967680, 860, ... ) == 0x0
 01141  2016   NtProtectVirtualMemory  (-1, (0x755c1000), 860, 4, ... (0x755c1000), 4096, 32, ) == 0x0
 01142  2016   NtProtectVirtualMemory  (-1, (0x755c1000), 4096, 32, ... (0x755c1000), 4096, 4, ) == 0x0
 01143  2016   NtFlushInstructionCache  (-1, 1968967680, 860, ... ) == 0x0
 01144  2016   NtProtectVirtualMemory  (-1, (0x755c1000), 860, 4, ... (0x755c1000), 4096, 32, ) == 0x0
 01145  2016   NtProtectVirtualMemory  (-1, (0x755c1000), 4096, 32, ... (0x755c1000), 4096, 4, ) == 0x0
 01146  2016   NtFlushInstructionCache  (-1, 1968967680, 860, ... ) == 0x0
 01147  2016   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msctfime.ime"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01148  2016   NtUserGetDC  (0, ... ) == 0x1010052
 01149  2016   NtUserSystemParametersInfo  (66, 12, 8383744, 0, ... ) == 0x1
 01150  2016   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 01151  2016   NtGdiCreateCompatibleDC  (0, ... ) == 0x140106c8
 01152  2016   NtGdiCreateCompatibleDC  (0, ... ) == 0x28010554
 01153  2016   NtGdiCreateCompatibleDC  (0, ... ) == 0x6701057d
 01154  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\ole32.dll"}, 8381076, ... ) }, 8381076, ... ) == 0x0
 01155  2016   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\ole32.dll"}, 5, 96, ... 120, {status=0x0, info=1}, ) }, 5, 96, ... 120, {status=0x0, info=1}, ) == 0x0
 01156  2016   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 120, ... 124, ) == 0x0
 01157  2016   NtClose  (120, ... ) == 0x0
 01158  2016   NtMapViewOfSection  (124, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x8d0000), 0x0, 1286144, ) == 0x0
 01159  2016   NtClose  (124, ... ) == 0x0
 01160  2016   NtUnmapViewOfSection  (-1, 0x8d0000, ... ) == 0x0
 01161  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\ole32.dll"}, 8381384, ... ) }, 8381384, ... ) == 0x0
 01162  2016   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\ole32.dll"}, 5, 96, ... 124, {status=0x0, info=1}, ) }, 5, 96, ... 124, {status=0x0, info=1}, ) == 0x0
 01163  2016   NtCreateSection  (0xf, 0x0, 0x0, 16, 16777216, 124, ... 120, ) == 0x0
 01164  2016   NtQuerySection  (120, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 01165  2016   NtClose  (124, ... ) == 0x0
 01166  2016   NtMapViewOfSection  (120, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x774e0000), 0x0, 1298432, ) == 0x0
 01167  2016   NtClose  (120, ... ) == 0x0
 01168  2016   NtProtectVirtualMemory  (-1, (0x774e1000), 2352, 4, ... (0x774e1000), 4096, 32, ) == 0x0
 01169  2016   NtProtectVirtualMemory  (-1, (0x774e1000), 4096, 32, ... (0x774e1000), 4096, 4, ) == 0x0
 01170  2016   NtFlushInstructionCache  (-1, 2001604608, 2352, ... ) == 0x0
 01171  2016   NtProtectVirtualMemory  (-1, (0x774e1000), 2352, 4, ... (0x774e1000), 4096, 32, ) == 0x0
 01172  2016   NtProtectVirtualMemory  (-1, (0x774e1000), 4096, 32, ... (0x774e1000), 4096, 4, ) == 0x0
 01173  2016   NtFlushInstructionCache  (-1, 2001604608, 2352, ... ) == 0x0
 01174  2016   NtProtectVirtualMemory  (-1, (0x774e1000), 2352, 4, ... (0x774e1000), 4096, 32, ) == 0x0
 01175  2016   NtProtectVirtualMemory  (-1, (0x774e1000), 4096, 32, ... (0x774e1000), 4096, 4, ) == 0x0
 01176  2016   NtFlushInstructionCache  (-1, 2001604608, 2352, ... ) == 0x0
 01177  2016   NtProtectVirtualMemory  (-1, (0x774e1000), 2352, 4, ... (0x774e1000), 4096, 32, ) == 0x0
 01178  2016   NtProtectVirtualMemory  (-1, (0x774e1000), 4096, 32, ... (0x774e1000), 4096, 4, ) == 0x0
 01179  2016   NtFlushInstructionCache  (-1, 2001604608, 2352, ... ) == 0x0
 01180  2016   NtProtectVirtualMemory  (-1, (0x774e1000), 2352, 4, ... (0x774e1000), 4096, 32, ) == 0x0
 01181  2016   NtProtectVirtualMemory  (-1, (0x774e1000), 4096, 32, ... (0x774e1000), 4096, 4, ) == 0x0
 01182  2016   NtFlushInstructionCache  (-1, 2001604608, 2352, ... ) == 0x0
 01183  2016   NtProtectVirtualMemory  (-1, (0x774e1000), 2352, 4, ... (0x774e1000), 4096, 32, ) == 0x0
 01184  2016   NtProtectVirtualMemory  (-1, (0x774e1000), 4096, 32, ... (0x774e1000), 4096, 4, ) == 0x0
 01185  2016   NtFlushInstructionCache  (-1, 2001604608, 2352, ... ) == 0x0
 01186  2016   NtProtectVirtualMemory  (-1, (0x774e1000), 2352, 4, ... (0x774e1000), 4096, 32, ) == 0x0
 01187  2016   NtProtectVirtualMemory  (-1, (0x774e1000), 4096, 32, ... (0x774e1000), 4096, 4, ) == 0x0
 01188  2016   NtFlushInstructionCache  (-1, 2001604608, 2352, ... ) == 0x0
 01189  2016   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ole32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01190  2016   NtAllocateVirtualMemory  (-1, 561152, 0, 4096, 4096, 4, ... 561152, 4096, ) == 0x0
 01191  2016   NtOpenFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\Device\KsecDD"}, 7, 16, ... 120, {status=0x0, info=0}, ) }, 7, 16, ... 120, {status=0x0, info=0}, ) == 0x0
 01192  2016   NtDeviceIoControlFile  (120, 0, 0x0, 0x0, 0x390008,  (120, 0, 0x0, 0x0, 0x390008, "9z\313\327z\272\361l\227\25\374\264\342\335\23\212\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 01193  2016   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 01194  2016   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 01195  2016   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 01196  2016   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 01197  2016   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 01198  2016   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 01199  2016   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 01200  2016   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147481368, 2, ) }, 0, 0x0, 0, ... -2147481368, 2, ) == 0x0
 01201  2016   NtSetValueKey  (-2147481368,  (-2147481368, "Seed", 0, 3, "^Z\354x#\317\320\224>\362\235XsL\353Lw\256in\7=\227T\200\303S\27\251\225 \367\202\247\276^,x|\244\12\222\212\212aE\275G0TU\374&\356\373>vzR}7\326\36\344\211!S\376\33\220\352#\3068_m\13;J:", 80, ... ) , 0, 3,  (-2147481368, "Seed", 0, 3, "^Z\354x#\317\320\224>\362\235XsL\353Lw\256in\7=\227T\200\303S\27\251\225 \367\202\247\276^,x|\244\12\222\212\212aE\275G0TU\374&\356\373>vzR}7\326\36\344\211!S\376\33\220\352#\3068_m\13;J:", 80, ... ) , 80, ... ) == 0x0
 01202  2016   NtClose  (-2147481368, ... ) == 0x0
 01192  2016   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "\438u7\352\335\353\201\261\251\3Z\25\363i\347\17G\212:\253\12\260`\227\2\262\212\276\321\271o\356\313\371d#\30\0*\371\207FOP\235\265\3419\6S\276\303\335>Ub\30Dc\24r\235+\21f\320\326\207\2\322Q\310\217\352]B\20QKKV!\256\243W\243\317,\301\12\254\347\34\376\35;\361\277\335\203\23\365\336\31-V\360\274\340\221\340\330\326\315\0bw\12\372%\305\2071\244\215\12\361G-|\26\226\33\237\325\27\274\276e~\320\333#\377\312\305\326\5e3\23\333\275\251D\250\35\24\13\327"\234S\265\203'K=QU\320\356y\355\231\331\251\325\264E\276\322\367wx\357$\367\267\317h\311\313\306\2358/\377L\374\271\266\331V0\234#z\243o\217@/B\332\10<\15A\24*&>\222\301&^Lyg\246>v\1R\305=\215\341k\2\314A\330a|}\3271\37\353 \320Q", ) \234S\265\203'K=QU\320\356y\355\231\331\251\325\264E\276\322\367wx\357$\367\267\317h\311\313\306\2358/\377L\374\271\266\331V0\234#z\243o\217@/B\332\10<\15A\24*&>\222\301&^Lyg\246>v\1R\305=\215\341k\2\314A\330a|}\3271\37\353 \320Q", ) == 0x0
 01203  2016   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 01204  2016   NtQuerySystemInformation  (Processor, 12, ... {system info, class 1, size 12}, 0x0, ) == 0x0
 01205  2016   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "SYSTEM\CurrentControlSet\Control\Session Manager"}, ... 124, ) }, ... 124, ) == 0x0
 01206  2016   NtQueryValueKey  (124,  (124, "CriticalSectionTimeout", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\215'\0"}, 16, ) , Partial, 144, ... TitleIdx=0, Type=4, Data= (124, "CriticalSectionTimeout", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\215'\0"}, 16, ) }, 16, ) == 0x0
 01207  2016   NtClose  (124, ... ) == 0x0
 01208  2016   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "Software\Microsoft\Ole"}, ... 124, ) }, ... 124, ) == 0x0
 01209  2016   NtQueryValueKey  (124,  (124, "RWLockResourceTimeOut", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01210  2016   NtClose  (124, ... ) == 0x0
 01211  2016   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 01212  2016   NtQuerySystemInformation  (Processor, 12, ... {system info, class 1, size 12}, 0x0, ) == 0x0
 01213  2016   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 01214  2016   NtQuerySystemInformation  (Processor, 12, ... {system info, class 1, size 12}, 0x0, ) == 0x0
 01215  2016   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Classes\Interface"}, ... 124, ) }, ... 124, ) == 0x0
 01216  2016   NtQueryValueKey  (124,  (124, "InterfaceHelperDisableAll", Full, 0, ... ) , Full, 0, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01217  2016   NtQueryValueKey  (124,  (124, "InterfaceHelperDisableAllForOle32", Full, 0, ... ) , Full, 0, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01218  2016   NtQueryValueKey  (124,  (124, "InterfaceHelperDisableTypeLib", Full, 0, ... ) , Full, 0, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01219  2016   NtClose  (124, ... ) == 0x0
 01220  2016   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Classes\Interface\{00020400-0000-0000-C000-000000000046}"}, ... 124, ) }, ... 124, ) == 0x0
 01221  2016   NtQueryValueKey  (124,  (124, "InterfaceHelperDisableAll", Full, 0, ... ) , Full, 0, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01222  2016   NtQueryValueKey  (124,  (124, "InterfaceHelperDisableAllForOle32", Full, 0, ... ) , Full, 0, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01223  2016   NtClose  (124, ... ) == 0x0
 01224  2016   NtOpenEvent  (0x1f0003, {24, 48, 0x0, 0, 0,  (0x1f0003, {24, 48, 0x0, 0, 0, "HookSwitchHookEnabledEvent"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01225  2016   NtUserFindExistingCursorIcon  (8383016, 8383032, 8383080, ... ) == 0x10003
 01226  2016   NtUserFindExistingCursorIcon  (8383016, 8383032, 8383080, ... ) == 0x10011
 01227  2016   NtGdiGetStockObject  (5, ... ) == 0x1900015
 01228  2016   NtUserGetClassInfo  (1968963584, 8383148, 8383712, 8383144, 0, ... ) == 0x0
 01229  2016   NtUserRegisterClassExWOW  (8383032, 8383100, 8383116, 8383132, 0, 384, 0, ... ) == 0x8169c079
 01230  2016   NtUserFindExistingCursorIcon  (8383016, 8383032, 8383080, ... ) == 0x10013
 01231  2016   NtUserGetClassInfo  (1968963584, 8383148, 8383712, 8383144, 0, ... ) == 0x0
 01232  2016   NtUserRegisterClassExWOW  (8383032, 8383100, 8383116, 8383132, 0, 384, 0, ... ) == 0x8169c07a
 01233  2016   NtUserRegisterWindowMessage  ( ("MSIMEService", ... ) , ... ) == 0xc07b
 01234  2016   NtUserRegisterWindowMessage  ( ("MSIMEUIReady", ... ) , ... ) == 0xc07c
 01235  2016   NtUserRegisterWindowMessage  ( ("MSIMEReconvertRequest", ... ) , ... ) == 0xc07d
 01236  2016   NtUserRegisterWindowMessage  ( ("MSIMEReconvert", ... ) , ... ) == 0xc07e
 01237  2016   NtUserRegisterWindowMessage  ( ("MSIMEDocumentFeed", ... ) , ... ) == 0xc07f
 01238  2016   NtUserRegisterWindowMessage  ( ("MSIMEQueryPosition", ... ) , ... ) == 0xc080
 01239  2016   NtUserRegisterWindowMessage  ( ("MSIMEModeBias", ... ) , ... ) == 0xc081
 01240  2016   NtUserRegisterWindowMessage  ( ("MSIMEShowImePad", ... ) , ... ) == 0xc082
 01241  2016   NtUserRegisterWindowMessage  ( ("MSIMEMouseOperation", ... ) , ... ) == 0xc083
 01242  2016   NtUserRegisterWindowMessage  ( ("MSIMEKeyMap", ... ) , ... ) == 0xc084
 01243  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\ntdll.dll"}, 8383908, ... ) }, 8383908, ... ) == 0x0
 01244  2016   NtUserMessageCall  (0x17010c, WM_NCCREATE, 0x0, 0x7ff950, 0, 670, 0, ... ) == 0x1
 01245  2016   NtUserMessageCall  (0x17010c, WM_NCCALCSIZE, 0x0, 0x7ff994, 0, 670, 0, ... ) == 0x0
 01246  2016   NtUserSetProp  (1507596, 43288, -1, ... ) == 0x1
 01247  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01248  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01249  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01250  2016   NtUserUpdateInputContext  (537329821, 1, 1507596, ... ) == 0x1
 01251  2016   NtOpenKey  (0x2000000, {24, 100, 0x40, 0, 0,  (0x2000000, {24, 100, 0x40, 0, 0, "SOFTWARE\Microsoft\CTF"}, ... 124, ) }, ... 124, ) == 0x0
 01252  2016   NtQueryValueKey  (124,  (124, "Disable Thread Input Manager", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01253  2016   NtClose  (124, ... ) == 0x0
 01254  2016   NtOpenThreadToken  (-2, 0x8, 0, ... ) == STATUS_NO_TOKEN
 01255  2016   NtOpenProcessToken  (-1, 0xa, ... 124, ) == 0x0
 01256  2016   NtDuplicateToken  (124, 0xc, {24, 0, 0x0, 0, 8385740, 0x0}, 0, 2, ... 128, ) == 0x0
 01257  2016   NtClose  (124, ... ) == 0x0
 01258  2016   NtAccessCheck  (562560, 128, 0x1, 8385816, 8385868, 56, 8385848, ... (0x1), ) == 0x0
 01259  2016   NtClose  (128, ... ) == 0x0
 01260  2016   NtOpenKey  (0x2000000, {24, 16, 0x40, 0, 0,  (0x2000000, {24, 16, 0x40, 0, 0, "Software\Microsoft\CTF\SystemShared"}, ... 128, ) }, ... 128, ) == 0x0
 01261  2016   NtQueryValueKey  (128,  (128, "CUAS", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 144, ... TitleIdx=0, Type=4, Data= (128, "CUAS", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 01262  2016   NtClose  (128, ... ) == 0x0
 01263  2016   NtUserGetImeInfoEx  (8385632, 0, ... ) == 0x1
 01264  2016   NtWaitForSingleObject  (112, 0, {-1000000, -1}, ... ) == 0x0
 01265  2016   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 01266  2016   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 128, ) == 0x0
 01267  2016   NtQueryInformationToken  (128, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 01268  2016   NtClose  (128, ... ) == 0x0
 01269  2016   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01270  2016   NtReleaseMutant  (112, ... 0x0, ) == 0x0
 01271  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 8382664, ... ) }, 8382664, ... ) == 0x0
 01272  2016   NtUserGetThreadState  (16, ... ) == 0x0
 01273  2016   NtOpenThreadToken  (-2, 0x8, 0, ... ) == STATUS_NO_TOKEN
 01274  2016   NtOpenProcessToken  (-1, 0xa, ... 128, ) == 0x0
 01275  2016   NtDuplicateToken  (128, 0xc, {24, 0, 0x0, 0, 8384664, 0x0}, 0, 2, ... 124, ) == 0x0
 01276  2016   NtClose  (128, ... ) == 0x0
 01277  2016   NtAccessCheck  (562560, 124, 0x1, 8384740, 8384792, 56, 8384772, ... (0x1), ) == 0x0
 01278  2016   NtClose  (124, ... ) == 0x0
 01279  2016   NtUserGetClassInfo  (1968963584, 8384384, 8384328, 8384376, 0, ... ) == 0xc079
 01280  2016   NtUserMessageCall  (0x90130, WM_NCCALCSIZE, 0x0, 0x7ff994, 0, 670, 1, ... ) == 0x0
 01281  2016   NtUserGetClassName  (590128, 0, 8386108, ... ) == 0x6
 01282  2016   NtUserRemoveProp  (590128, 43282, ... ) == 0x0
 01283  2016   NtRequestWaitReplyPort  (24, {24, 52, new_msg, 0, 5570592, 73, 1441813, 29840}  (24, {24, 52, new_msg, 0, 5570592, 73, 1441813, 29840} "\0\0\0\0\5\4\3\0\2\0\0\0\1\0\5\0\340\7\0\0\304\364\177\0" ... {24, 52, reply, 0, 1252, 2016, 81846, 0} "\0\0\0\0\5\4\3\0\0\0\0\0\1\0\5\0\340\7\0\0\0\0\0\0" )  ... {24, 52, reply, 0, 1252, 2016, 81846, 0}  (24, {24, 52, new_msg, 0, 5570592, 73, 1441813, 29840} "\0\0\0\0\5\4\3\0\2\0\0\0\1\0\5\0\340\7\0\0\304\364\177\0" ... {24, 52, reply, 0, 1252, 2016, 81846, 0} "\0\0\0\0\5\4\3\0\0\0\0\0\1\0\5\0\340\7\0\0\0\0\0\0" )  ) == 0x0
 01284  2016   NtUserGetThreadDesktop  (2016, 0, ... ) == 0x24
 01285  2016   NtUserGetObjectInformation  (36, 2, 8385792, 520, 0, ... ) == 0x1
 01286  2016   NtGdiDeleteObjectApp  (1880098012, ... ) == 0x1
 01287  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01288  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01289  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01290  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01291  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01292  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01293  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01294  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01295  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01296  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01297  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01298  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01299  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01300  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01301  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01302  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01303  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01304  2016   NtGdiCreatePatternBrushInternal  (59048383, 0, 0, ... ) == 0x711004dc
 01305  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01306  2016   NtUserSetProp  (590128, 43288, 2501216, ... ) == 0x1
 00860  2016   NtUserCreateWindowEx  ... ) == 0x90130
 01307  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01308  2016   NtUserCallHwndLock  (590128, 90, ... ) == 0x1
 01309  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01310  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01311  2016   NtUserGetAtomName  (49177, 8387008, ... ) == 0x6
 01312  2016   NtUserCreateWindowEx  (-2147483644, 49177, 49177,  (-2147483644, 49177, 49177, "Verifying File:", 1342308352, 11, 16, 87, 13, 590128, 101, 0, 0, 1073742848, 0, ... , 1342308352, 11, 16, 87, 13, 590128, 101, 0, 0, 1073742848, 0, ...
 01313  2016   NtUserSetWindowFNID  (786756, 680, ... ) == 0x1
 01314  2016   NtUserSetWindowLong  (786756, 0, 563000, 0, ... ) == 0x0
 01315  2016   NtUserMessageCall  (0xc0144, WM_NCCREATE, 0x0, 0x7ff948, 0, 670, 1, ... ) == 0x1
 01316  2016   NtUserMessageCall  (0xc0144, WM_NCCALCSIZE, 0x0, 0x7ff994, 0, 670, 1, ... ) == 0x0
 01317  2016   NtUserSetProp  (786756, 43288, -1, ... ) == 0x1
 01312  2016   NtUserCreateWindowEx  ... ) == 0xc0144
 01318  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01319  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01320  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01321  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01322  2016   NtUserGetAtomName  (49177, 8387008, ... ) == 0x6
 01323  2016   NtUserCreateWindowEx  (-2147483644, 49177, 49177, "", 1342308352, 11, 34, 87, 13, 590128, 102, 0, 0, 1073742848, 0, ...
 01324  2016   NtUserSetWindowFNID  (655666, 680, ... ) == 0x1
 01325  2016   NtUserSetWindowLong  (655666, 0, 562976, 0, ... ) == 0x0
 01326  2016   NtUserMessageCall  (0xa0132, WM_NCCREATE, 0x0, 0x7ff964, 0, 670, 1, ... ) == 0x1
 01327  2016   NtUserMessageCall  (0xa0132, WM_NCCALCSIZE, 0x0, 0x7ff994, 0, 670, 1, ... ) == 0x0
 01328  2016   NtUserSetProp  (655666, 43288, -1, ... ) == 0x1
 01323  2016   NtUserCreateWindowEx  ... ) == 0xa0132
 01329  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 01330  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 01331  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 01332  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 01333  2016   NtUserGetAtomName  (49177, 8387008, ... ) == 0x6
 01334  2016   NtUserCreateWindowEx  (-2147483644, 49177, 49177, "", 1342308352, 101, 16, 225, 13, 590128, 104, 0, 0, 1073742848, 0, ...
 01335  2016   NtUserSetWindowFNID  (655682, 680, ... ) == 0x1
 01336  2016   NtUserSetWindowLong  (655682, 0, 562952, 0, ... ) == 0x0
 01337  2016   NtUserMessageCall  (0xa0142, WM_NCCREATE, 0x0, 0x7ff964, 0, 670, 1, ... ) == 0x1
 01338  2016   NtUserMessageCall  (0xa0142, WM_NCCALCSIZE, 0x0, 0x7ff994, 0, 670, 1, ... ) == 0x0
 01339  2016   NtUserSetProp  (655682, 43288, -1, ... ) == 0x1
 01334  2016   NtUserCreateWindowEx  ... ) == 0xa0142
 01340  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 01341  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 01342  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 01343  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 01344  2016   NtUserGetAtomName  (49177, 8387008, ... ) == 0x6
 01345  2016   NtUserCreateWindowEx  (-2147483644, 49177, 49177, "", 1342308352, 101, 34, 225, 13, 590128, 105, 0, 0, 1073742848, 0, ...
 01346  2016   NtUserSetWindowFNID  (721174, 680, ... ) == 0x1
 01347  2016   NtUserSetWindowLong  (721174, 0, 562928, 0, ... ) == 0x0
 01348  2016   NtUserMessageCall  (0xb0116, WM_NCCREATE, 0x0, 0x7ff964, 0, 670, 1, ... ) == 0x1
 01349  2016   NtUserMessageCall  (0xb0116, WM_NCCALCSIZE, 0x0, 0x7ff994, 0, 670, 1, ... ) == 0x0
 01350  2016   NtUserSetProp  (721174, 43288, -1, ... ) == 0x1
 01345  2016   NtUserCreateWindowEx  ... ) == 0xb0116
 01351  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 01352  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 01353  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 01354  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 01355  2016   NtUserCreateWindowEx  (-2147483644, 8388244, 8387060, "", 1342177280, 12, 65, 308, 20, 590128, 106, 0, 0, 1073742848, 0, ...
 01356  2016   NtUserMessageCall  (0x100100, WM_NCCREATE, 0x0, 0x7ff940, 0, 670, 0, ... ) == 0x1
 01357  2016   NtUserMessageCall  (0x100100, WM_NCCALCSIZE, 0x0, 0x7ff994, 0, 670, 0, ... ) == 0x0
 01358  2016   NtUserSetProp  (1048832, 43288, -1, ... ) == 0x1
 01359  2016   NtUserRegisterWindowMessage  ( ("ShellGetDragImage", ... ) , ... ) == 0xc03a
 01360  2016   NtUserSystemParametersInfo  (104, 0, 1561338260, 0, ... ) == 0x1
 01361  2016   NtUserSystemParametersInfo  (38, 4, 1561337988, 0, ... ) == 0x1
 01362  2016   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 01363  2016   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 124, ) == 0x0
 01364  2016   NtQueryInformationToken  (124, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 01365  2016   NtClose  (124, ... ) == 0x0
 01366  2016   NtOpenKey  (0x20019, {24, 0, 0x640, 0, 0,  (0x20019, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... 124, ) }, ... 124, ) == 0x0
 01367  2016   NtOpenProcessToken  (-1, 0x8, ... 128, ) == 0x0
 01368  2016   NtAccessCheck  (562560, 128, 0x1, 8385808, 8385860, 56, 8385840, ... ) == STATUS_NO_IMPERSONATION_TOKEN
 01369  2016   NtClose  (128, ... ) == 0x0
 01370  2016   NtOpenKey  (0x20019, {24, 124, 0x40, 0, 0,  (0x20019, {24, 124, 0x40, 0, 0, "Control Panel\Desktop"}, ... 128, ) }, ... 128, ) == 0x0
 01371  2016   NtQueryValueKey  (128,  (128, "SmoothScroll", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01372  2016   NtClose  (128, ... ) == 0x0
 01373  2016   NtUserSystemParametersInfo  (41, 500, 8385988, 0, ... ) == 0x1
 01374  2016   NtUserSystemParametersInfo  (102, 0, 1561338280, 0, ... ) == 0x1
 01375  2016   NtClose  (124, ... ) == 0x0
 01376  2016   NtUserSetWindowLong  (1048832, 0, 555896, 0, ... ) == 0x0
 01377  2016   NtUserSetWindowLong  (1048832, -20, 131076, 0, ...
 01378  2016   NtUserRemoveProp  (1048832, 43288, ... ) == 0xffffffff
 01379  2016   NtUserRemoveProp  (1048832, 43282, ... ) == 0x0
 01380  2016   NtUserSetProp  (1048832, 43288, -1, ... ) == 0x1
 01381  2016   NtUserRemoveProp  (1048832, 43288, ... ) == 0xffffffff
 01382  2016   NtUserRemoveProp  (1048832, 43282, ... ) == 0x0
 01383  2016   NtUserSetProp  (1048832, 43288, -1, ... ) == 0x1
 01377  2016   NtUserSetWindowLong  ... ) == 0x4
 01384  2016   NtUserSetWindowPos  (1048832, 0, 0, 0, 0, 0, 55, ...
 01385  2016   NtUserMessageCall  (0x100100, WM_NCCALCSIZE, 0x1, 0x7ff744, 0, 670, 0, ... ) == 0x0
 01384  2016   NtUserSetWindowPos  ... ) == 0x1
 01355  2016   NtUserCreateWindowEx  ... ) == 0x100100
 01386  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01387  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01388  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01389  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01390  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01391  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01392  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01393  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01394  2016   NtSetEvent  (60, ...
 00840   896   NtWaitForSingleObject  ... ) == 0x0
 01395   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01396   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 01397   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x84c10, 0, 688, 1, ...
 01394  2016   NtSetEvent  ... 0x0, ) == 0x0
 01398  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01399  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01400  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01401  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01402  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01403  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01404  2016   NtUserGetClassName  (786756, 0, 8387500, ... ) == 0x6
 01405  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01406  2016   NtUserGetClassName  (655666, 0, 8387500, ... ) == 0x6
 01407  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 01408  2016   NtUserGetClassName  (655682, 0, 8387500, ... ) == 0x6
 01409  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 01410  2016   NtUserGetClassName  (721174, 0, 8387500, ... ) == 0x6
 01411  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 01412  2016   NtUserGetClassName  (1048832, 0, 8387500, ... ) == 0x11
 01413  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01414  2016   NtUserGetAncestor  (590128, 1, ... ) == 0x10014
 01415  2016   NtUserValidateHandleSecure  (65556, ... ) == 0x1
 01416  2016   NtUserSetWindowPos  (590128, 0, 344, 304, 336, 130, 1047, ... ) == 0x1
 01417  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01418  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01419  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01420  2016   NtUserSetFocus  (786756, ...
 01421  2016   NtUserPostThreadMessage  (2016, 49313, 17, 786756, ... ) == 0x1
 01422  2016   NtUserGetForegroundWindow  (... ) == 0xf0104
 01423  2016   NtUserMessageCall  (0x90130, WM_NCACTIVATE, 0x0, 0xffffffff, 0, 670, 1, ... ) == 0x1
 01424  2016   NtAllocateVirtualMemory  (-1, 2510848, 0, 4096, 4096, 4, ... 2510848, 4096, ) == 0x0
 01425  2016   NtUserInternalGetWindowText  (0x90130, 260, ...  (0x90130, 260, ... "Extracting Files", ) , ) == 0x10
 01426  2016   NtUserGetWindowDC  (590128, ... ) == 0x1010050
 01427  2016   NtGdiGetTextMetricsW  (16842832, 8386516, 68, ... ) == 0x1
 01428  2016   NtGdiCreateRectRgn  (0, 0, 1, 1, ... ) == 0xd00406b6
 01429  2016   NtGdiGetRandomRgn  (16842832, -805042506, 1, ... ) == 0x0
 01430  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 0, 0, ... ) == 0x3
 01431  2016   NtGdiGetWidthTable  (16842832, 16, 563720, 272, 564264, 563088, 563104, ... ) == 0x1
 01432  2016   NtGdiExtSelectClipRgn  (16842832, 0, 5, ... ) == 0x1
 01433  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 01434  2016   NtUserCalcMenuBar  (590128, 3, 3, 29, 2501400, ... ) == 0x0
 01435  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 8386476, 690, 0, ...
 01436  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 0, 670, 1, ... ) == 0x0
 01435  2016   NtUserMessageCall  ... ) == 0x0
 01437  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 8386476, 690, 0, ...
 01438  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 0, 670, 1, ... ) == 0x0
 01437  2016   NtUserMessageCall  ... ) == 0x0
 01439  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 8386476, 690, 0, ...
 01440  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 01439  2016   NtUserMessageCall  ... ) == 0x0
 01441  2016   NtUserGetTitleBarInfo  (590128, 8387108, ... ) == 0x1
 01442  2016   NtUserGetDCEx  (590128, 0, 66561, ... ) == 0x1010053
 01443  2016   NtGdiExcludeClipRect  (16842835, 3, 29, 333, 127, ... ) == 0x3
 01444  2016   NtGdiDrawStream  (16842835, 96, 8386592, ... ) == 0x1
 01445  2016   NtGdiDrawStream  (16842835, 96, 8386592, ... ) == 0x1
 01446  2016   NtGdiDrawStream  (16842835, 96, 8386592, ... ) == 0x1
 01447  2016   NtGdiCreateCompatibleBitmap  (16842835, 336, 29, ... ) == 0x210505f7
 01448  2016   NtGdiCreateCompatibleDC  (16842835, ... ) == 0xcc0106aa
 01449  2016   NtGdiSelectBitmap  (-872347990, 553977335, ... ) == 0x185000f
 01450  2016   NtGdiDrawStream  (-872347990, 96, 8386484, ... ) == 0x1
 01451  2016   NtGdiDrawStream  (-872347990, 96, 8386440, ... ) == 0x1
 01452  2016   NtGdiDrawStream  (-872347990, 96, 8386440, ... ) == 0x1
 01453  2016   NtUserInternalGetWindowText  (0x90130, 260, ...  (0x90130, 260, ... "Extracting Files", ) , ) == 0x10
 01454  2016   NtGdiGetRandomRgn  (-872347990, -788265290, 1, ... ) == 0x0
 01455  2016   NtGdiIntersectClipRect  (-872347990, 7, 7, 307, 25, ... ) == 0x3
 01456  2016   NtGdiExtSelectClipRgn  (-872347990, 0, 5, ... ) == 0x2
 01457  2016   NtGdiBitBlt  (16842835, 0, 0, 336, 29, -872347990, 0, 0, 13369376, -1, 0, ... ) == 0x1
 01458  2016   NtGdiSelectBitmap  (-872347990, 25493519, ... ) == 0x210505f7
 01459  2016   NtGdiDeleteObjectApp  (-872347990, ... ) == 0x1
 01460  2016   NtGdiDeleteObjectApp  (553977335, ... ) == 0x1
 01461  2016   NtUserCallOneParam  (16842835, 57, ... ) == 0x1
 01462  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01463  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01464  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01465  2016   NtUserGetThreadState  (13, ... ) == 0x0
 01466  2016   NtUserUpdateInputContext  (537329821, 0, 533192, ... ) == 0x1
 01467  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01468  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01469  2016   NtUserQueryInputContext  (537329821, 1, ... ) == 0x7e0
 01470  2016   NtUserCallOneParam  (0, 40, ... ) == 0x4090409
 01471  2016   NtUserQueryInputContext  (537329821, 2, ... ) == 0x17010c
 01472  2016   NtAllocateVirtualMemory  (-1, 0, 0, 524280, 8192, 4, ... 9240576, 524288, ) == 0x0
 01473  2016   NtAllocateVirtualMemory  (-1, 9240576, 0, 4096, 4096, 4, ... 9240576, 4096, ) == 0x0
 01474  2016   NtUserCallOneParam  (2016, 40, ... ) == 0x4090409
 01475  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01476  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01477  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01478  2016   NtAllocateVirtualMemory  (-1, 565248, 0, 4096, 4096, 4, ... 565248, 4096, ) == 0x0
 01479  2016   NtUserGetDC  (0, ... ) == 0x1010052
 01480  2016   NtGdiGetDCObject  (16842834, 655360, ... ) == 0x18a0021
 01481  2016   NtGdiExtGetObjectW  (25821217, 92, 8386968, ... ) == 0x5c
 01482  2016   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 01483  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01484  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01485  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01486  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01487  2016   NtUserCallOneParam  (0, 40, ... ) == 0x4090409
 01488  2016   NtUserCallOneParam  (0, 40, ... ) == 0x4090409
 01489  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01490  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01491  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01492  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01493  2016   NtUserQueryWindow  (786756, 7, ... ) == 0x17010c
 01494  2016   NtUserGetImeInfoEx  (8385876, 0, ... ) == 0x1
 01495  2016   NtUserGetClassInfo  (1968963584, 8385260, 8385204, 8385252, 0, ... ) == 0xc079
 01496  2016   NtUserCreateWindowEx  (0, 8385656, 8384420,  (0, 8385656, 8384420, "MSCTFIME UI", -2013265920, 0, 0, 0, 0, 1507596, 0, 1968963584, 0, 1073742848, 0, ... , -2013265920, 0, 0, 0, 0, 1507596, 0, 1968963584, 0, 1073742848, 0, ...
 01497  2016   NtUserGetIconSize  (65539, 0, 8383180, 8383184, ... ) == 0x1
 01498  2016   NtUserGetIconInfo  (65539, 8383156, 8383148, 8383140, 8383176, 1, ... ) == 0x1
 01499  2016   NtUserFindExistingCursorIcon  (8382920, 8382936, 8383112, ... ) == 0x10003
 01500  2016   NtGdiExtGetObjectW  (570754551, 24, 8382920, ... ) == 0x18
 01501  2016   NtGdiGetDIBitsInternal  (-2046752853, 570754551, 0, 64, 566536, 566488, 0, 256, 0, ... ) == 0x40
 01502  2016   NtUserGetDC  (0, ... ) == 0x1010052
 01503  2016   NtGdiCreateDIBitmapInternal  (16842834, 16, 32, 2, 0, 2118583256, 0, 48, 0, 0, 0, ... ) == 0x9b0505fe
 01504  2016   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 01505  2016   NtGdiSelectBitmap  (-2046752853, -1694169602, ... ) == 0x185000f
 01506  2016   NtGdiDoPalette  (-2046752853, 0, 1, 8382780, 4, 0, ... ) == 0x1
 01507  2016   NtGdiStretchDIBitsInternal  (-2046752853, 0, 0, 16, 32, 0, 0, 32, 64, 566536, 564248, 0, 13369376, 48, 256, 0, ... ) == 0x40
 01508  2016   NtGdiSelectBitmap  (-2046752853, 25493519, ... ) == 0x9b0505fe
 01509  2016   NtGdiCreateCompatibleDC  (-2046752853, ... ) == 0x6301069f
 01510  2016   NtGdiExtGetObjectW  (-1694169602, 24, 8382804, ... ) == 0x18
 01511  2016   NtGdiCreateBitmap  (16, 32, 1, 1, 0, ... ) == 0xa405056a
 01512  2016   NtGdiSelectBitmap  (-2046752853, -1694169602, ... ) == 0x185000f
 01513  2016   NtGdiSelectBitmap  (1661011615, -1543174806, ... ) == 0x185000f
 01514  2016   NtGdiBitBlt  (1661011615, 0, 0, 16, 32, -2046752853, 0, 0, 13369376, -1, 0, ... ) == 0x1
 01515  2016   NtGdiSelectBitmap  (-2046752853, 25493519, ... ) == 0x9b0505fe
 01516  2016   NtGdiSelectBitmap  (1661011615, 25493519, ... ) == 0xa405056a
 01517  2016   NtGdiDeleteObjectApp  (-1694169602, ... ) == 0x1
 01518  2016   NtGdiDeleteObjectApp  (1661011615, ... ) == 0x1
 01519  2016   NtGdiExtGetObjectW  (-653982136, 24, 8382920, ... ) == 0x18
 01520  2016   NtAllocateVirtualMemory  (-1, 569344, 0, 8192, 4096, 4, ... 569344, 8192, ) == 0x0
 01521  2016   NtGdiGetDIBitsInternal  (-2046752853, -653982136, 0, 32, 566852, 566800, 0, 4096, 0, ... ) == 0x20
 01522  2016   NtUserGetDC  (0, ... ) == 0x1010052
 01523  2016   NtGdiCreateCompatibleBitmap  (16842834, 16, 16, ... ) == 0x6505069f
 01524  2016   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 01525  2016   NtGdiSelectBitmap  (-2046752853, 1694828191, ... ) == 0x185000f
 01526  2016   NtGdiDoPalette  (-2046752853, 0, 1, 8382780, 4, 0, ... ) == 0x0
 01527  2016   NtGdiStretchDIBitsInternal  (-2046752853, 0, 0, 16, 16, 0, 0, 32, 32, 566852, 564248, 0, 13369376, 40, 4096, 0, ... ) == 0x20
 01528  2016   NtGdiSelectBitmap  (-2046752853, 25493519, ... ) == 0x6505069f
 01529  2016   NtGdiDeleteObjectApp  (570754551, ... ) == 0x1
 01530  2016   NtGdiDeleteObjectApp  (-653982136, ... ) == 0x1
 01531  2016   NtUserCallOneParam  (0, 33, ... ) == 0x2c0293
 01532  2016   NtUserSetCursorIconData  (2884243, 8382964, 8382980, 8383024, ... ) == 0x1
 01533  2016   NtUserMessageCall  (0x80118, WM_NCCREATE, 0x0, 0x7fef1c, 0, 670, 1, ... ) == 0x1
 01534  2016   NtUserMessageCall  (0x80118, WM_NCCALCSIZE, 0x0, 0x7fef44, 0, 670, 1, ... ) == 0x0
 01535  2016   NtUserSetProp  (524568, 43288, -1, ... ) == 0x1
 01536  2016   NtUserSetWindowLong  (524568, 4, 562536, 1, ... ) == 0x0
 01496  2016   NtUserCreateWindowEx  ... ) == 0x80118
 01537  2016   NtUserSetWindowLong  (524568, 0, 537329821, 0, ... ) == 0x0
 01538  2016   NtUserGetThreadState  (17, ... ) == 0x0
 01539  2016   NtUserQueryWindow  (1507596, 3, ... ) == 0xc0144
 01540  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01541  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01542  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01543  2016   NtUserValidateHandleSecure  (524568, ... ) == 0x1
 01544  2016   NtUserSetWindowLong  (524568, 0, 537329821, 0, ... ) == 0x2007009d
 01545  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01546  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01547  2016   NtUserSetImeOwnerWindow  (1507596, 786756, ... ) == 0x1
 01548  2016   NtUserValidateHandleSecure  (524568, ... ) == 0x1
 01549  2016   NtUserValidateHandleSecure  (524568, ... ) == 0x1
 01550  2016   NtUserValidateHandleSecure  (524568, ... ) == 0x1
 01551  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01552  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\Msimtf.dll"}, 8382976, ... ) }, 8382976, ... ) == 0x0
 01553  2016   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\Msimtf.dll"}, 5, 96, ... 124, {status=0x0, info=1}, ) }, 5, 96, ... 124, {status=0x0, info=1}, ) == 0x0
 01554  2016   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 124, ... 128, ) == 0x0
 01555  2016   NtClose  (124, ... ) == 0x0
 01556  2016   NtMapViewOfSection  (128, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x950000), 0x0, 159744, ) == 0x0
 01557  2016   NtClose  (128, ... ) == 0x0
 01558  2016   NtUnmapViewOfSection  (-1, 0x950000, ... ) == 0x0
 01559  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01560  2016   NtUserKillTimer  (524568, 1, ... ) == 0x0
 01561  2016   NtUserSetTimer  (524568, 1, 300, 0, ... ) == 0x1
 01562  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01563  2016   NtUserCallNoParam  (7, ... ) == 0x1
 01564  2016   NtUserQueryWindow  (1507596, 3, ... ) == 0xc0144
 01565  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01566  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01567  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01568  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01569  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01570  2016   NtUserQueryWindow  (786756, 7, ... ) == 0x17010c
 01571  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01572  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01573  2016   NtUserValidateHandleSecure  (524568, ... ) == 0x1
 01574  2016   NtUserValidateHandleSecure  (524568, ... ) == 0x1
 01575  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01576  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01577  2016   NtUserCallHwndLock  (1507596, 86, ... ) == 0x1
 01578  2016   NtUserNotifyIMEStatus  (786756, 0, 1, ... ) == 0x8169c020
 01420  2016   NtUserSetFocus  ... ) == 0x0
 01579  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01580  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01581  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01582  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01583  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01584  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01585  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01586  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01587  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01588  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01589  2016   NtUserMessageCall  (0x90130, 0x128, 0x30001, 0x0, 0, 670, 1, ...
 01590  2016   NtUserMessageCall  (0xc0144, 0x128, 0x30001, 0x0, 0, 670, 1, ... ) == 0x0
 01591  2016   NtUserMessageCall  (0xa0132, 0x128, 0x30001, 0x0, 0, 670, 1, ... ) == 0x0
 01592  2016   NtUserMessageCall  (0xa0142, 0x128, 0x30001, 0x0, 0, 670, 1, ... ) == 0x0
 01593  2016   NtUserMessageCall  (0xb0116, 0x128, 0x30001, 0x0, 0, 670, 1, ... ) == 0x0
 01594  2016   NtUserMessageCall  (0x100100, 0x128, 0x30001, 0x0, 0, 670, 0, ... ) == 0x0
 01589  2016   NtUserMessageCall  ... ) == 0x0
 01595  2016   NtUserCallHwndLock  (590128, 91, ... ) == 0x0
 01596  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01597  2016   NtUserShowWindow  (590128, 1, ...
 01598  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01599  2016   NtUserInternalGetWindowText  (0x90130, 260, ...  (0x90130, 260, ... "Extracting Files", ) , ) == 0x10
 01600  2016   NtUserGetWindowDC  (590128, ... ) == 0x1010053
 01601  2016   NtGdiGetRandomRgn  (16842835, -771488074, 1, ... ) == 0x0
 01602  2016   NtGdiIntersectClipRect  (16842835, 0, 0, 0, 0, ... ) == 0x3
 01603  2016   NtGdiGetCharSet  (16842835, ... ) == 0x4e4
 01604  2016   NtGdiExtSelectClipRgn  (16842835, 0, 5, ... ) == 0x2
 01605  2016   NtUserCallOneParam  (16842835, 57, ... ) == 0x1
 01606  2016   NtUserCalcMenuBar  (590128, 3, 3, 29, 2501400, ... ) == 0x0
 01607  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 8386472, 690, 0, ...
 01608  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 0, 670, 1, ... ) == 0x0
 01607  2016   NtUserMessageCall  ... ) == 0x0
 01609  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 8386472, 690, 0, ...
 01610  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 0, 670, 1, ... ) == 0x0
 01609  2016   NtUserMessageCall  ... ) == 0x0
 01611  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 8386472, 690, 0, ...
 01612  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 01611  2016   NtUserMessageCall  ... ) == 0x0
 01613  2016   NtUserGetTitleBarInfo  (590128, 8387104, ... ) == 0x1
 01614  2016   NtUserGetDCEx  (590128, 0, 66561, ... ) == 0x1010050
 01615  2016   NtGdiExcludeClipRect  (16842832, 3, 29, 333, 127, ... ) == 0x3
 01616  2016   NtGdiDrawStream  (16842832, 96, 8386588, ... ) == 0x1
 01617  2016   NtGdiDrawStream  (16842832, 96, 8386588, ... ) == 0x1
 01618  2016   NtGdiDrawStream  (16842832, 96, 8386588, ... ) == 0x1
 01619  2016   NtGdiCreateCompatibleBitmap  (16842832, 336, 29, ... ) == 0x270505f7
 01620  2016   NtGdiCreateCompatibleDC  (16842832, ... ) == 0xc0103d2
 01621  2016   NtGdiSelectBitmap  (201393106, 654640631, ... ) == 0x185000f
 01622  2016   NtGdiDrawStream  (201393106, 96, 8386480, ... ) == 0x1
 01623  2016   NtGdiDrawStream  (201393106, 96, 8386436, ... ) == 0x1
 01624  2016   NtGdiDrawStream  (201393106, 96, 8386436, ... ) == 0x1
 01625  2016   NtUserInternalGetWindowText  (0x90130, 260, ...  (0x90130, 260, ... "Extracting Files", ) , ) == 0x10
 01626  2016   NtGdiGetRandomRgn  (201393106, -754710858, 1, ... ) == 0x0
 01627  2016   NtGdiIntersectClipRect  (201393106, 8, 8, 308, 25, ... ) == 0x3
 01628  2016   NtGdiExtSelectClipRgn  (201393106, 0, 5, ... ) == 0x2
 01629  2016   NtGdiGetRandomRgn  (201393106, -737933642, 1, ... ) == 0x0
 01630  2016   NtGdiIntersectClipRect  (201393106, 7, 7, 307, 25, ... ) == 0x3
 01631  2016   NtGdiExtSelectClipRgn  (201393106, 0, 5, ... ) == 0x2
 01632  2016   NtGdiBitBlt  (16842832, 0, 0, 336, 29, 201393106, 0, 0, 13369376, -1, 0, ... ) == 0x1
 01633  2016   NtGdiSelectBitmap  (201393106, 25493519, ... ) == 0x270505f7
 01634  2016   NtGdiDeleteObjectApp  (201393106, ... ) == 0x1
 01635  2016   NtGdiDeleteObjectApp  (654640631, ... ) == 0x1
 01636  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 01637  2016   NtUserFillWindow  (590128, 590128, 16842833, 4, ...
 01638  2016   NtUserGetAncestor  (590128, 1, ... ) == 0x10014
 01639  2016   NtUserValidateHandleSecure  (65556, ... ) == 0x1
 01640  2016   NtUserGetAncestor  (65556, 1, ... ) == 0x0
 01637  2016   NtUserFillWindow  ... ) == 0x1
 01641  2016   NtUserInternalGetWindowText  (0x90130, 260, ...  (0x90130, 260, ... "Extracting Files", ) , ) == 0x10
 01642  2016   NtUserGetWindowDC  (590128, ... ) == 0x1010053
 01643  2016   NtGdiGetRandomRgn  (16842835, -721156426, 1, ... ) == 0x0
 01644  2016   NtGdiIntersectClipRect  (16842835, 0, 0, 0, 0, ... ) == 0x3
 01645  2016   NtGdiGetCharSet  (16842835, ... ) == 0x4e4
 01646  2016   NtGdiExtSelectClipRgn  (16842835, 0, 5, ... ) == 0x2
 01647  2016   NtUserCallOneParam  (16842835, 57, ... ) == 0x1
 01648  2016   NtUserCalcMenuBar  (590128, 3, 3, 29, 2501400, ... ) == 0x0
 01649  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 8386764, 690, 0, ...
 01650  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 0, 670, 1, ... ) == 0x0
 01649  2016   NtUserMessageCall  ... ) == 0x0
 01651  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 8386764, 690, 0, ...
 01652  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 0, 670, 1, ... ) == 0x0
 01651  2016   NtUserMessageCall  ... ) == 0x0
 01653  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 8386764, 690, 0, ...
 01654  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 01653  2016   NtUserMessageCall  ... ) == 0x0
 01655  2016   NtUserGetTitleBarInfo  (590128, 8387396, ... ) == 0x1
 01656  2016   NtUserBuildHwndList  (0, 590128, 1, 0, 64, ... (0xc0144, 0xa0132, 0xa0142, 0xb0116, 0x100100, 0x1, ), 6, ) == 0x0
 01657  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01658  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01659  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01660  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 01661  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 01662  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 01663  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 01664  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 01665  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 01666  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 01667  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 01668  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 01669  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01670  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01671  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01672  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01673  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01674  2016   NtGdiExtCreateRegion  (0, 112, 2502360, ... ) == 0x290405f7
 01675  2016   NtGdiOffsetRgn  (688129527, 0, 0, ... ) == 0x3
 01676  2016   NtGdiCombineRgn  (-704379210, 688129527, -704379210, 5, ... ) == 0x3
 01677  2016   NtGdiCreateRectRgn  (0, 0, 1, 1, ... ) == 0xd0403d2
 01678  2016   NtGdiCombineRgn  (-704379210, 218366930, -704379210, 2, ... ) == 0x3
 01679  2016   NtGdiCreateRectRgn  (0, 0, 1, 1, ... ) == 0x9d0405fe
 01680  2016   NtGdiCombineRgn  (-704379210, -1660680706, -704379210, 2, ... ) == 0x3
 01681  2016   NtGdiCreateRectRgn  (0, 0, 1, 1, ... ) == 0xe20405ed
 01682  2016   NtGdiCombineRgn  (-704379210, -503052819, -704379210, 2, ... ) == 0x3
 01683  2016   NtGdiCreateRectRgn  (0, 0, 1, 1, ... ) == 0xc4040679
 01684  2016   NtGdiCombineRgn  (-704379210, -1006369159, -704379210, 2, ... ) == 0x3
 01685  2016   NtGdiCreateRectRgn  (0, 0, 1, 1, ... ) == 0x95040580
 01686  2016   NtGdiCombineRgn  (-1794898560, -704379210, 0, 5, ... ) == 0x3
 01687  2016   NtUserSetWindowRgn  (590128, -704379210, 1, ...
 01688  2016   NtUserMessageCall  (0x90130, WM_NCCALCSIZE, 0x1, 0x7ffa80, 0, 670, 1, ... ) == 0x0
 01689  2016   NtUserInternalGetWindowText  (0x90130, 260, ...  (0x90130, 260, ... "Extracting Files", ) , ) == 0x10
 01690  2016   NtUserGetWindowDC  (590128, ... ) == 0x1010053
 01691  2016   NtGdiGetRandomRgn  (16842835, -989591943, 1, ... ) == 0x0
 01692  2016   NtGdiIntersectClipRect  (16842835, 0, 0, 0, 0, ... ) == 0x3
 01693  2016   NtGdiGetCharSet  (16842835, ... ) == 0x4e4
 01694  2016   NtGdiExtSelectClipRgn  (16842835, 0, 5, ... ) == 0x2
 01695  2016   NtUserCallOneParam  (16842835, 57, ... ) == 0x1
 01696  2016   NtUserCalcMenuBar  (590128, 3, 3, 29, 2501400, ... ) == 0x0
 01697  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 8385544, 690, 0, ...
 01698  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 0, 670, 1, ... ) == 0x0
 01697  2016   NtUserMessageCall  ... ) == 0x0
 01699  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 8385544, 690, 0, ...
 01700  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 0, 670, 1, ... ) == 0x0
 01699  2016   NtUserMessageCall  ... ) == 0x0
 01701  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 8385544, 690, 0, ...
 01702  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 01701  2016   NtUserMessageCall  ... ) == 0x0
 01703  2016   NtUserGetTitleBarInfo  (590128, 8386176, ... ) == 0x1
 01704  2016   NtUserGetDCEx  (590128, 0, 66561, ... ) == 0x1010051
 01705  2016   NtGdiExcludeClipRect  (16842833, 3, 29, 333, 127, ... ) == 0x3
 01706  2016   NtGdiDrawStream  (16842833, 96, 8385660, ... ) == 0x1
 01707  2016   NtGdiDrawStream  (16842833, 96, 8385660, ... ) == 0x1
 01708  2016   NtGdiDrawStream  (16842833, 96, 8385660, ... ) == 0x1
 01709  2016   NtGdiCreateCompatibleBitmap  (16842833, 336, 29, ... ) == 0xa50506d8
 01710  2016   NtGdiCreateCompatibleDC  (16842833, ... ) == 0x52010763
 01711  2016   NtGdiSelectBitmap  (1375799139, -1526397224, ... ) == 0x185000f
 01712  2016   NtGdiDrawStream  (1375799139, 96, 8385552, ... ) == 0x1
 01713  2016   NtGdiDrawStream  (1375799139, 96, 8385508, ... ) == 0x1
 01714  2016   NtGdiDrawStream  (1375799139, 96, 8385508, ... ) == 0x1
 01715  2016   NtUserInternalGetWindowText  (0x90130, 260, ...  (0x90130, 260, ... "Extracting Files", ) , ) == 0x10
 01716  2016   NtGdiGetRandomRgn  (1375799139, -972814727, 1, ... ) == 0x0
 01717  2016   NtGdiIntersectClipRect  (1375799139, 8, 8, 308, 25, ... ) == 0x3
 01718  2016   NtGdiExtSelectClipRgn  (1375799139, 0, 5, ... ) == 0x2
 01719  2016   NtGdiGetRandomRgn  (1375799139, -956037511, 1, ... ) == 0x0
 01720  2016   NtGdiIntersectClipRect  (1375799139, 7, 7, 307, 25, ... ) == 0x3
 01721  2016   NtGdiExtSelectClipRgn  (1375799139, 0, 5, ... ) == 0x2
 01722  2016   NtGdiBitBlt  (16842833, 0, 0, 336, 29, 1375799139, 0, 0, 13369376, -1, 0, ... ) == 0x1
 01723  2016   NtGdiSelectBitmap  (1375799139, 25493519, ... ) == 0xa50506d8
 01724  2016   NtGdiDeleteObjectApp  (1375799139, ... ) == 0x1
 01725  2016   NtGdiDeleteObjectApp  (-1526397224, ... ) == 0x1
 01726  2016   NtUserCallOneParam  (16842833, 57, ... ) == 0x1
 01727  2016   NtUserFillWindow  (590128, 590128, 16842832, 4, ...
 01728  2016   NtUserGetAncestor  (590128, 1, ... ) == 0x10014
 01729  2016   NtUserValidateHandleSecure  (65556, ... ) == 0x1
 01730  2016   NtUserGetAncestor  (65556, 1, ... ) == 0x0
 01727  2016   NtUserFillWindow  ... ) == 0x1
 01687  2016   NtUserSetWindowRgn  ... ) == 0x1
 01597  2016   NtUserShowWindow  ... ) == 0x0
 01731  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01732  2016   NtUserCallHwndLock  (590128, 94, ...
 01733  2016   NtUserMessageCall  (0x90130, WM_PAINT, 0x0, 0x0, 0, 670, 1, ... ) == 0x0
 01734  2016   NtUserBeginPaint  (0xc0144, 8387788, ...
 01735  2016   NtUserMessageCall  (0xc0144, WM_NCPAINT, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 01734  2016   NtUserBeginPaint  ... ) == 0x1010050
 01736  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 87, 13, ... ) == 0x3
 01737  2016   NtUserGetControlBrush  (0xc0144, 16842832, 312, ... ) == 0x1100056
 01738  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01739  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 01740  2016   NtUserEndPaint  (0xc0144, 8387788, ... ) == 0x1
 01741  2016   NtUserBeginPaint  (0xa0132, 8387788, ...
 01742  2016   NtUserMessageCall  (0xa0132, WM_NCPAINT, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 01741  2016   NtUserBeginPaint  ... ) == 0x1010050
 01743  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 87, 13, ... ) == 0x3
 01744  2016   NtUserGetControlBrush  (0xa0132, 16842832, 312, ... ) == 0x1100056
 01745  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01746  2016   NtUserEndPaint  (0xa0132, 8387788, ... ) == 0x1
 01747  2016   NtUserBeginPaint  (0xa0142, 8387788, ...
 01748  2016   NtUserMessageCall  (0xa0142, WM_NCPAINT, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 01747  2016   NtUserBeginPaint  ... ) == 0x1010050
 01749  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 01750  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 01751  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01752  2016   NtUserEndPaint  (0xa0142, 8387788, ... ) == 0x1
 01753  2016   NtUserBeginPaint  (0xb0116, 8387788, ...
 01754  2016   NtUserMessageCall  (0xb0116, WM_NCPAINT, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 01753  2016   NtUserBeginPaint  ... ) == 0x1010050
 01755  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 01756  2016   NtUserGetControlBrush  (0xb0116, 16842832, 312, ... ) == 0x1100056
 01757  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01758  2016   NtUserEndPaint  (0xb0116, 8387788, ... ) == 0x1
 01759  2016   NtUserBeginPaint  (0x100100, 8387772, ...
 01760  2016   NtUserMessageCall  (0x100100, WM_NCPAINT, 0x1, 0x0, 0, 670, 0, ... ) == 0x0
 01761  2016   NtUserMessageCall  (0x100100, WM_ERASEBKGND, 0x1010054, 0x0, 0, 670, 0, ... ) == 0x1
 01759  2016   NtUserBeginPaint  ... ) == 0x1010054
 01762  2016   NtUserEndPaint  (0x100100, 8387772, ... ) == 0x1
 01732  2016   NtUserCallHwndLock  ... ) == 0x1
 01763  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01764  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01765  2016   NtUserDefSetText  (655682, 8387712, ... ) == 0x1
 01766  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 01767  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 01768  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 01769  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01770  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 01771  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 01397   896   NtUserMessageCall  ... ) == 0x1
 01772   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01773   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01774   896   NtUserMessageCall  (0x100100, WM_USER+0x1, 0x0, 0xe0000, 0, 688, 1, ...
 01775  2016   NtUserGetThreadState  (0, ... ) == 0xc0144
 01776  2016   NtUserGetForegroundWindow  (... ) == 0xf0104
 01777  2016   NtUserValidateHandleSecure  (983300, ... ) == 0x1
 01778  2016   NtUserFindWindowEx  (0, 0,  (0, 0, "Shell_TrayWnd", 0x0, 0, ... ) , 0x0, 0, ... ) == 0x20052
 01779  2016   NtUserBuildHwndList  (0, 131154, 1, 0, 64, ... (0x3003e, 0x3003c, 0x30040, 0x30042, 0x30044, 0x30046, 0x10076, 0x10082, 0x1007a, 0x1007e, 0x1, ), 11, ) == 0x0
 01780  2016   NtUserValidateHandleSecure  (196670, ... ) == 0x1
 01781  2016   NtUserValidateHandleSecure  (196670, ... ) == 0x1
 01782  2016   NtUserValidateHandleSecure  (196668, ... ) == 0x1
 01783  2016   NtUserValidateHandleSecure  (196668, ... ) == 0x1
 01784  2016   NtUserValidateHandleSecure  (196672, ... ) == 0x1
 01785  2016   NtUserValidateHandleSecure  (196672, ... ) == 0x1
 01786  2016   NtUserValidateHandleSecure  (196674, ... ) == 0x1
 01787  2016   NtUserValidateHandleSecure  (196674, ... ) == 0x1
 01788  2016   NtUserValidateHandleSecure  (196676, ... ) == 0x1
 01789  2016   NtUserValidateHandleSecure  (196676, ... ) == 0x1
 01790  2016   NtUserValidateHandleSecure  (196678, ... ) == 0x1
 01791  2016   NtUserValidateHandleSecure  (196678, ... ) == 0x1
 01792  2016   NtUserValidateHandleSecure  (65654, ... ) == 0x1
 01793  2016   NtUserValidateHandleSecure  (65654, ... ) == 0x1
 01794  2016   NtUserValidateHandleSecure  (65666, ... ) == 0x1
 01795  2016   NtUserValidateHandleSecure  (65666, ... ) == 0x1
 01796  2016   NtUserValidateHandleSecure  (65658, ... ) == 0x1
 01797  2016   NtUserValidateHandleSecure  (65658, ... ) == 0x1
 01798  2016   NtUserValidateHandleSecure  (65662, ... ) == 0x1
 01799  2016   NtUserValidateHandleSecure  (65662, ... ) == 0x1
 01800  2016   NtUserQueryWindow  (131154, 1, ... ) == 0x6d4
 01801  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01802  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01803  2016   NtUserQueryWindow  (983300, 1, ... ) == 0x544
 01804  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01805  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01806  2016   NtUserCallOneParam  (0, 40, ... ) == 0x4090409
 01764  2016   NtUserPeekMessage  ... {0x0, WM_USER+0xbca1, 0x11, 0xc0144, 0x1311292, {0, 0}}, ) == 0x1
 01807  2016   NtOpenProcessToken  (-1, 0x8, ... 128, ) == 0x0
 01808  2016   NtQueryInformationToken  (128, Statistics, 56, ... {token info, class 10, size 56}, 56, ) == 0x0
 01809  2016   NtClose  (128, ... ) == 0x0
 01810  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01811  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 01812  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01813  2016   NtUserRedrawWindow  (1048832, 0, 0, 5, ... ) == 0x1
 01774   896   NtUserMessageCall  ... ) == 0x640000
 01814   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01815   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01816   896   NtUserMessageCall  (0x100100, WM_USER+0x4, 0x1, 0x0, 0, 688, 1, ...
 01812  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112e0, {0, 0}}, ) == 0x1
 01817  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01818  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 01819  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01820  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01821  2016   NtUserDispatchMessage  ({0x100100, WM_PAINT, 0x0, 0x0, 0x13112e0, {0, 0}}, ...
 01822  2016   NtUserBeginPaint  (0x100100, 8387788, ...
 01823  2016   NtUserMessageCall  (0x100100, WM_ERASEBKGND, 0x1010054, 0x0, 0, 670, 0, ... ) == 0x1
 01822  2016   NtUserBeginPaint  ... ) == 0x1010054
 01824  2016   NtUserEndPaint  (0x100100, 8387788, ... ) == 0x1
 01821  2016   NtUserDispatchMessage  ... ) == 0x0
 01825  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01816   896   NtUserMessageCall  ... ) == 0xa
 01826   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 458396,  (0x80100080, {24, 0, 0x40, 0, 458396, "\??\u:\work\packed.exe"}, 0x0, 0, 3, 1, 100, 0, 0, ... }, 0x0, 0, 3, 1, 100, 0, 0, ...
 01825  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112e0, {0, 0}}, ) == 0x0
 01827  2016   NtUserWaitMessage  (...
 01826   896   NtCreateFile  ... 128, {status=0x0, info=1}, ) == 0x0
 01828   896   NtSetInformationFile  (128, 458488, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 01829   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "MSCF\0\0\0\0\364\202\15\0\0\0\0\0,\0\0\0\0\0\0\0\3\1\1\0\14\0\0\01?\0\0\232\1\0\0B\0\3\25\35\24\0\0\0\0\0\0\0\0o+q\203 \0empty.cat\0\20k\16\0\35\24\0\0\0\0\345.\340Q \0ole32.dll\0\20\231\6\0-\177\16\0\0\0\345.\340Q \0rpcrt4.dll\0\20\341\2\0=\30\25\0\0\0\345.\340Q \0rpcss.dll\0\0\32\0\0M\371\27\0\0\0n.\32f \0spmsg.dll\0\0\\1\0M\23\30\0\0\0n.rf \0spuninst.exe\0;\37\0\0Mo\31\0\0\0\345.lS \0update\kb823980.cat\0\0J\0\0\210\216\31\0\0\0n.rf \0update\spcustom.dll\0\0F\6\0\210\330\31\0\0\0n.\34f`\0update\update.exe\0\207\223\0\0\210\36 \0\0\0\345.\35R \0update\update.inf\0\374\17\0\0\17\262 \0\0\0\201,\325\225 \0update\eula.txt\0\337\0\0\0\13\302 \0\0\0\345.\240R \0update\update.ver\0\250&\266o\3426\0\200[\200\200\215\17 7\377\231\216\0`\6\05!\0`\0\0\375O{\357\336{\336\336{\3333\273\3670\341F\330\236H\270\314f\206\305t\233\234j\330\330\326\346\334\330.$\242\20$I]\270$\4$\251\224\264$I'\225'\311$\311I\222\206k\40", ) , ) == 0x0
 01830   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01831   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01832   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01827  2016   NtUserWaitMessage  ... ) == 0x1
 01833  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01834  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01835  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01836  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01834  2016   NtUserRedrawWindow  ... ) == 0x1
 01833  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112e0, {0, 0}}, ) == 0x0
 01837  2016   NtUserWaitMessage  (...
 01832   896   NtUserMessageCall  ... ) == 0x0
 01838   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\313\15\277\343\366\263\326\312\367rd|\331\200\3441\303cN\367\214\350\204T\210\200M\366_\374o\317\11f\22\32\230[\256\236@\374\361*\4\264\27w0\12\224)\303\303\265\232\333\222xb\225\300\313k\301\250^\22j\314a\3755;\330\\205\235\334l\4\203K\335\256\207+\315lct\\32Y\203\253_^\213'\322\14\200>\250\245\215\20\177\262N'\365\22\0\3L\337V\307y\231\351\216-\253\217N\277\27]:\361\0\336\13\205\346d\265>\243\232)_H@#\320}9\203\373\361/"-\32\371\334[#if\35\321i{\376\224!\3103\216\336tv$gB\315P\14eX\312l\244D\4\347s\3\46ga\200\320q\1\315\214\327\25\355\252n\305\203\27@\30\261\252\337\203x\324]\30\26\330\21Qh\210\233|\267m\204\6\244\376T\314\30\205\256\221\14\207\215\352\223\30\347Q\245\337\236\274V\210\234\303\327\5c\312{\242|)U\11\5\252&\251\211\\303\266n+\357\211\236mzL\375\205n\251V\330\32}\10A\346nyy\365\322w/EU\327\223\210 \2132\274\353mg\203\263\7P\3\314s\304\37\257}-[\14\266;\232\204\335\331\245\226\6MU\255}\335'Di\242D\261\370sk\323K\276\233\237|\6\331\235\255;\364C\313\335ck\371\345\0\312<\255yS\33\12\200\314\333;\334_\13~6\201\\313\342C;\206$uQ\225\266\354f!\300\337M\370sE\323M8\371\315\247\216\210\264\265>2\377>\306n\202\352\352\222p\243\232+\250\33P{\337\361\21\350\252\343\232\366\27\374\331@\277\237\244\346\352\341\275G\336\263)b\202\220)\313Q\327\2667<\347{~-\203\350\271\2559\210+\307\255\312\266\317~e\320\222\31\30|\257\264\350\224\322\326\220\357\322", ) -\32\371\334[#if\35\321i{\376\224!\3103\216\336tv$gB\315P\14eX\312l\244D\4\347s\3\46ga\200\320q\1\315\214\327\25\355\252n\305\203\27@\30\261\252\337\203x\324]\30\26\330\21Qh\210\233|\267m\204\6\244\376T\314\30\205\256\221\14\207\215\352\223\30\347Q\245\337\236\274V\210\234\303\327\5c\312{\242|)U\11\5\252&\251\211\\303\266n+\357\211\236mzL\375\205n\251V\330\32}\10A\346nyy\365\322w/EU\327\223\210 \2132\274\353mg\203\263\7P\3\314s\304\37\257}-[\14\266;\232\204\335\331\245\226\6MU\255}\335'Di\242D\261\370sk\323K\276\233\237|\6\331\235\255;\364C\313\335ck\371\345\0\312<\255yS\33\12\200\314\333;\334_\13~6\201\\313\342C;\206$uQ\225\266\354f!\300\337M\370sE\323M8\371\315\247\216\210\264\265>2\377>\306n\202\352\352\222p\243\232+\250\33P{\337\361\21\350\252\343\232\366\27\374\331@\277\237\244\346\352\341\275G\336\263)b\202\220)\313Q\327\2667<\347{~-\203\350\271\2559\210+\307\255\312\266\317~e\320\222\31\30|\257\264\350\224\322\326\220\357\322", ) == 0x0
 01839   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01840   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01841   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01837  2016   NtUserWaitMessage  ... ) == 0x1
 01842  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01843  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01844  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01845  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01843  2016   NtUserRedrawWindow  ... ) == 0x1
 01842  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112e0, {0, 0}}, ) == 0x0
 01846  2016   NtUserWaitMessage  (...
 01841   896   NtUserMessageCall  ... ) == 0x1
 01847   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, ">"\327\257hC+\335O\256$\352\15#\343g\354\325u\231\366\353\35%\230p\27\213\241`\13\7]\354j\12\332\332\354\2258\265c\305\322\246j\6\216\257\311\276\264",\2\235\324\263\370)\267\253\265\257u]\342s,,@Xr;M\212t\327\220\254\235\273N|n~\37\227\273G\231\347I\232o\232/\2D1\362y\246\177\220e\260\251\305\23\262~\271\3675[\335A\353\331|\375\330\236\354,\263S\263\202+.\336-\340j\261\335\331\350\336i\236\371\36s\23BK\246'j(\5\305\16F?w\346k\241\275\327\203\35\221\350\277*\322VR\214\302\251{\203M8/sF\210ff\236\32\361\370\14.|\210\277g\20O\5i\271m\306\213\221B\310z\367\2765\303wZ\330F\201\240:z\232F\33\321c\355\357\377\252~\276>1\2044V\264\220\203\242\344y\327n\215\204,x\3427\13W\325\342\236\345M\250X\4L\237\246\235Mop\322\324\357\211xD@\220\324\211=\255\366\2\321\377Bu\302\336\7\357\240\374v\226\25\223\212F{\264\367B\204\3600d\14\365/\241zV]\200\341l~X}\257\241\224\263\377\211\14\233\355\343\2458y\5\353'\236@\340^s\376Zx\356\225", ) \327\257hC+\335O\256$\352\15#\343g\354\325u\231\366\353\35%\230p\27\213\241`\13\7]\354j\12\332\332\354\2258\265c\305\322\246j\6\216\257\311\276\26430\352\24\355\360\375&\353\355]\250\6\356=\177)S\240*sb'\256\33~`\301z\267T\210 \300&\12\330\220G\214\34P`9SHi\266\341\303\213%\242\245\370wE\236\306\375\222\311a57\322\375\320Y sb\314\257\373$\213\367\23|\224\177\13\10\221F\275\222\234\3466\262b\311\20\36l\335\270u\61\227\253\244\334\353\264K\277\314G.\32043-\24\250 v\332\253\\6\261\310u\\354m!L\4\4'Y\253\367'y\376\353\251\246{\343X\1}$\267\356 (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, ">"\327\257hC+\335O\256$\352\15#\343g\354\325u\231\366\353\35%\230p\27\213\241`\13\7]\354j\12\332\332\354\2258\265c\305\322\246j\6\216\257\311\276\264",\2\235\324\263\370)\267\253\265\257u]\342s,,@Xr;M\212t\327\220\254\235\273N|n~\37\227\273G\231\347I\232o\232/\2D1\362y\246\177\220e\260\251\305\23\262~\271\3675[\335A\353\331|\375\330\236\354,\263S\263\202+.\336-\340j\261\335\331\350\336i\236\371\36s\23BK\246'j(\5\305\16F?w\346k\241\275\327\203\35\221\350\277*\322VR\214\302\251{\203M8/sF\210ff\236\32\361\370\14.|\210\277g\20O\5i\271m\306\213\221B\310z\367\2765\303wZ\330F\201\240:z\232F\33\321c\355\357\377\252~\276>1\2044V\264\220\203\242\344y\327n\215\204,x\3427\13W\325\342\236\345M\250X\4L\237\246\235Mop\322\324\357\211xD@\220\324\211=\255\366\2\321\377Bu\302\336\7\357\240\374v\226\25\223\212F{\264\367B\204\3600d\14\365/\241zV]\200\341l~X}\257\241\224\263\377\211\14\233\355\343\2458y\5\353'\236@\340^s\376Zx\356\225", ) , ) == 0x0
 01848   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01849   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01850   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01846  2016   NtUserWaitMessage  ... ) == 0x1
 01851  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01852  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01853  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01854  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01852  2016   NtUserRedrawWindow  ... ) == 0x1
 01851  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112e0, {0, 0}}, ) == 0x0
 01855  2016   NtUserWaitMessage  (...
 01850   896   NtUserMessageCall  ... ) == 0x2
 01856   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "gRc\344\353\12\373\344Z\305\237\20\247\275\6\202*\333\332\12\12H|h@\236\336j\306\27\263\277\37"\222\16\246|\323pE?z\207\11\367\315\267J\227\272\257U}w\351\272\351="+P\24\352a\0\312Jp\364\342\250\255B\0\300^l=\215\304\254\301\264\205\300O4\3522:\360\26\201\276\303\273\22\252\2\200\213\17lX,\267\233\330\243\215\350\343\273+\320S\373}\274c\277\15J\274\225!0M\277\341\325b)l\22ZI\36^\37\346\364\277\270\4\201\310\362?\342\362\336\361\350c\340~\370m\216\313D\214\363F0&\30226\20S\273=\24\231\357\\215\257\343\300\27\323\267\276\217\252^}Hf\277\273\372\376\256\307\3\330h\256\362v\3125\21\307k\326\252\11\235\336d\325\1M}iMr\4o\372\344\305*\304\35\313\5\0\\252\10$4\202\364F\266*l\362\236NO%\367`\214H\310f\255D\366\204\223\233\1\276\26\211\275\215A@\353\301D\336\217Z\274\371\272\217\323\2626\\222\373eS\311\333n\261\221\367\357&ftB\2650\315(O\201\336\365^M`\316#\301Xe\223\230\206\31\203\231t[R\335\236\214K\250\14#)\372\31\334\344\15s\231\2749\253\336\360\333\254>g\376:Z\2157\353h\364\214\375p\\15\215\233R\7\20\240\267\333i(\217\240\&\312T\307\213\274f\2033\322\354\6\275\375\367S#\3626\\274\275\31\222\334X\257h\331u\203#6\323/N\313M\216\253i1\2072\254\5\300\331\307W%I\257\300\312\357\7\334\226\253\21\225b/\256CS\223t6U\257\305K\315x\346\353\343\363\223k\3241_\357yY\221\371\365\214\345\353\347}FK\206~(\342\342t\2666_\232\365]\273\23F\301\243\360\256\37U", ) \222\16\246|\323pE?z\207\11\367\315\267J\227\272\257U}w\351\272\351= (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "gRc\344\353\12\373\344Z\305\237\20\247\275\6\202*\333\332\12\12H|h@\236\336j\306\27\263\277\37"\222\16\246|\323pE?z\207\11\367\315\267J\227\272\257U}w\351\272\351="+P\24\352a\0\312Jp\364\342\250\255B\0\300^l=\215\304\254\301\264\205\300O4\3522:\360\26\201\276\303\273\22\252\2\200\213\17lX,\267\233\330\243\215\350\343\273+\320S\373}\274c\277\15J\274\225!0M\277\341\325b)l\22ZI\36^\37\346\364\277\270\4\201\310\362?\342\362\336\361\350c\340~\370m\216\313D\214\363F0&\30226\20S\273=\24\231\357\\215\257\343\300\27\323\267\276\217\252^}Hf\277\273\372\376\256\307\3\330h\256\362v\3125\21\307k\326\252\11\235\336d\325\1M}iMr\4o\372\344\305*\304\35\313\5\0\\252\10$4\202\364F\266*l\362\236NO%\367`\214H\310f\255D\366\204\223\233\1\276\26\211\275\215A@\353\301D\336\217Z\274\371\272\217\323\2626\\222\373eS\311\333n\261\221\367\357&ftB\2650\315(O\201\336\365^M`\316#\301Xe\223\230\206\31\203\231t[R\335\236\214K\250\14#)\372\31\334\344\15s\231\2749\253\336\360\333\254>g\376:Z\2157\353h\364\214\375p\\15\215\233R\7\20\240\267\333i(\217\240\&\312T\307\213\274f\2033\322\354\6\275\375\367S#\3626\\274\275\31\222\334X\257h\331u\203#6\323/N\313M\216\253i1\2072\254\5\300\331\307W%I\257\300\312\357\7\334\226\253\21\225b/\256CS\223t6U\257\305K\315x\346\353\343\363\223k\3241_\357yY\221\371\365\214\345\353\347}FK\206~(\342\342t\2666_\232\365]\273\23F\301\243\360\256\37U", ) , ) == 0x0
 01857   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01858   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01859   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01855  2016   NtUserWaitMessage  ... ) == 0x1
 01860  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01861  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01862  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01863  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01861  2016   NtUserRedrawWindow  ... ) == 0x1
 01860  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112e0, {0, 0}}, ) == 0x0
 01864  2016   NtUserWaitMessage  (...
 01859   896   NtUserMessageCall  ... ) == 0x3
 01865   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\224pU:\314I\32\265\231\227\241Sn\321P\374\37*\356\372\339N\214\240m\15\265\1725\11\302\11(\6T\323K\326\264j\37f\35\6K`X\275\215{\4\6\346UdaOV\14\335\222}u[i%\206V\12JU\214n*NZ(\342)\357QJ\315\315vF\37\203\237H\214/\307-\331\255\24d\241\210K\371\322SITh\203)o\343\1\254\312>\17J\35\261\270\256\327\302\7\341\331P\205\27\201\313HA \376\303\347\312fiRp\324H\315\372\372\311\1\37\207_.\36\374\251\26\34\271p\13\312\205\271\364C!*\330.'\236\246A\233/\73:\254o\331+^\324Z\317\34&tH\230[b\207Q\207\301\0\271\21\244\261a\201\2\24\30<\224\376\7\275B\303\\17\252P\364\245V\233\274uX\20\226\3735\17e\332`\26\363\265!Al"\247qs\331\315\303\222F\245z\206\26\340\21\223\7\342\201\316B4\362\212\26\222\226@Vm\332\247\215/\322\271\2532\34\345\302E\251\332G;\25\245\322\253iVK|ul\273\1303>v\350F\203.i8\13\331\5C\300\262c\234\21\373'>K\372c\235\3567\253\216\226\354\331]\374\246&\307\245M\206\220U{b\320\254\307z3\206R(\356\263=\371w\244\255\212-\32f\264\310\310\313\15\375\351\33\253\25\35F#[\5\331\265\273\304L\311dhf\372\233 \36\303b\204Di\211{m\323\336\235z\230\340\332!\212cN9\204\1\226\333\371\372\204\221\315\231\242qC?\363\252\216'a\237\245y\367b2Z\34G\332}\254wj\20)`\373^\303m\275\226\270\267\314\241\307Ecl\329\361X[9h\377\20$\205\224\267:\20\312DB\4U\23*\213I\271\225\241\20\24\352\324\17tZ\252\240", ) \247qs\331\315\303\222F\245z\206\26\340\21\223\7\342\201\316B4\362\212\26\222\226@Vm\332\247\215/\322\271\2532\34\345\302E\251\332G;\25\245\322\253iVK|ul\273\1303>v\350F\203.i8\13\331\5C\300\262c\234\21\373'>K\372c\235\3567\253\216\226\354\331]\374\246&\307\245M\206\220U{b\320\254\307z3\206R(\356\263=\371w\244\255\212-\32f\264\310\310\313\15\375\351\33\253\25\35F#[\5\331\265\273\304L\311dhf\372\233 \36\303b\204Di\211{m\323\336\235z\230\340\332!\212cN9\204\1\226\333\371\372\204\221\315\231\242qC?\363\252\216'a\237\245y\367b2Z\34G\332}\254wj\20)`\373^\303m\275\226\270\267\314\241\307Ecl\329\361X[9h\377\20$\205\224\267:\20\312DB\4U\23*\213I\271\225\241\20\24\352\324\17tZ\252\240", ) == 0x0
 01866   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01867   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01868   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01864  2016   NtUserWaitMessage  ... ) == 0x1
 01869  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01870  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01871  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01872  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01870  2016   NtUserRedrawWindow  ... ) == 0x1
 01869  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112e0, {0, 0}}, ) == 0x0
 01873  2016   NtUserWaitMessage  (...
 01868   896   NtUserMessageCall  ... ) == 0x4
 01874   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\306\275\23\200q\326\354v\217yE\177\26\346p\237\220\266\11R\372\311\d\205"\3144\321;z\30\230/^e\21\354k\326\262$&W\227\10\336\247\253\255W\10\262\214:\245Y\214\324]\263X\362\211\370\364\260\216\366\234\261,\332\177\206\327\230\243\276^\14\315\272\4\300\375t\302\364\2351>\\313\34Z\373n\330\371y\302\23\214\356\366>\247\276\277\266\2627\351Ha\3\256\266\2\347k\234\316\263\20\2\13\360\320\13k\216\224\177\214\32\266\36077u\277\360Ec\10\234\224\5O}\7j\313\315\232\317\321[\374\344|\213\227)\370*\235-\231\4Fu\313\271\2476\301\34\250\346\201\374J0~\376hd\337O?\32ih \361\344IO\253v\326\206q\374\274\362\22\14;\32\1\361\3671\20\30o\{\236h\323'M\364\321K\210\0\276\346\27yAU\270\302\371\275$\331\227q\345\24~\142\377\254\310\256\256\373\211\13\31/\223\37(\275\237L\264\355\362\227\343\270K\216o\371\273\312o\224\244\0\16@\408\340$\300R\27\224)\236\200!\4\216\7\247\323\257L8\360\330[\10-!r\341Y\346\3X\341[\12\13\326\11\315br\33D\303\234\266\316\2662\26\204\246\200\211\312\11\320\25\354\330\373\224t\25\3006\327\316\360\214Y}\251\304\374\201;\215\373g\2153\274\17Z;\372\26\37K\326$\373\331\203~\270\37\221\317\7d*z\232;U\252\17\3561\224#\214\330\222g\7ma\350\34z@ \236\365\236 v \0cv\253\233K\2300\351\257\246\353\377\356\272Q\273\362\23\217\0%,\37\215\243=\311\206x\347:\224.\247\10\277v\7\7FW\346\363\307\251\336$[zwx\333\363\2\247\350y\365\203\336\0%m\220\373\237\200{\216P\340h\370n-\377C:sr<", ) \3144\321;z\30\230/^e\21\354k\326\262$&W\227\10\336\247\253\255W\10\262\214:\245Y\214\324]\263X\362\211\370\364\260\216\366\234\261,\332\177\206\327\230\243\276^\14\315\272\4\300\375t\302\364\2351>\\313\34Z\373n\330\371y\302\23\214\356\366>\247\276\277\266\2627\351Ha\3\256\266\2\347k\234\316\263\20\2\13\360\320\13k\216\224\177\214\32\266\36077u\277\360Ec\10\234\224\5O}\7j\313\315\232\317\321[\374\344|\213\227)\370*\235-\231\4Fu\313\271\2476\301\34\250\346\201\374J0~\376hd\337O?\32ih \361\344IO\253v\326\206q\374\274\362\22\14;\32\1\361\3671\20\30o\{\236h\323'M\364\321K\210\0\276\346\27yAU\270\302\371\275$\331\227q\345\24~\142\377\254\310\256\256\373\211\13\31/\223\37(\275\237L\264\355\362\227\343\270K\216o\371\273\312o\224\244\0\16@\408\340$\300R\27\224)\236\200!\4\216\7\247\323\257L8\360\330[\10-!r\341Y\346\3X\341[\12\13\326\11\315br\33D\303\234\266\316\2662\26\204\246\200\211\312\11\320\25\354\330\373\224t\25\3006\327\316\360\214Y}\251\304\374\201;\215\373g\2153\274\17Z;\372\26\37K\326$\373\331\203~\270\37\221\317\7d*z\232;U\252\17\3561\224#\214\330\222g\7ma\350\34z@ \236\365\236 v \0cv\253\233K\2300\351\257\246\353\377\356\272Q\273\362\23\217\0%,\37\215\243=\311\206x\347:\224.\247\10\277v\7\7FW\346\363\307\251\336$[zwx\333\363\2\247\350y\365\203\336\0%m\220\373\237\200{\216P\340h\370n-\377C:sr<", ) == 0x0
 01875   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01876   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01877   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01873  2016   NtUserWaitMessage  ... ) == 0x1
 01878  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01879  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01880  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01881  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01879  2016   NtUserRedrawWindow  ... ) == 0x1
 01878  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112e0, {0, 0}}, ) == 0x0
 01882  2016   NtUserWaitMessage  (...
 01877   896   NtUserMessageCall  ... ) == 0x5
 01883   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\257l$\306\26\376\247\317\321\333\231yY\313`\235Ur\3\267#R\234\177\307\3606\325:\344l\22I\365M\22\315\205\250\21"\362)\333Y\4\324\210\212\2614\307\205\374F;\322\303\227vfCXM\2637\365g\207!\362\5\210\317\222\377\337af\242E#k\26!R\334<\261\21\351\201O\363h\251\254\261\15\323j\202\217\334\35\22f\241S\302\202\233\\235|\3562\353\243\33\342\220t=\5\231\33\233\221\36\223W}\17W\\351\32]\375O\,g.\203>W\202\360\226q` \357V\310\214wsJS\342C\31\313\334\241\264\370\oW\347s\6\14\361\363\16rbL\224L}5 \376\231\372at,\247\310\312r\201\213\4P\323P\237(\33>e\326zl\245\327\15\375v\111\3475b\37\267\311\25\274\221\357g{\364\307\360\341\202g\263\255f\361\245\205\3461\271].#0\357\243\16\255x\376\34m'\13-\221v;K\307,\304\335\3106\334\233\3657x\0\16*1\342\36\31\251\2434#e\6\2\245P\341\332\303\311U\0a\314\3158\\263\251^\352\377\2<\&%\264\331n>\225\344A\326\144\251b\217u,\324\253\2233\374\1\330\3533uu\24\13r+\216\302\206y\251\216d"\305\357R\345\266\252\24636~g\306\4\353\14\363\242\223\225\376p\22\201\304_\14\243h\335\2170O6\12\221\5\304Pew\231x\260\325\331\336\205p:R=y\340\27%\251\11\34\260x\246)\235\323\237h\13\10`"1Gn\363\312\2444\\214q\326\317\231^\207\327\370", ) \362)\333Y\4\324\210\212\2614\307\205\374F;\322\303\227vfCXM\2637\365g\207!\362\5\210\317\222\377\337af\242E#k\26!R\334<\261\21\351\201O\363h\251\254\261\15\323j\202\217\334\35\22f\241S\302\202\233\\23524|\223e\352R\332\32\246VZ\263\210\263\356~\243V\376\340\24\232\211\3\24\325\364\201_\213?\35_*/\335\345\213\222\20\305\336\11&\11u\216\233\346\334\307 d\223\331{>|\3562\353\243\33\342\220t=\5\231\33\233\221\36\223W}\17W\\351\32]\375O\,g.\203>W\202\360\226q` \357V\310\214wsJS\342C\31\313\334\241\264\370\oW\347s\6\14\361\363\16rbL\224L}5 \376\231\372at,\247\310\312r\201\213\4P\323P\237(\33>e\326zl\245\327\15\375v\111\3475b\37\267\311\25\274\221\357g{\364\307\360\341\202g\263\255f\361\245\205\3461\271].#0\357\243\16\255x\376\34m'\13-\221v;K\307,\304\335\3106\334\233\3657x\0\16*1\342\36\31\251\2434#e\6\2\245P\341\332\303\311U\0a\314\3158\\263\251^\352\377\2<\&%\264\331n>\225\344A\326\144\251b\217u,\324\253\2233\374\1\330\3533uu\24\13r+\216\302\206y\251\216d (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\257l$\306\26\376\247\317\321\333\231yY\313`\235Ur\3\267#R\234\177\307\3606\325:\344l\22I\365M\22\315\205\250\21"\362)\333Y\4\324\210\212\2614\307\205\374F;\322\303\227vfCXM\2637\365g\207!\362\5\210\317\222\377\337af\242E#k\26!R\334<\261\21\351\201O\363h\251\254\261\15\323j\202\217\334\35\22f\241S\302\202\233\\235|\3562\353\243\33\342\220t=\5\231\33\233\221\36\223W}\17W\\351\32]\375O\,g.\203>W\202\360\226q` \357V\310\214wsJS\342C\31\313\334\241\264\370\oW\347s\6\14\361\363\16rbL\224L}5 \376\231\372at,\247\310\312r\201\213\4P\323P\237(\33>e\326zl\245\327\15\375v\111\3475b\37\267\311\25\274\221\357g{\364\307\360\341\202g\263\255f\361\245\205\3461\271].#0\357\243\16\255x\376\34m'\13-\221v;K\307,\304\335\3106\334\233\3657x\0\16*1\342\36\31\251\2434#e\6\2\245P\341\332\303\311U\0a\314\3158\\263\251^\352\377\2<\&%\264\331n>\225\344A\326\144\251b\217u,\324\253\2233\374\1\330\3533uu\24\13r+\216\302\206y\251\216d"\305\357R\345\266\252\24636~g\306\4\353\14\363\242\223\225\376p\22\201\304_\14\243h\335\2170O6\12\221\5\304Pew\231x\260\325\331\336\205p:R=y\340\27%\251\11\34\260x\246)\235\323\237h\13\10`"1Gn\363\312\2444\\214q\326\317\231^\207\327\370", ) 1Gn\363\312\2444\\214q\326\317\231^\207\327\370", ) == 0x0
 01884   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01885   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01886   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01882  2016   NtUserWaitMessage  ... ) == 0x1
 01887  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01888  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01889  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01890  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01888  2016   NtUserRedrawWindow  ... ) == 0x1
 01887  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112e0, {0, 0}}, ) == 0x0
 01891  2016   NtUserWaitMessage  (...
 01886   896   NtUserMessageCall  ... ) == 0x6
 01892   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\232\214O\253\23\330^\2207t\374vz\225Y\16Vw\276\275&\306\207\0M\265\216\223`\300,\221sEf+\317h2\234\4i'L\365\344\22\204\203\2L\313E\230zE\361\273\207\261:4W\377\220\317\276\356\232\262\0\225D\322\\331\211\2238\223\317\361v\313yH\14B3\362\231\5D\256\372-k\272\263\256\304A\260;\30\374\310T\322_\321\216\307\220\373u\7" \355\354e\320\30u\311 \361\310QX&\315b\264\4\335\21 x\345\344B\341=\322\223\351\24\13\20\304\207\341\2305\26493*~\232T,\220\201t@\352\31o\262|\25\356\310\300\323\20\3626g\202zw\350~\2532,\265\221\242S[\3438\3\251\3\26\337\16c\305\370e\\2625\215\346\372\35\3247\371\26\26\222K\223"\301\255\201\225\24B\23\357u\263\272\342\254h\223Q\200\335\355g\3u\365x\364\233?CH\21\231\263zX\244\321i\204\232\220\4\15\321\337\337\275\32\264\354\220\362\327\316a\201"\326(\260\7\23A\0c\214\244F\13\314\>\10\201\346\0\30\270I,\224 B\0\200WF\275\345\327\32\370\343\206+\274B\2521\262\352x\212\302\24\334\304\201\37Z\330\360\35\327'\252D-D\252\20\252\317Pe\326h\367B\373\326C\322y\307N\7\35"\3503m\307^7\272\234\37268\14\323{^^\242}R\321\312\2256\256G>L\327$W\351J\223D\254\307m\37371\232LK\230(QM\223\225EPp\244\246D$\345\224;M\17\366]\177\233\344U\354g\33f\304\312\324#G\3357b\210 I\17"\243%=E"\35F!\1~B\247!\251+\306*\276\31\214\11\350", )  \355\354e\320\30u\311 \361\310QX&\315b\264\4\335\21 x\345\344B\341=\322\223\351\24\13\20\304\207\341\2305\26493*~\232T,\220\201t@\352\31o\262|\25\356\310\300\323\20\3626g\202zw\350~\2532,\265\221\242S[\3438\3\251\3\26\337\16c\305\370e\\2625\215\346\372\35\3247\371\26\26\222K\223 (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\232\214O\253\23\330^\2207t\374vz\225Y\16Vw\276\275&\306\207\0M\265\216\223`\300,\221sEf+\317h2\234\4i'L\365\344\22\204\203\2L\313E\230zE\361\273\207\261:4W\377\220\317\276\356\232\262\0\225D\322\\331\211\2238\223\317\361v\313yH\14B3\362\231\5D\256\372-k\272\263\256\304A\260;\30\374\310T\322_\321\216\307\220\373u\7" \355\354e\320\30u\311 \361\310QX&\315b\264\4\335\21 x\345\344B\341=\322\223\351\24\13\20\304\207\341\2305\26493*~\232T,\220\201t@\352\31o\262|\25\356\310\300\323\20\3626g\202zw\350~\2532,\265\221\242S[\3438\3\251\3\26\337\16c\305\370e\\2625\215\346\372\35\3247\371\26\26\222K\223"\301\255\201\225\24B\23\357u\263\272\342\254h\223Q\200\335\355g\3u\365x\364\233?CH\21\231\263zX\244\321i\204\232\220\4\15\321\337\337\275\32\264\354\220\362\327\316a\201"\326(\260\7\23A\0c\214\244F\13\314\>\10\201\346\0\30\270I,\224 B\0\200WF\275\345\327\32\370\343\206+\274B\2521\262\352x\212\302\24\334\304\201\37Z\330\360\35\327'\252D-D\252\20\252\317Pe\326h\367B\373\326C\322y\307N\7\35"\3503m\307^7\272\234\37268\14\323{^^\242}R\321\312\2256\256G>L\327$W\351J\223D\254\307m\37371\232LK\230(QM\223\225EPp\244\246D$\345\224;M\17\366]\177\233\344U\354g\33f\304\312\324#G\3357b\210 I\17"\243%=E"\35F!\1~B\247!\251+\306*\276\31\214\11\350", ) \326(\260\7\23A\0c\214\244F\13\314\>\10243\250\241\307\347j\204C\305h\252\3004\274\301b\247\200\2\254\311pW\236|\312\337h\4!>\201\346\0\30\270I,\224 B\0\200WF\275\345\327\32\370\343\206+\274B\2521\262\352x\212\302\24\334\304\201\37Z\330\360\35\327'\252D-D\252\20\252\317Pe\326h\367B\373\326C\322y\307N\7\35 (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\232\214O\253\23\330^\2207t\374vz\225Y\16Vw\276\275&\306\207\0M\265\216\223`\300,\221sEf+\317h2\234\4i'L\365\344\22\204\203\2L\313E\230zE\361\273\207\261:4W\377\220\317\276\356\232\262\0\225D\322\\331\211\2238\223\317\361v\313yH\14B3\362\231\5D\256\372-k\272\263\256\304A\260;\30\374\310T\322_\321\216\307\220\373u\7" \355\354e\320\30u\311 \361\310QX&\315b\264\4\335\21 x\345\344B\341=\322\223\351\24\13\20\304\207\341\2305\26493*~\232T,\220\201t@\352\31o\262|\25\356\310\300\323\20\3626g\202zw\350~\2532,\265\221\242S[\3438\3\251\3\26\337\16c\305\370e\\2625\215\346\372\35\3247\371\26\26\222K\223"\301\255\201\225\24B\23\357u\263\272\342\254h\223Q\200\335\355g\3u\365x\364\233?CH\21\231\263zX\244\321i\204\232\220\4\15\321\337\337\275\32\264\354\220\362\327\316a\201"\326(\260\7\23A\0c\214\244F\13\314\>\10\201\346\0\30\270I,\224 B\0\200WF\275\345\327\32\370\343\206+\274B\2521\262\352x\212\302\24\334\304\201\37Z\330\360\35\327'\252D-D\252\20\252\317Pe\326h\367B\373\326C\322y\307N\7\35"\3503m\307^7\272\234\37268\14\323{^^\242}R\321\312\2256\256G>L\327$W\351J\223D\254\307m\37371\232LK\230(QM\223\225EPp\244\246D$\345\224;M\17\366]\177\233\344U\354g\33f\304\312\324#G\3357b\210 I\17"\243%=E"\35F!\1~B\247!\251+\306*\276\31\214\11\350", ) \243%=E (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\232\214O\253\23\330^\2207t\374vz\225Y\16Vw\276\275&\306\207\0M\265\216\223`\300,\221sEf+\317h2\234\4i'L\365\344\22\204\203\2L\313E\230zE\361\273\207\261:4W\377\220\317\276\356\232\262\0\225D\322\\331\211\2238\223\317\361v\313yH\14B3\362\231\5D\256\372-k\272\263\256\304A\260;\30\374\310T\322_\321\216\307\220\373u\7" \355\354e\320\30u\311 \361\310QX&\315b\264\4\335\21 x\345\344B\341=\322\223\351\24\13\20\304\207\341\2305\26493*~\232T,\220\201t@\352\31o\262|\25\356\310\300\323\20\3626g\202zw\350~\2532,\265\221\242S[\3438\3\251\3\26\337\16c\305\370e\\2625\215\346\372\35\3247\371\26\26\222K\223"\301\255\201\225\24B\23\357u\263\272\342\254h\223Q\200\335\355g\3u\365x\364\233?CH\21\231\263zX\244\321i\204\232\220\4\15\321\337\337\275\32\264\354\220\362\327\316a\201"\326(\260\7\23A\0c\214\244F\13\314\>\10\201\346\0\30\270I,\224 B\0\200WF\275\345\327\32\370\343\206+\274B\2521\262\352x\212\302\24\334\304\201\37Z\330\360\35\327'\252D-D\252\20\252\317Pe\326h\367B\373\326C\322y\307N\7\35"\3503m\307^7\272\234\37268\14\323{^^\242}R\321\312\2256\256G>L\327$W\351J\223D\254\307m\37371\232LK\230(QM\223\225EPp\244\246D$\345\224;M\17\366]\177\233\344U\354g\33f\304\312\324#G\3357b\210 I\17"\243%=E"\35F!\1~B\247!\251+\306*\276\31\214\11\350", ) , ) == 0x0
 01893   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01894   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01895   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01891  2016   NtUserWaitMessage  ... ) == 0x1
 01896  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01897  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01898  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01899  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01897  2016   NtUserRedrawWindow  ... ) == 0x1
 01896  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112e0, {0, 0}}, ) == 0x0
 01900  2016   NtUserWaitMessage  (...
 01895   896   NtUserMessageCall  ... ) == 0x7
 01901   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\257\343\214\247\374\320=\220\250\355\324\321\277WM@\267\222>${\317H_\250\211\221,\343\227\17T\371\26\371b\255z*\327\2209\263\275\1\364\347\222\237\276/\\337\332\305\37\375\227\241\240e)1\30S\306%\270\271\353\310B\266i\2610\270y\357 \262\2741\277J\363\311^\341A\337.\361~I\317\277\355\221n\320\355\270\375n\31707rsk\205\212&\26\330\315R5\245\321\34\316\267yyq\6\257\243X\1n\272\222d/Pz\235\215\322\11c\231\326\261\2534l\6&\340|R\223_=U\23\2[o\221\232\350\211 {\273x\316M\366NX\364\373\360 \34\210k\255\300r;\340;\303\1y6(\253\376-\305a\365cDp\262|z\320\3402-\327\323lG\313\225\350\231\235\206 ~\333N[@\214\10,\23\326\24\324hFnuB&y\275\310\252d\10;\242a\256\251X\353N\352k[9C2\360s \2l\11\240\3007\17\5e\\275\315\345\225\213\330\353g\277\303[\327\23\222\215-)\303\350\264}w\267\255\315l\377\202\277\244hl7\343T\\7\225\23\21Hp\335\213\221_\247\265<\321\377Y\324\244\346\316\X"\254\360\0\225\351\313q\22\10\252\250w}2\232#\354\207\33ISF{\263\200cG\321|}\360\335\336M\214\210\332\354\303W\376\11\347i\376\261\203{9\327J/\30\223u,\201a\11\302Uo\217\330l\373\303PS+\363\366\322\326%\245]U\3208\33v;\241g\1b\37ap\250{\360\26\12Zp\37\205\346\200\265w\253\326\257\374g\332\333\265\26jW\264\257\266\237\255s\212c\201t^\10\5\21\207O\14R\216^\361d\223\13e\200O_\223ox:\315\320)P\220n\376\246\276\340k\212\336\22L\207&\34}\247\252\300(", ) \254\360\0\225\351\313q\22\10\252\250w}2\232#\354\207\33ISF{\263\200cG\321|}\360\335\336M\214\210\332\354\303W\376\11\347i\376\261\203{9\327J/\30\223u,\201a\11\302Uo\217\330l\373\303PS+\363\366\322\326%\245]U\3208\33v;\241g\1b\37ap\250{\360\26\12Zp\37\205\346\200\265w\253\326\257\374g\332\333\265\26jW\264\257\266\237\255s\212c\201t^\10\5\21\207O\14R\216^\361d\223\13e\200O_\223ox:\315\320)P\220n\376\246\276\340k\212\336\22L\207&\34}\247\252\300(", ) == 0x0
 01902   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01903   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01904   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01900  2016   NtUserWaitMessage  ... ) == 0x1
 01905  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01906  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01907  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01908  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01906  2016   NtUserRedrawWindow  ... ) == 0x1
 01905  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112e0, {0, 0}}, ) == 0x0
 01909  2016   NtUserWaitMessage  (...
 01904   896   NtUserMessageCall  ... ) == 0x8
 01910   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\370\266\13\177\13\350_\354\325\24x\367\3414v.\5s\2\306\13\336\306\245\271:\350\361\327\316\214PH\333]\310\232>\343zZ\257\210\213b\210\270\246\306\366\243\263)\371\375\233\216\21T\324r\6\203\243\353\200;\3724\375\211\2065j<\371?\374N;i%\267s\370\3430u\306\376\322c5\355\300Y\227\30\255Es\23\33\25\272S\5\33\252)\253^\303\344]w\354\326Q\272M$\360\330\375'\355\332]\340%<|\245k\345q$m\37&\7\301\371\304\261\346\352\212{6\25\260*`\353x\236rN\32\247|Y\267\370w\240\315\232\7\366(\362x\\264%I\342\275\206\256\200H{\305\357d\304\30606\272F\25\335\220"\217?!l\2050\361\257\32,!\346\361a\276\236P\221\271:\203\\271"\361\210](\375\35\353\216\317\377:*\233!\3673\331\300\263\312\305\11`#%\357\207\16\312\3405\272\326\211\15\233{\264\200\177qIHo=\304\16\272\303{\356X\213\2100w\202\177v\254\226\347\213(;\205a]\251M\221A"\363\325Y\233\373\327\301/wd\271\2\366f}\305'\363ow\227!\255\3757\374\3K\220\376\26\273I\376 \272\255\207\351!T\236[\58\314\366l\30\34Z`\363\274g\32,!e\226;9\10\304\212\310\362\361\231\204\246\345\276\304ls\376\267\270\364\220\3233\270\267\217\363$\344\246.\260\13\272\27\217\24l\375]\334\317\352\323\230\263\302f\14\%\14\316\14\212\310`\16K-\341c\253\36~m\303\343\2\224\3659\31\224\337:\214\253q\340D\236Y\244\302\215\227K\226F1}\37Y\202*\207]R\244\14\227(T\321\227\369\301\225ni\250\244\222=+\321\237\363\376\275J\7\346\227\177\225j\35\2035\203\273J`\107`CZ\204\207\265", ) \217?!l\2050\361\257\32,!\346\361a\276\236P\221\271:\203\\271 (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\370\266\13\177\13\350_\354\325\24x\367\3414v.\5s\2\306\13\336\306\245\271:\350\361\327\316\214PH\333]\310\232>\343zZ\257\210\213b\210\270\246\306\366\243\263)\371\375\233\216\21T\324r\6\203\243\353\200;\3724\375\211\2065j<\371?\374N;i%\267s\370\3430u\306\376\322c5\355\300Y\227\30\255Es\23\33\25\272S\5\33\252)\253^\303\344]w\354\326Q\272M$\360\330\375'\355\332]\340%<|\245k\345q$m\37&\7\301\371\304\261\346\352\212{6\25\260*`\353x\236rN\32\247|Y\267\370w\240\315\232\7\366(\362x\\264%I\342\275\206\256\200H{\305\357d\304\30606\272F\25\335\220"\217?!l\2050\361\257\32,!\346\361a\276\236P\221\271:\203\\271"\361\210](\375\35\353\216\317\377:*\233!\3673\331\300\263\312\305\11`#%\357\207\16\312\3405\272\326\211\15\233{\264\200\177qIHo=\304\16\272\303{\356X\213\2100w\202\177v\254\226\347\213(;\205a]\251M\221A"\363\325Y\233\373\327\301/wd\271\2\366f}\305'\363ow\227!\255\3757\374\3K\220\376\26\273I\376 \272\255\207\351!T\236[\58\314\366l\30\34Z`\363\274g\32,!e\226;9\10\304\212\310\362\361\231\204\246\345\276\304ls\376\267\270\364\220\3233\270\267\217\363$\344\246.\260\13\272\27\217\24l\375]\334\317\352\323\230\263\302f\14\%\14\316\14\212\310`\16K-\341c\253\36~m\303\343\2\224\3659\31\224\337:\214\253q\340D\236Y\244\302\215\227K\226F1}\37Y\202*\207]R\244\14\227(T\321\227\369\301\225ni\250\244\222=+\321\237\363\376\275J\7\346\227\177\225j\35\2035\203\273J`\107`CZ\204\207\265", ) \363\325Y\233\373\327\301/wd\271\2\366f}\305'\363ow\227!\255\3757\374\3K\220\376\26\273I\376 \272\255\207\351!T\236[\58\314\366l\30\34Z`\363\274g\32,!e\226;9\10\304\212\310\362\361\231\204\246\345\276\304ls\376\267\270\364\220\3233\270\267\217\363$\344\246.\260\13\272\27\217\24l\375]\334\317\352\323\230\263\302f\14\%\14\316\14\212\310`\16K-\341c\253\36~m\303\343\2\224\3659\31\224\337:\214\253q\340D\236Y\244\302\215\227K\226F1}\37Y\202*\207]R\244\14\227(T\321\227\369\301\225ni\250\244\222=+\321\237\363\376\275J\7\346\227\177\225j\35\2035\203\273J`\107`CZ\204\207\265", ) == 0x0
 01911   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01912   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01913   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01909  2016   NtUserWaitMessage  ... ) == 0x1
 01914  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01915  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01916  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01917  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01915  2016   NtUserRedrawWindow  ... ) == 0x1
 01914  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112e0, {0, 0}}, ) == 0x0
 01918  2016   NtUserWaitMessage  (...
 01913   896   NtUserMessageCall  ... ) == 0x9
 01919   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\331a.\21\264z\270\233\305#\360\21\260\335\361\267\234{\276\367\135\356\361,\20\373\364W\7\177Dta\1\206+q3\346\27\20\31\271\373AfA\236\245\257F\357\275\261\321\177\306\22385\357\267*-\347\254\260\321\4=7)\352\272\211&\23G&\356\376)\37SW\216\256\212\343\0\273\222\353M\204\GuU*\312/2\232=W\321\337\366\225\26[\35\241\3707S\221\266\31\327\355\37\231\225-\252F\372\1\346T7`\3208\217\377uz\343\223TS\354\244\320\263y<\240\11\210\305\262F\313\253\27n\374\312\35o\204\35\255\275\223e\255\207>\273a\217r\264\354\336{^\5aE,\267\260\263\374o\307*\211\264\\301\244]~\376y\307\256 \275SWEFk\365)\215\273\375f\236+@\366\2554\363\3z\374\336\350\267\375p\37J\366\3206a\340\215Ek0\25\267\3\4\317\332{\313U\202O\221\230\26\307gl!-\362\341.\305\236\353d&`]1\2#\202\20\15\327\303a'%\321\11]\\277\227\310S6\304DY\221I\374[\367\0\213R\265{\34\343\=\4MC)U\223\11\246_j\352\206\30\227\203\34&\265[kTZu\244.\355\235\340^hr\302\352B6=\220\32159\310\244|\260\220\\276\207\326\236b*]\342jy\3704\316\362T\224%\377B\366[9\234\2^\244A\34101\206\373,\35\12\231\22\305\200Q\17\330QL\37767\365Wj\312Uv\207\211`\276GQ\157}\224S-\246\366\375\177%\347y\377\24\13\252\216?\337d57\245\373\304?\211\210y\345r\310\367C\200\301f\254w\272\317T6\357(\233\324A\317\325\325p#\31\214?\177\237Z\242\350\13\254\335\270\314Hu\243\6\16\312j0N`\35B\246u\335\361\374\224", ) , ) == 0x0
 01920   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01921   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01922   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01918  2016   NtUserWaitMessage  ... ) == 0x1
 01923  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01924  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01925  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01926  2016   NtGdiFlush  (... ) == 0x0
 01927  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01924  2016   NtUserRedrawWindow  ... ) == 0x1
 01923  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112e0, {0, 0}}, ) == 0x0
 01922   896   NtUserMessageCall  ... ) == 0xa
 01928   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ...
 01929  2016   NtUserWaitMessage  (...
 01928   896   NtReadFile  ... {status=0x0, info=65536},  ... {status=0x0, info=65536}, "\23BN\312\210\2626\346\351\224\6\177\275\16\323\331kXS\204Jo\215<\313!\362\326\373\318\321n\310X\350w&\216e\324D\216: n\310=V\242V]\350\15K\324\205\240\323kQ\230\257\231v\317\216v\31780\330-l\35\265\364\325h'\341\342\321\210D\266C&\345\311\270\253\223\261\230\210\220\335\203\335\340\375\271\320\324\311\355\217%\306\340\252k4\247vZ\243\217pZ\262\364\243|x\313R\230PC\212x@\246\254\225\267f\364\250\37|l\3672\34BX\10z\256G\244\34\1#\335h\243\7u\224\334s\213\21\241\220\340\252\354\2760<:s"\263`\342md$90S \254\344#\373\232\362T\236\373;V-\352\11\202\2553\341\273w\310\330\27Ta\253\273\10\235\224\14\324\210UZ\261S.\320\230\224\177D\3\300\34]\202\372%H\312\224\304[\27\342\36K\357\32\346\301q\310\11\12\352`\342\232=;\252NbZi\37\334A\306[Ib\362g\253\373\212\267,\311\262*\214\213\331a)X\13U.D\306\266s\202\252eYZ\276\201\V\372\256AF\356\356\343\267\254-\256v\310\237`\310\227_\242\247\367\302\2650\301PS\313*\351w\303\354\350J5)6\240\17\261\263O\302\10\226\374l%\275\256\216g\314\224l[X$?\330\261\326\312\13\370&\6\35\343\226\213\2363\33\222\0\226\236\360\303\3565\2235\277\326\4'C\230\362\30Xe\301\361L\360\201\13\2156\27d\223n\354\365Q\336\216O\264\220\302NF\22\216\256G\246\207:\365>\15o\263\335|\363al\230z\326\324\215qvYc\256\331\262\15\200\207x\321\360h\307\365\302Ik\226\254\240\325\6\314\306\260\32\342\205\223\3216'\331\367\342FE\304\4V\311\306\350\11\5\205\347\255\20\205\35\340$", ) \263`\342md$90S \254\344#\373\232\362T\236\373;V-\352\11\202\2553\341\273w\310\330\27Ta\253\273\10\235\224\14\324\210UZ\261S.\320\230\224\177D\3\300\34]\202\372%H\312\224\304[\27\342\36K\357\32\346\301q\310\11\12\352`\342\232=;\252NbZi\37\334A\306[Ib\362g\253\373\212\267,\311\262*\214\213\331a)X\13U.D\306\266s\202\252eYZ\276\201\V\372\256AF\356\356\343\267\254-\256v\310\237`\310\227_\242\247\367\302\2650\301PS\313*\351w\303\354\350J5)6\240\17\261\263O\302\10\226\374l%\275\256\216g\314\224l[X$?\330\261\326\312\13\370&\6\35\343\226\213\2363\33\222\0\226\236\360\303\3565\2235\277\326\4'C\230\362\30Xe\301\361L\360\201\13\2156\27d\223n\354\365Q\336\216O\264\220\302NF\22\216\256G\246\207:\365>\15o\263\335|\363al\230z\326\324\215qvYc\256\331\262\15\200\207x\321\360h\307\365\302Ik\226\254\240\325\6\314\306\260\32\342\205\223\3216'\331\367\342FE\304\4V\311\306\350\11\5\205\347\255\20\205\35\340$", ) == 0x0
 01930   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01931   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01932   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01929  2016   NtUserWaitMessage  ... ) == 0x1
 01933  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01934  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01935  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01936  2016   NtGdiFlush  (... ) == 0x0
 01937  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01934  2016   NtUserRedrawWindow  ... ) == 0x1
 01933  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112e0, {0, 0}}, ) == 0x0
 01938  2016   NtUserWaitMessage  (...
 01932   896   NtUserMessageCall  ... ) == 0xb
 01939   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\226\264\35\357C\356\34\230\361\316\333?5\317\366\271\377\230d\267ax7\35517!*0#\316\312\364z\26\205\37P\267h\14\20\244k}lO\355\372\356\347\211k\236\230n[\343\26\227G\356^2L\265\244\277\246\355uX\306\356\101\213\336\2144\332\350u\230h7q~0\336\300y\205s4"\257\32\207\224\272\266\4/i\256\241\300mU\3\263t\361\367\206=\215_OTe\3454\217\352\31\2539\20\6gu\360\310\3\203\301[\272\246\332R\214\7\327\267+\250\244\200\346\223\347E{6\\316\220\216\346\316E\15\273\274\337w:a?l\345\374@\215\2078\273\26\374\6\310\323\343@\237\247vl]\204\213\331j\364BT~\315\213lA7he\205\332R\346\354\37 \235Z\16\366\227h\275F\351\262ON\13Dh\11\344\210\320t\235I\271\30\232\224\2\254_\213\255\225\313\361\251\32\35AO'\303\4\2273^\246{\276\314\377\350P\37D:\230x\12z\6\325\200[\216\16<\330!\226\266\233X:\366\226\324\250\206a\353f\324y\362\21GB^6Y\202\12\12\25\365\361\3469\20d+\250\3\315>\351\333\350v?\330\266\3240\254Vq4\3\31\3074\323(\335\246*W\313\320_m\262;\275*\314D[,\224\11nL\376\26=%\320Zi\225\25\352h\11\313\207\5R`\241\241\311[T\367\200\215\364q\15\12\203^$^\215$ \367q\342\5\321Eu]'\300\332\335\234", ) *0#\316\312\364z\26\205\37P\267h\14\20\244k}lO\355\372\356\347\211k\236\230n[\343\26\227G\356^2L\265\244\277\246\355uX\306\356\101\213\336\2144\332\350u\230h7q~0\336\300y\205s4357\22\242\231()?\16\311\252g\371\5\349\260A\251G\2\362Q\270'\220`\357 \357c\307s\366\301BW\310\336\344\227\311\362r\365\250\33\366\237s@w\320\256\217q\15.\3\371\336\240\372\376\233\217`N\360K\3133U\310wW  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\226\264\35\357C\356\34\230\361\316\333?5\317\366\271\377\230d\267ax7\35517!*0#\316\312\364z\26\205\37P\267h\14\20\244k}lO\355\372\356\347\211k\236\230n[\343\26\227G\356^2L\265\244\277\246\355uX\306\356\101\213\336\2144\332\350u\230h7q~0\336\300y\205s4"\257\32\207\224\272\266\4/i\256\241\300mU\3\263t\361\367\206=\215_OTe\3454\217\352\31\2539\20\6gu\360\310\3\203\301[\272\246\332R\214\7\327\267+\250\244\200\346\223\347E{6\\316\220\216\346\316E\15\273\274\337w:a?l\345\374@\215\2078\273\26\374\6\310\323\343@\237\247vl]\204\213\331j\364BT~\315\213lA7he\205\332R\346\354\37 \235Z\16\366\227h\275F\351\262ON\13Dh\11\344\210\320t\235I\271\30\232\224\2\254_\213\255\225\313\361\251\32\35AO'\303\4\2273^\246{\276\314\377\350P\37D:\230x\12z\6\325\200[\216\16<\330!\226\266\233X:\366\226\324\250\206a\353f\324y\362\21GB^6Y\202\12\12\25\365\361\3469\20d+\250\3\315>\351\333\350v?\330\266\3240\254Vq4\3\31\3074\323(\335\246*W\313\320_m\262;\275*\314D[,\224\11nL\376\26=%\320Zi\225\25\352h\11\313\207\5R`\241\241\311[T\367\200\215\364q\15\12\203^$^\215$ \367q\342\5\321Eu]'\300\332\335\234", ) , ) == 0x0
 01940   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01941   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01942   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01938  2016   NtUserWaitMessage  ... ) == 0x1
 01943  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01944  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01945  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01946  2016   NtGdiFlush  (... ) == 0x0
 01947  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01944  2016   NtUserRedrawWindow  ... ) == 0x1
 01943  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112e0, {0, 0}}, ) == 0x0
 01948  2016   NtUserWaitMessage  (...
 01942   896   NtUserMessageCall  ... ) == 0xc
 01949   896   NtReadFile  (128, 0, 0, 0, 33528, 0x0, 0, ... {status=0x0, info=33528},  (128, 0, 0, 0, 33528, 0x0, 0, ... {status=0x0, info=33528}, "rA\206+E\15\227\313\243\235\310\260\221\374Tx=D\221\17h\254\232\373\301\203L\202\206\2051\305\363\341\315\225\334G\35\300c\244\330K\207\216\301\371\215\210~\227\320>\5is\331~B[\331%\246\305\253>\245#\347$\1^wfk\223\321\262yj\344AGinD\263o\177Dw.\220\335o\32\345/\7\353\12rS&{/\303T\337k\370nE*\2006\366\206\350tO\14(\352\265\253\247\14\315\361\244\370cI\223T)\216\250\372k\3324u\21\323WO\372\241V\254\213&\255h\16W"^n*\32\21\246\200:s\251A\331\14\306M\201nu\310\31\213\262\356\351\333UF4\243])jabj\235?\205#\311\343Z\210>\335\2410\35\32\246\374\12\230<%\312h5\20\315\355\276\260N\6\251mc"\343\34V\337\242\34\252\37V1\354 \14\253V\265\373\233\365cPQ\17\244\37?\246RB\3456#\223\3250\340\256\10V\301\227S\306~\261\35\240\230o\207\317XGV\214\225en\31\306\10\366<\342\207h\272\3\354F\351\364CR\216[\277\330\255\316\365\222c\324\370\226\254\10t"\324J\35\23\212\3\303b\274t\366Q\20\231[Be\204\257\377\11u\273K\376\37l!v\11\216\367UP\234\3\277\253@Ma\320\247}"\2145\271\24\2362\227\3032\W\\313\245\267vd\345\365L\336aq\305k\205\246\2664\227;\31\323\302}\352\31\22(\246G'\261\311\11\37\336I|@U\265\357\24\204\373\301\0-\311z\277\255l\242\333TR\371f\254Qk\14\234\271/\302\202\275\231\363\336V]\1\2072\204\233\254\205/u\261hp\302\212l\332&\204\15Vw\243\3353j\233[.\332\255\3272\312\270\371}\340\215\354kk\211\2554\232\212\333Y3U", ) ^n*\32\21\246\200:s\251A\331\14\306M\201nu\310\31\213\262\356\351\333UF4\243])jabj\235?\205#\311\343Z\210>\335\2410\35\32\246\374\12\230<%\312h5\20\315\355\276\260N\6\251mc (128, 0, 0, 0, 33528, 0x0, 0, ... {status=0x0, info=33528}, "rA\206+E\15\227\313\243\235\310\260\221\374Tx=D\221\17h\254\232\373\301\203L\202\206\2051\305\363\341\315\225\334G\35\300c\244\330K\207\216\301\371\215\210~\227\320>\5is\331~B[\331%\246\305\253>\245#\347$\1^wfk\223\321\262yj\344AGinD\263o\177Dw.\220\335o\32\345/\7\353\12rS&{/\303T\337k\370nE*\2006\366\206\350tO\14(\352\265\253\247\14\315\361\244\370cI\223T)\216\250\372k\3324u\21\323WO\372\241V\254\213&\255h\16W"^n*\32\21\246\200:s\251A\331\14\306M\201nu\310\31\213\262\356\351\333UF4\243])jabj\235?\205#\311\343Z\210>\335\2410\35\32\246\374\12\230<%\312h5\20\315\355\276\260N\6\251mc"\343\34V\337\242\34\252\37V1\354 \14\253V\265\373\233\365cPQ\17\244\37?\246RB\3456#\223\3250\340\256\10V\301\227S\306~\261\35\240\230o\207\317XGV\214\225en\31\306\10\366<\342\207h\272\3\354F\351\364CR\216[\277\330\255\316\365\222c\324\370\226\254\10t"\324J\35\23\212\3\303b\274t\366Q\20\231[Be\204\257\377\11u\273K\376\37l!v\11\216\367UP\234\3\277\253@Ma\320\247}"\2145\271\24\2362\227\3032\W\\313\245\267vd\345\365L\336aq\305k\205\246\2664\227;\31\323\302}\352\31\22(\246G'\261\311\11\37\336I|@U\265\357\24\204\373\301\0-\311z\277\255l\242\333TR\371f\254Qk\14\234\271/\302\202\275\231\363\336V]\1\2072\204\233\254\205/u\261hp\302\212l\332&\204\15Vw\243\3353j\233[.\332\255\3272\312\270\371}\340\215\354kk\211\2554\232\212\333Y3U", ) \324J\35\23\212\3\303b\274t\366Q\20\231[Be\204\257\377\11u\273K\376\37l!v\11\216\367UP\234\3\277\253@Ma\320\247} (128, 0, 0, 0, 33528, 0x0, 0, ... {status=0x0, info=33528}, "rA\206+E\15\227\313\243\235\310\260\221\374Tx=D\221\17h\254\232\373\301\203L\202\206\2051\305\363\341\315\225\334G\35\300c\244\330K\207\216\301\371\215\210~\227\320>\5is\331~B[\331%\246\305\253>\245#\347$\1^wfk\223\321\262yj\344AGinD\263o\177Dw.\220\335o\32\345/\7\353\12rS&{/\303T\337k\370nE*\2006\366\206\350tO\14(\352\265\253\247\14\315\361\244\370cI\223T)\216\250\372k\3324u\21\323WO\372\241V\254\213&\255h\16W"^n*\32\21\246\200:s\251A\331\14\306M\201nu\310\31\213\262\356\351\333UF4\243])jabj\235?\205#\311\343Z\210>\335\2410\35\32\246\374\12\230<%\312h5\20\315\355\276\260N\6\251mc"\343\34V\337\242\34\252\37V1\354 \14\253V\265\373\233\365cPQ\17\244\37?\246RB\3456#\223\3250\340\256\10V\301\227S\306~\261\35\240\230o\207\317XGV\214\225en\31\306\10\366<\342\207h\272\3\354F\351\364CR\216[\277\330\255\316\365\222c\324\370\226\254\10t"\324J\35\23\212\3\303b\274t\366Q\20\231[Be\204\257\377\11u\273K\376\37l!v\11\216\367UP\234\3\277\253@Ma\320\247}"\2145\271\24\2362\227\3032\W\\313\245\267vd\345\365L\336aq\305k\205\246\2664\227;\31\323\302}\352\31\22(\246G'\261\311\11\37\336I|@U\265\357\24\204\373\301\0-\311z\277\255l\242\333TR\371f\254Qk\14\234\271/\302\202\275\231\363\336V]\1\2072\204\233\254\205/u\261hp\302\212l\332&\204\15Vw\243\3353j\233[.\332\255\3272\312\270\371}\340\215\354kk\211\2554\232\212\333Y3U", ) , ) == 0x0
 01950   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01951   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01952   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01948  2016   NtUserWaitMessage  ... ) == 0x1
 01953  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01954  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01955  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01956  2016   NtGdiFlush  (... ) == 0x0
 01957  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01954  2016   NtUserRedrawWindow  ... ) == 0x1
 01953  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112e0, {0, 0}}, ) == 0x0
 01958  2016   NtUserWaitMessage  (...
 01952   896   NtUserMessageCall  ... ) == 0xd
 01959   896   NtSetInformationFile  (128, 458456, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 01960   896   NtReadFile  (128, 0, 0, 0, 36, 0x0, 0, ... {status=0x0, info=36},  (128, 0, 0, 0, 36, 0x0, 0, ... {status=0x0, info=36}, "MSCF\0\0\0\0\364\202\15\0\0\0\0\0,\0\0\0\0\0\0\0\3\1\1\0\14\0\0\01?\0\0", ) , ) == 0x0
 01961   896   NtUserShowWindow  (590128, 0, ...
 01958  2016   NtUserWaitMessage  ... ) == 0x1
 01962  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01963  2016   NtUserGetThreadState  (0, ... ) == 0xc0144
 01964  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01965  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01966  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01967  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01968  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 01969  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 01970  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 01971  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 01972  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 01973  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 01974  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01975  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01976  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01962  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112e0, {0, 0}}, ) == 0x0
 01977  2016   NtUserWaitMessage  (... ) == 0x1
 01978  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01979   896   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ... ) == 0x0
 01980   896   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 01981   896   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ... ) == 0x0
 01982   896   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 01978  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112e0, {0, 0}}, ) == 0x0
 01983  2016   NtUserWaitMessage  (... ) == 0x1
 01984  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01985  2016   NtUserInternalGetWindowText  (0x90130, 260, ...  (0x90130, 260, ... "Extracting Files", ) , ) == 0x10
 01986  2016   NtUserGetWindowDC  (590128, ... ) == 0x1010052
 01987  2016   NtGdiGetRandomRgn  (16842834, -939260295, 1, ... ) == 0x0
 01988  2016   NtGdiIntersectClipRect  (16842834, 0, 0, 0, 0, ... ) == 0x3
 01989  2016   NtGdiGetCharSet  (16842834, ... ) == 0x4e4
 01990  2016   NtGdiExtSelectClipRgn  (16842834, 0, 5, ... ) == 0x1
 01991  2016   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 01992  2016   NtUserCalcMenuBar  (590128, 3, 3, 29, 2501400, ... ) == 0x0
 01993  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 8386792, 690, 0, ...
 01994  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 0, 670, 1, ... ) == 0x0
 01993  2016   NtUserMessageCall  ... ) == 0x0
 01995  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 8386792, 690, 0, ...
 01996  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 0, 670, 1, ... ) == 0x0
 01995  2016   NtUserMessageCall  ... ) == 0x0
 01997  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 8386792, 690, 0, ...
 01998  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 01997  2016   NtUserMessageCall  ... ) == 0x0
 01999  2016   NtUserGetTitleBarInfo  (590128, 8387424, ... ) == 0x1
 02000  2016   NtUserBuildHwndList  (0, 590128, 1, 0, 64, ... (0xc0144, 0xa0132, 0xa0142, 0xb0116, 0x100100, 0x1, ), 6, ) == 0x0
 02001  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 02002  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 02003  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 02004  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 02005  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 02006  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 02007  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 02008  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 02009  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 02010  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 02011  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 02012  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 02013  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 02014  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 02015  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01961   896   NtUserShowWindow  ... ) == 0x10
 02016   896   NtOpenProcessToken  (-1, 0x28, ... 124, ) == 0x0
 02017   896   NtQueryInformationToken  (124, Owner, 65536, ... {token info, class 4, size 32}, 32, ) == 0x0
 02018   896   NtQueryInformationToken  (124, User, 65536, ... {token info, class 1, size 36}, 36, ) == 0x0
 02019   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02020   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02021   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "a:"}, ... 136, ) }, ... 136, ) == 0x0
 01984  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112e0, {0, 0}}, ) == 0x0
 02022  2016   NtUserWaitMessage  (...
 02023   896   NtQuerySymbolicLinkObject  (136, ...  (136, ... "\Device\Floppy0", 32, ) , 32, ) == 0x0
 02024   896   NtClose  (136, ... ) == 0x0
 02025   896   NtClose  (132, ... ) == 0x0
 02026   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02027   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\b:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02028   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\b:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02029   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\b:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02030   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02031   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "b:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02032   896   NtClose  (132, ... ) == 0x0
 02033   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02034   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02035   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "c:"}, ... 136, ) }, ... 136, ) == 0x0
 02036   896   NtQuerySymbolicLinkObject  (136, ...  (136, ... "\Device\HarddiskVolume1", 48, ) , 48, ) == 0x0
 02037   896   NtClose  (136, ... ) == 0x0
 02038   896   NtClose  (132, ... ) == 0x0
 02039   896   NtOpenFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\c:\"}, 3, 8388641, ... 132, {status=0x0, info=1}, ) }, 3, 8388641, ... 132, {status=0x0, info=1}, ) == 0x0
 02040   896   NtQueryVolumeInformationFile  (132, 456984, 24, Size, ... {status=0x0, info=24}, ) == 0x0
 02041   896   NtClose  (132, ... ) == 0x0
 02042   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02043   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\d:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02044   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\d:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02045   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\d:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02046   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02047   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "d:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02048   896   NtClose  (132, ... ) == 0x0
 02049   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02050   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\e:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02051   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\e:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02052   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\e:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02053   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02054   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "e:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02055   896   NtClose  (132, ... ) == 0x0
 02056   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02057   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\f:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02058   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\f:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02059   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\f:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02060   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02061   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "f:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02062   896   NtClose  (132, ... ) == 0x0
 02063   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02064   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\g:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02065   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\g:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02066   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\g:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02067   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02068   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "g:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02069   896   NtClose  (132, ... ) == 0x0
 02070   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02071   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\h:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02072   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\h:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02073   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\h:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02074   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02075   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "h:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02076   896   NtClose  (132, ... ) == 0x0
 02077   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02078   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\i:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02079   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\i:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02080   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\i:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02081   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02082   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "i:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02083   896   NtClose  (132, ... ) == 0x0
 02084   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02085   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\j:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02086   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\j:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02087   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\j:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02088   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02089   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "j:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02090   896   NtClose  (132, ... ) == 0x0
 02091   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02092   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\k:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02093   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\k:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02094   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\k:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02095   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02096   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "k:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02097   896   NtClose  (132, ... ) == 0x0
 02098   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02099   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\l:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02100   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\l:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02101   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\l:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02102   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02103   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "l:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02104   896   NtClose  (132, ... ) == 0x0
 02105   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02106   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\m:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02107   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\m:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02108   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\m:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02109   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02110   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "m:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02111   896   NtClose  (132, ... ) == 0x0
 02112   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02113   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\n:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02114   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\n:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02115   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\n:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02116   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02117   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "n:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02118   896   NtClose  (132, ... ) == 0x0
 02119   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02120   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\o:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02121   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\o:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02122   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\o:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02123   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02124   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "o:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02125   896   NtClose  (132, ... ) == 0x0
 02126   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02127   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\p:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02128   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\p:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02129   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\p:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02130   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02131   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "p:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02132   896   NtClose  (132, ... ) == 0x0
 02133   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02134   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\q:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02135   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\q:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02136   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\q:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02137   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02138   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "q:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02139   896   NtClose  (132, ... ) == 0x0
 02140   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02141   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\r:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02142   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\r:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02143   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\r:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02144   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02145   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "r:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02146   896   NtClose  (132, ... ) == 0x0
 02147   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02148   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\s:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02149   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\s:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02150   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\s:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02151   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02152   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "s:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02153   896   NtClose  (132, ... ) == 0x0
 02154   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02155   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\t:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02156   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\t:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02157   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\t:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02158   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02159   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "t:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02160   896   NtClose  (132, ... ) == 0x0
 02161   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02162   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\u:"}, 3, 96, ... 132, {status=0x0, info=1}, ) }, 3, 96, ... 132, {status=0x0, info=1}, ) == 0x0
 02163   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\u:"}, ... 136, ) }, ... 136, ) == 0x0
 02164   896   NtQuerySymbolicLinkObject  (136, ...  (136, ... "\Device\WinDfs\U:0000000000009f43", 66, ) , 66, ) == 0x0
 02165   896   NtClose  (136, ... ) == 0x0
 02166   896   NtQueryVolumeInformationFile  (132, 455972, 8, Device, ... {status=0x0, info=8}, ) == 0x0
 02167   896   NtClose  (132, ... ) == 0x0
 02168   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02169   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "u:"}, ... 136, ) }, ... 136, ) == 0x0
 02170   896   NtQuerySymbolicLinkObject  (136, ...  (136, ... "\Device\WinDfs\U:0000000000009f43", 66, ) , 66, ) == 0x0
 02171   896   NtClose  (136, ... ) == 0x0
 02172   896   NtClose  (132, ... ) == 0x0
 02173   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02174   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\v:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02175   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\v:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02176   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\v:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02177   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02178   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "v:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02179   896   NtClose  (132, ... ) == 0x0
 02180   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02181   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\w:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02182   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\w:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02183   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\w:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02184   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02185   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "w:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02186   896   NtClose  (132, ... ) == 0x0
 02187   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02188   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\x:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02189   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\x:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02190   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\x:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02191   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02192   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "x:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02193   896   NtClose  (132, ... ) == 0x0
 02194   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02195   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\y:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02196   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\y:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02197   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\y:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02198   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02199   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "y:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02200   896   NtClose  (132, ... ) == 0x0
 02201   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02202   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\z:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02203   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\z:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02204   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\z:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02205   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02206   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "z:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02207   896   NtClose  (132, ... ) == 0x0
 02208   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 02209   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 132, ) == 0x0
 02210   896   NtQueryInformationToken  (132, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 02211   896   NtClose  (132, ... ) == 0x0
 02212   896   NtOpenKey  (0x20019, {24, 0, 0x640, 0, 0,  (0x20019, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... 132, ) }, ... 132, ) == 0x0
 02213   896   NtOpenKey  (0x20019, {24, 132, 0x40, 0, 0,  (0x20019, {24, 132, 0x40, 0, 0, "SOFTWARE\Microsoft\Cryptography\Providers\Type 001"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02214   896   NtClose  (132, ... ) == 0x0
 02215   896   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "SOFTWARE\Microsoft\Cryptography\Defaults\Provider Types\Type 001"}, ... 132, ) }, ... 132, ) == 0x0
 02216   896   NtQueryValueKey  (132,  (132, "Name", Partial, 144, ... TitleIdx=0, Type=1, Data="M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0S\0t\0r\0o\0n\0g\0 \0C\0r\0y\0p\0t\0o\0g\0r\0a\0p\0h\0i\0c\0 \0P\0r\0o\0v\0i\0d\0e\0r\0\0\0"}, 92, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (132, "Name", Partial, 144, ... TitleIdx=0, Type=1, Data="M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0S\0t\0r\0o\0n\0g\0 \0C\0r\0y\0p\0t\0o\0g\0r\0a\0p\0h\0i\0c\0 \0P\0r\0o\0v\0i\0d\0e\0r\0\0\0"}, 92, ) }, 92, ) == 0x0
 02217   896   NtQueryValueKey  (132,  (132, "Name", Partial, 144, ... TitleIdx=0, Type=1, Data="M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0S\0t\0r\0o\0n\0g\0 \0C\0r\0y\0p\0t\0o\0g\0r\0a\0p\0h\0i\0c\0 \0P\0r\0o\0v\0i\0d\0e\0r\0\0\0"}, 92, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (132, "Name", Partial, 144, ... TitleIdx=0, Type=1, Data="M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0S\0t\0r\0o\0n\0g\0 \0C\0r\0y\0p\0t\0o\0g\0r\0a\0p\0h\0i\0c\0 \0P\0r\0o\0v\0i\0d\0e\0r\0\0\0"}, 92, ) }, 92, ) == 0x0
 02218   896   NtQueryValueKey  (132,  (132, "Name", Partial, 144, ... TitleIdx=0, Type=1, Data="M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0S\0t\0r\0o\0n\0g\0 \0C\0r\0y\0p\0t\0o\0g\0r\0a\0p\0h\0i\0c\0 \0P\0r\0o\0v\0i\0d\0e\0r\0\0\0"}, 92, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (132, "Name", Partial, 144, ... TitleIdx=0, Type=1, Data="M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0S\0t\0r\0o\0n\0g\0 \0C\0r\0y\0p\0t\0o\0g\0r\0a\0p\0h\0i\0c\0 \0P\0r\0o\0v\0i\0d\0e\0r\0\0\0"}, 92, ) }, 92, ) == 0x0
 02219   896   NtQueryValueKey  (132,  (132, "Name", Partial, 144, ... TitleIdx=0, Type=1, Data="M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0S\0t\0r\0o\0n\0g\0 \0C\0r\0y\0p\0t\0o\0g\0r\0a\0p\0h\0i\0c\0 \0P\0r\0o\0v\0i\0d\0e\0r\0\0\0"}, 92, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (132, "Name", Partial, 144, ... TitleIdx=0, Type=1, Data="M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0S\0t\0r\0o\0n\0g\0 \0C\0r\0y\0p\0t\0o\0g\0r\0a\0p\0h\0i\0c\0 \0P\0r\0o\0v\0i\0d\0e\0r\0\0\0"}, 92, ) }, 92, ) == 0x0
 02220   896   NtClose  (132, ... ) == 0x0
 02221   896   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Strong Cryptographic Provider"}, ... 132, ) }, ... 132, ) == 0x0
 02222   896   NtQueryValueKey  (132,  (132, "Type", Partial, 144, ... TitleIdx=0, Type=4, Data="\1\0\0\0"}, 16, ) , Partial, 144, ... TitleIdx=0, Type=4, Data= (132, "Type", Partial, 144, ... TitleIdx=0, Type=4, Data="\1\0\0\0"}, 16, ) }, 16, ) == 0x0
 02223   896   NtQueryValueKey  (132,  (132, "Image Path", Partial, 144, ... TitleIdx=0, Type=1, Data="r\0s\0a\0e\0n\0h\0.\0d\0l\0l\0\0\0"}, 34, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (132, "Image Path", Partial, 144, ... TitleIdx=0, Type=1, Data="r\0s\0a\0e\0n\0h\0.\0d\0l\0l\0\0\0"}, 34, ) }, 34, ) == 0x0
 02224   896   NtQueryValueKey  (132,  (132, "Image Path", Partial, 144, ... TitleIdx=0, Type=1, Data="r\0s\0a\0e\0n\0h\0.\0d\0l\0l\0\0\0"}, 34, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (132, "Image Path", Partial, 144, ... TitleIdx=0, Type=1, Data="r\0s\0a\0e\0n\0h\0.\0d\0l\0l\0\0\0"}, 34, ) }, 34, ) == 0x0
 02225   896   NtQueryValueKey  (132,  (132, "Image Path", Partial, 144, ... TitleIdx=0, Type=1, Data="r\0s\0a\0e\0n\0h\0.\0d\0l\0l\0\0\0"}, 34, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (132, "Image Path", Partial, 144, ... TitleIdx=0, Type=1, Data="r\0s\0a\0e\0n\0h\0.\0d\0l\0l\0\0\0"}, 34, ) }, 34, ) == 0x0
 02226   896   NtQueryValueKey  (132,  (132, "Image Path", Partial, 144, ... TitleIdx=0, Type=1, Data="r\0s\0a\0e\0n\0h\0.\0d\0l\0l\0\0\0"}, 34, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (132, "Image Path", Partial, 144, ... TitleIdx=0, Type=1, Data="r\0s\0a\0e\0n\0h\0.\0d\0l\0l\0\0\0"}, 34, ) }, 34, ) == 0x0
 02227   896   NtQuerySystemInformation  (KernelDebugger, 2, ... {system info, class 35, size 2}, -1, ) == 0x0
 02228   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\u:\work\rsaenh.dll"}, 455408, ... ) }, 455408, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02229   896   NtQueryAttributesFile  ({24, 12, 0x40, 0, 0,  ({24, 12, 0x40, 0, 0, "rsaenh.dll"}, 455408, ... ) }, 455408, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02230   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\rsaenh.dll"}, 455408, ... ) }, 455408, ... ) == 0x0
 02231   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 455916,  (0x80100080, {24, 0, 0x40, 0, 455916, "\??\C:\WINDOWS\system32\rsaenh.dll"}, 0x0, 128, 1, 1, 96, 0, 0, ... 136, {status=0x0, info=1}, ) }, 0x0, 128, 1, 1, 96, 0, 0, ... 136, {status=0x0, info=1}, ) == 0x0
 02232   896   NtQueryInformationFile  (136, 455896, 24, Standard, ... {status=0x0, info=24}, ) == 0x0
 02233   896   NtCreateSection  (0xf0005, 0x0, 0x0, 2, 134217728, 136, ... 140, ) == 0x0
 02234   896   NtMapViewOfSection  (140, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 2, ... (0x950000), {0, 0}, 155648, ) == 0x0
 02235   896   NtClose  (140, ... ) == 0x0
 02236   896   NtClose  (136, ... ) == 0x0
 02237   896   NtUnmapViewOfSection  (-1, 0x950000, ... ) == 0x0
 02238   896   NtQueryFullAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\rsaenh.dll"}, 456144, ... ) }, 456144, ... ) == 0x0
 02239   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 455980,  (0x80100080, {24, 0, 0x40, 0, 455980, "\??\C:\WINDOWS\system32\rsaenh.dll"}, 0x0, 128, 1, 1, 96, 0, 0, ... 136, {status=0x0, info=1}, ) }, 0x0, 128, 1, 1, 96, 0, 0, ... 136, {status=0x0, info=1}, ) == 0x0
 02240   896   NtCreateSection  (0xf0005, 0x0, 0x0, 2, 134217728, 136, ... 140, ) == 0x0
 02241   896   NtMapViewOfSection  (140, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 2, ... (0x950000), {0, 0}, 155648, ) == 0x0
 02242   896   NtQueryDefaultLocale  (1, 455872, ... ) == 0x0
 02243   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x26000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02244   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x26000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02245   896   NtReadFile  (136, 0, 0, 0, 328, 0x0, 0, ... {status=0x0, info=328},  (136, 0, 0, 0, 328, 0x0, 0, ... {status=0x0, info=328}, "MZ\220\0\3\0\0\0\4\0\0\0\377\377\0\0\270\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\360\0\0\0\16\37\272\16\0\264\11\315!\270\1L\315!This program cannot be run in DOS mode.\15\15\12$\0\0\0\0\0\0\0\7\267\232\34C\326\364OC\326\364OC\326\364O\200\331\373OJ\326\364OC\326\365O\320\326\364O\200\331\251OH\326\364O\200\331\250OB\326\364O\200\331\252OB\326\364O\200\331\224OB\326\364O\200\331\253Oj\326\364O\200\331\256OB\326\364ORichC\326\364O\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0PE\0\0L\1\4\0(]\353@\0\0\0\0\0\0\0\0\340\0\16!\13\1\7\12\0\14\2\0\0F\0\0\0\0\0\0\3414\1\0\0\20\0\0\0 \2\0\0\0\375\17\0\20\0\0\0\2\0\0\5\0\1\0\5\0\1\0\4\0\0\0\0\0\0\0\0\200\2\0\0\4\0\0", ) , ) == 0x0
 02246   896   NtQueryInformationFile  (136, 456032, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 02247   896   NtSetInformationFile  (136, 456032, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 02248   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\3\0\0\10\0\0\4\0\0\20\0\0\0\0\20\0\0\20\0\0\0\0\0\0\20\0\0\0\200\30\2\0\273\2\0\08\14\2\0x\0\0\0\0P\2\0P\14\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0`\2\0\354\16\0\00\22\0\0\34\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\200`\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\20\0\00\2\0\00\12\2\0\340\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0.text\0\0\0;\13\2\0\0\20\0\0\0\14\2\0\0\4\0\0\0\0\0\0\0\0\0\0\0\0\0\0 \0\0`.data\0\0\0\210%\0\0\0 \2\0\0$\0\0\0\20\2\0\0\0\0\0\0\0\0\0\0\0\0\0@\0\0\300.rsrc\0\0\0P\14\0\0\0P\2\0\0\16\0\0\04\2\0\0\0\0\0\0\0\0\0\0\0\0\0@\0\0@.reloc\0\0r\20\0\0\0`\2\0\0\22\0\0\0B\2\0\0\0\0\0\0\0\0\0\0\0\0\0@\0\0B\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) , ) == 0x0
 02249   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\0 \0\0@ \0\200\0\0 \0@ \0\0@  \200\0  \0\0\0\0\200\0 \0\200@\0\0\200\0\0 \200@  \0\0\0 \0@ \0\200@\0 \200\0\0\0\0\0 \0\0@\0\0\0\0  \200@\0 \200@  \200\0\0 \200\0\0\0\200@ \0\0@\0\0\0\0  \0@  \0\0 \0\200@ \0\0\0\0\0\200\0 \0\200@  \0\0  \200@\0 \0\0\0\0\0\0 \0\200\0\0\0\200\0 \0\0@\0 \200\0\0 \0@\0 \0@  \200\0  \0@\0\0\0@  \200\0  \0\0\0 \0@ \0\200@\0\0\200\0\0 \200@  \0\0\0\0\0\0 \0\0@\0\0\200@ \0\200\0  \200\0\0 \200@ \0\0@\0\0\0@\0 \200\0@\0\0\0\2\0\0\0\2\0\1\4\0\0\1\4B\0\1\4@\0\0\0B\0\0\0\0\0\0\0\0\0\1\4\2\0\1\4\2\0\0\0@\0\1\4\0\0\0\0B\0\1\0@\0\1\4\2\0\0\4\2\0\1\0@\0\0\4@\0\0\4B\0\1\0\0\0\0\0\2\0\1\4\0\0\1\0B\0\0\4@\0\1\4B\0\0\0B\0\1\4\0\0\0\4B\0\0\4@\0\1\0\2\0\0\0\0\0\1\4B\0\0\0@\0\1\4@\0\1\4\2\0\0\0@\0\0\0\2\0\0\0\0\0\1\4@\0\1\4\2\0\1\4B\0\0\0B\0\0\0\0\0\0\0\2\0\0\4\0\0\1\4\0\0\0\0\2\0\1\0\0\0\0\4\2\0\1\0\2\0\1\0B\0\0\4\2\0\0\0@\0\0\4B\0\1\0\0\0\1\0B\0\1\4\0\0\0\4@\0\0\4B\0\1\4\0\0\1\0B\0\1\0@\0\1\4@\0\0\200\0\200 \0\0\202 ", ) , ) == 0x0
 02250   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\250TT\374m\273\273\326,\26\26:\245\306cc\204\370||\231\356ww\215\366{{\15\377\362\362\275\326kk\261\336ooT\221\305\305P`00\3\2\1\1\251\316gg}V++\31\347\376\376b\265\327\327\346M\253\253\232\354vvE\217\312\312\235\37\202\202@\211\311\311\207\372}}\25\357\372\372\353\262YY\311\216GG\13\373\360\360\354A\255\255g\263\324\324\375_\242\242\352E\257\257\277#\234\234\367S\244\244\226\344rr[\233\300\300\302u\267\267\34\341\375\375\256=\223\223jL&&Zl66A~??\2\365\367\367O\203\314\314\h44\364Q\245\2454\321\345\345\10\371\361\361\223\342qqs\253\330\330Sb11?*\25\25\14\10\4\4R\225\307\307eF##^\235\303\303(0\30\30\2417\226\226\17\12\5\5\265/\232\232\11\16\7\76$\22\22\233\33\200\200=\337\342\342&\315\353\353iN''\315\177\262\262\237\352uu\33\22\11\11\236\35\203\203tX,,.4\32\32-6\33\33\262\334nn\356\264ZZ\373[\240\240\366\244RRMv;;a\267\326\326\316}\263\263{R))>\335\343\343q^//\227\23\204\204\365\246SSh\271\321\321\0\0\0\0,\301\355\355`@  \37\343\374\374\310y\261\261\355\266[[\276\324jjF\215\313\313\331g\276\276Kr99\336\224JJ\324\230LL\350\260XXJ\205\317\317k\273\320\320*\305\357\357\345O\252\252\26\355\373\373\305\206CC\327\232MMUf33\224\21\205\205\317\212EE\20\351\371\371\6\4\2\2\201\376\177\177\360\240PPDx<<\272%\237\237\343K\250\250\363\242QQ\376]\243\243\300\200@@\212\5\217\217\255?\222\222\274!\235\235Hp88\4\361\365\365\337c\274\274\301w\266\266", ) , ) == 0x0
 02251   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\3252\266pHl\t\320\270WBPQ\364\247S~Ae\303\32\27\244\226:'^\313;\253k\361\37\235E\253\254\372X\223K\343\3U 0\372\366\255vm\221\210\314v%\365\2L\374O\345\327\327\305*\313\200&5D\217\265b\243I\336\261Zg%\272\33\230E\352\16\341]\376\300\2\303/u\22\201L\360\243\215F\227\306k\323\371\347\3\217_\225\25\222\234\353\277mz\332\225RY-\324\276\203\323Xt!)I\340iD\216\311\310ju\302\211x\364\216yk\231X>\335'\271q\266\276\341O\27\360\210\255f\311 \254\264}\316:\30c\337J\202\345\321`\227Q3EbS\177\340\261dw\204\273k\256\34\376\201\240\224\371\10+XpHh\31\217E\375\207\224\336l\267R{\370#\253s\323\342rK\2W\343\37\217*fU\253\7\262\353(\3/\265\302\232\206\305{\245\3237\10\3620(\207\262#\277\245\272\2\3j\\355\26\202+\212\317\34\222\247y\264\360\363\7\362\241Ni\342\315e\332\364\325\6\5\276\37\3214b\212\304\246\376\2354.S\240\242\363U2\5\212\341u\244\366\3539\13\203\354\252@`\357\6^q\237Q\275n\20\371>!\212=\226\335\6\256\335>\5FM\346\275\265\221T\215\5q\304]o\4\6\324\377`P\25$\31\230\373\227\326\275\351\314\211@Cwg\331\236\275\260\350B\210\7\211\2138\347\31[\333y\310\356G\241|\12\351|B\17\311\370\204\36\0\0\0\0\203\11\200\206H2+\355\254\36\21pNlZr\373\375\16\377V\17\2058\36=\256\325'6-9d\12\17\331!h\\246\321\233[T:$6.\261\14\12g\17\223W\347\322\264\356\226\236\33\233\221O\200\300\305\242a\334 iZwK\26\34\22\32\12\342\223\272\345\300\240*", ) , ) == 0x0
 02252   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "<"\340C.9\367^ 0\372U\354\232\267\1\342\223\272\12\360\210\255\27\376\201\240\34\324\276\203-\332\267\216&\310\254\231;\306\245\2240\234\322\337Y\222\333\322R\200\300\305O\216\311\310D\244\366\353u\252\377\346~\270\344\361c\266\355\374h\14\12g\261\2\3j\272\20\30}\247\36\21p\2544.S\235:'^\226("@\35\236/KG\351d"I\340i)[\373~4U\362s?\177\315P\16q\304]\5c\337J\30m\326G\23\3271\334\312\3318\321\301\313#\306\334\305*\313\327\357\25\350\346\341\34\345\355\363\7\362\360\375\16\377\373\247y\264\222\251p\271\231\273k\256\204\265b\243\217\237]\200\276\221T\215\265\203O\232\250\215F\227\243\0\0\0\0\13\16\11\15\26\34\22\32\35\22\33\27,8$4'6-9:$6.1*?#XpHhS~AeNlZrEbS\177tHl\\177FeQbT~FiZwK\260\340\220\320\273\356\231\335\246\374\202\312\255\362\213\307\234\330\264\344\227\326\275\351\212\304\246\376\201\312\257\363\350\220\330\270\343\236\321\265\376\214\312\242\365\202\303\257\304\250\374\214\317\246\365\201\322\264\356\226\331\272\347\233{\333;\273p\3252\266m\307)\241f\311 \254W\343\37\217\\355\26\202A\377\15\225J\361\4\230#\253s\323(\245z\3365\267a\311>\271h\304\17\223W\347\4\235^\352\31\217E\375\22\201L\360\313;\253k\3005\242f\335'\271q\326)\260|\347\3\217_\354\15\206R\361\37\235E\372\21\224H\223K\343\3\230E\352\16", ) \340C.9\367^ 0\372U\354\232\267\1\342\223\272\12\360\210\255\27\376\201\240\34\324\276\203-\332\267\216&\310\254\231;\306\245\2240\234\322\337Y\222\333\322R\200\300\305O\216\311\310D\244\366\353u\252\377\346~\270\344\361c\266\355\374h\14\12g\261\2\3j\272\20\30}\247\36\21p\2544.S\235:'^\226(213&5D\200|B\17\351rK\2\342`P\25\377nY\30\364Df;\305Jo6\316Xt!\323V},\3307\241\14z9\250\1q+\263\26l%\272\33g\17\2058V\1\2145]\23\227 (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "<"\340C.9\367^ 0\372U\354\232\267\1\342\223\272\12\360\210\255\27\376\201\240\34\324\276\203-\332\267\216&\310\254\231;\306\245\2240\234\322\337Y\222\333\322R\200\300\305O\216\311\310D\244\366\353u\252\377\346~\270\344\361c\266\355\374h\14\12g\261\2\3j\272\20\30}\247\36\21p\2544.S\235:'^\226("@\35\236/KG\351d"I\340i)[\373~4U\362s?\177\315P\16q\304]\5c\337J\30m\326G\23\3271\334\312\3318\321\301\313#\306\334\305*\313\327\357\25\350\346\341\34\345\355\363\7\362\360\375\16\377\373\247y\264\222\251p\271\231\273k\256\204\265b\243\217\237]\200\276\221T\215\265\203O\232\250\215F\227\243\0\0\0\0\13\16\11\15\26\34\22\32\35\22\33\27,8$4'6-9:$6.1*?#XpHhS~AeNlZrEbS\177tHl\\177FeQbT~FiZwK\260\340\220\320\273\356\231\335\246\374\202\312\255\362\213\307\234\330\264\344\227\326\275\351\212\304\246\376\201\312\257\363\350\220\330\270\343\236\321\265\376\214\312\242\365\202\303\257\304\250\374\214\317\246\365\201\322\264\356\226\331\272\347\233{\333;\273p\3252\266m\307)\241f\311 \254W\343\37\217\\355\26\202A\377\15\225J\361\4\230#\253s\323(\245z\3365\267a\311>\271h\304\17\223W\347\4\235^\352\31\217E\375\22\201L\360\313;\253k\3005\242f\335'\271q\326)\260|\347\3\217_\354\15\206R\361\37\235E\372\21\224H\223K\343\3\230E\352\16", ) I\340i)[\373~4U\362s?\177\315P\16q\304]\5c\337J\30m\326G\23\3271\334\312\3318\321\301\313#\306\334\305*\313\327\357\25\350\346\341\34\345\355\363\7\362\360\375\16\377\373\247y\264\222\251p\271\231\273k\256\204\265b\243\217\237]\200\276\221T\215\265\203O\232\250\215F\227\243\0\0\0\0\13\16\11\15\26\34\22\32\35\22\33\27,8$4'6-9:$6.1*?#XpHhS~AeNlZrEbS\177tHl\\177FeQbT~FiZwK\260\340\220\320\273\356\231\335\246\374\202\312\255\362\213\307\234\330\264\344\227\326\275\351\212\304\246\376\201\312\257\363\350\220\330\270\343\236\321\265\376\214\312\242\365\202\303\257\304\250\374\214\317\246\365\201\322\264\356\226\331\272\347\233{\333;\273p\3252\266m\307)\241f\311 \254W\343\37\217\\355\26\202A\377\15\225J\361\4\230#\253s\323(\245z\3365\267a\311>\271h\304\17\223W\347\4\235^\352\31\217E\375\22\201L\360\313;\253k\3005\242f\335'\271q\326)\260|\347\3\217_\354\15\206R\361\37\235E\372\21\224H\223K\343\3\230E\352\16", ) == 0x0
 02253   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "M\0a\0c\0h\0i\0n\0e\0K\0e\0y\0s\0\0\0-%lu\0\0\0\00x%02hx%02hx%02hx%02hx%02hx%02hx\0\0\0\0%lu\0S-%lu-\0\0-\0%\0l\0u\0\0\0\0\00\0x\0%\00\02\0h\0x\0%\00\02\0h\0x\0%\00\02\0h\0x\0%\00\02\0h\0x\0%\00\02\0h\0x\0%\00\02\0h\0x\0\0\0\0\0%\0l\0u\0\0\0S\0-\0%\0l\0u\0-\0\0\0\0\0\\0M\0i\0c\0r\0o\0s\0o\0f\0t\0\\0C\0r\0y\0p\0t\0o\0\\0R\0S\0A\0\\0\0\0\0\0\\0M\0i\0c\0r\0o\0s\0o\0f\0t\0\\0C\0r\0y\0p\0t\0o\0\\0D\0S\0S\0\\0\0\0\0\0SeRestorePrivilege\0\0SeBackupPrivilege\0\0\0.DEFAULT\0\0\0\0Software\Microsoft\Cryptography\UserKeys\0\0\0\0Software\Microsoft\Cryptography\MachineKeys\0Software\Microsoft\Cryptography\DSSUserKeys\0*\0\0\0SeSecurityPrivilege\0OffloadModEx", ) , ) == 0x0
 02254   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "3\300@\213M\374_^\350\317\305\0\0\311\302\14\0\314\314\314\314\314\213\377U\213\354\213E\10\203x\4\14u\26\201}\14\1\200\0\0t\11\201}\14\2\200\0\0u\43\300\353\33\300@]\302\10\0\314\314\314\314\314\213\377U\213\354\213E\10-\1\200\0\0VW\17\204\211\0\0\0HtWHt9Ht\12\270\10\0\11\200\351\235\0\0\0jt_W\350\324G\1\0\213\360\205\366u\10j\10X\351\206\0\0\0V\350\311\310\0\0\203&\0\213E\14\2110\213E\20\2118\353ojl_W\350\250G\1\0\213\360\205\366t\324\203fh\0V\350}\310\0\0\353\331jd\350\217G\1\0\213\360\205\366t\273j\31Y3\300\213\376\363\253!F\34V\350\220\24\1\0\213E\20\307\0d\0\0\0\213E\14\2110\353%j8^V\350^G\1\0\213\320\205\322t\2123\300j\16Y\213\372\363\253!B4\213E\20\2110\213E\14\211\203\300_^]\302\14\0\314\314\314\314\314\213\377U\213\354S3\3339]\24VWt\12\277\11\0\11\200\351\243\0\0\0S\377u\10\350[\223\0\0;\303u\12\277\1\0\11\200\351\214\0\0\0\213u\14VP\350\306\376\377\377\205\300u\7\277\10\0\11\200\353wj8\350\351F\1\0\213\3303\322;\332\17\204\361\0\0\0j\163\300Y\213\373\363\253\213M\10\213\306-\2L\0\0\211s\4\211\13\17\204\254\1\0\0-\34\0\0\17\204F\1\0\0\203\350\3\17\204%\1\0\0H\17\204\366\0\0\0Ht\9U\20\17\205\250\1\0\0\215C\10P\215C\14PV\350\205\376\377\377\205\300u\13Sj\1\377u\30\3503\223\0\0\213\3703\300\205\377\17\224\300\213\360\205\366u\36\205\333t\23\213C\14\205\300t\6P\350\236F\1\0S\350\230F", ) , ) == 0x0
 02255   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\253\253\2533\300@S\211s<\211s@\211C\\211C`\211sd\350P\377\377\377\213E\30;\306\213M\20\211K\14t"9u\34t\5\211C\20\353\30\213{\20\213\360\213\301\301\351\2\363\245\213\310\203\341\3\363\244\213M\203\366\201\352\1f\0\0tuJtTJt3\203\352\6t\37\203\352\5t\21Jt\16Jt\13\211s`\211sx\351\200\0\0\0\307Cx\20\0\0\0\353w\203{\14\20uM9u u\31j\20\353\15\203{\14\30u>9u u\12j\30\377s\20\350T\17\1\0\307Cx\10\0\0\0\353J\213E\249\260\204\1\0\0u\11\307Cl(\0\0\0\353\343\213\301\301\340\3\211Cl\353\331j\10_9{\14t\23\277\11\0\11\200;\336t\6S\350\2607\1\0\213\307\353\309u u\11W\377s\20\350\4\17\1\0\211{x\213E$\211\303\300_^[]\302 \0\314\314\314\314\314\213\377U\213\354V\213u\10\213F\20\205\300t\6P\350r7\1\0\213F\30\205\300t\6P\350e7\1\0V\350_7\1\0^]\302\4\0\314\314\314\314\314\213\377U\213\354\213E\14\213M\30W3\3223\377-\0$\0\0\211\21t\31-\1B\0\0tlHtUHtF\203\350\6t5-\367=\0\0u\6\307\1\1\0\0\0\213E\20R\301\340\3P\377u\14\213E\10\3774\205HB\377\17\350\204\207\1\0\205\300t\33\377G\213\307_]\302\24\0\203}\20\20t\360\203}\20\16\353*\203}\20\30t\344\203}\20\25\353\369U\24u\331\213E\20R\301\340\3Ph\2f\0\0\353\267\203}\20\10t\304\203}\20\7u\301\353\274\314\314\314\314\314\213\377U\213\354\213E\14V3\366\205\300t \215M\14Q\377u\20\377p\14\377p\4", ) 9u\34t\5\211C\20\353\30\213{\20\213\360\213\301\301\351\2\363\245\213\310\203\341\3\363\244\213M\203\366\201\352\1f\0\0tuJtTJt3\203\352\6t\37\203\352\5t\21Jt\16Jt\13\211s`\211sx\351\200\0\0\0\307Cx\20\0\0\0\353w\203{\14\20uM9u u\31j\20\353\15\203{\14\30u>9u u\12j\30\377s\20\350T\17\1\0\307Cx\10\0\0\0\353J\213E\249\260\204\1\0\0u\11\307Cl(\0\0\0\353\343\213\301\301\340\3\211Cl\353\331j\10_9{\14t\23\277\11\0\11\200;\336t\6S\350\2607\1\0\213\307\353\309u u\11W\377s\20\350\4\17\1\0\211{x\213E$\211\303\300_^[]\302 \0\314\314\314\314\314\213\377U\213\354V\213u\10\213F\20\205\300t\6P\350r7\1\0\213F\30\205\300t\6P\350e7\1\0V\350_7\1\0^]\302\4\0\314\314\314\314\314\213\377U\213\354\213E\14\213M\30W3\3223\377-\0$\0\0\211\21t\31-\1B\0\0tlHtUHtF\203\350\6t5-\367=\0\0u\6\307\1\1\0\0\0\213E\20R\301\340\3P\377u\14\213E\10\3774\205HB\377\17\350\204\207\1\0\205\300t\33\377G\213\307_]\302\24\0\203}\20\20t\360\203}\20\16\353*\203}\20\30t\344\203}\20\25\353\369U\24u\331\213E\20R\301\340\3Ph\2f\0\0\353\267\203}\20\10t\304\203}\20\7u\301\353\274\314\314\314\314\314\213\377U\213\354\213E\14V3\366\205\300t \215M\14Q\377u\20\377p\14\377p\4", ) == 0x0
 02256   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\1\0\11\200\351\325\0\0\0\215E\10Pj\2V\377u\14\350\237t\0\0\205\300t;\215E\10Pj\3V\377u\14\350\214t\0\0\205\300t(\215E\10Pj\4V\377u\14\350yt\0\0\205\300t\25= \0\11\200\17\205\221\0\0\0\270\3\0\11\200\351\207\0\0\0\213E\20\203\370\12\17\207\313\1\0\0\17\204u\1\0\0H\17\204]\1\0\0H\17\204\342\0\0\0H\17\204\316\0\0\0H\17\204\213\0\0\0HtrH\17\205\317\2\0\0\213E\24\213\20\367\302\300\376\377\377t\7\270\11\0\11\200\353;\367\302\4\0\0\0\213E\10t\20\367@h\4\0\0\0u\7\270\5\0\11\200\353 \271\0\1\0\0\205\321t\5\205Hht\353\213Hh3\312\201\341\4\1\0\03\312\211Hh3\300_3\311\205\300\17\224\301\213\361\205\366u\7P\377\25\304\21\375\17\213\306^]\302\24\0\213E\24\213\0\205\300t\264\203\370@w\257\213M\10\211Ad\353\314\213U\10\213B\4=\0$\0\0\17\204,\377\377\377=\0\244\0\0\17\204!\377\377\377\213M\24\212\1<\1t\20<\2t\14<\4t\10<\3\17\205r\377\377\377\213\1\211B`\353\220\213E\24\2038\1t\210\351^\377\377\377\213M\10\213A\4=\2f\0\0t\13=\1h\0\0\17\205\334\376\377\377\213u\24\205\366u\10jWX\351^\377\377\377\213\207\204\1\0\0\205\300t\13\203\370\1t\6\203a@\0\353\7\307A@\13\0\0\0\213E\10\213H@\205\311t\24\215xD\213\301\301\351\2\363\245\213\310\203\341\3\363\244\213E\10P\350\307\371\377\377\205\300\17\204\24\377\377\377\351\21\377\377\377\213E\10\213Hx\213u\24\215x\34\351g\1\0\0\213M\10\213A\4=\2f\0\0t\13=\1h\0\0\17\205W\376", ) , ) == 0x0
 02257   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "j\10X\351\264\1\0\0\213E\309{\10\213H$\213\372u\25\213\361\301\351\2\2706666\363\253\213\316\203\341\3\363\252\353\21\213s\4\213\301\301\351\2\363\245\213\310\203\341\3\363\244\213E\30\213@ \205\300t\11P\350C\30\1\0\213U\24\213E\30\211P \213C\20\205\300u\14\213E\30\307@,@\0\0\0\353\6\213M\30\211A,\213E\30\377p,\350\323\27\1\0\213\320\205\322\213E\30\211U\24u\24\377p \350\2\30\1\0\213E\30\203` \0\351h\377\377\377\203{\20\0\213H,\213\372u\25\213\361\301\351\2\270\\\\\363\253\213\316\203\341\3\363\252\353\21\213s\14\213\301\301\351\2\363\245\213\310\203\341\3\363\244\213E\30\213@(\205\300t\11P\350\265\27\1\0\213U\24\213E\30\211P(\351\323\0\0\0\213E\30\213H\4\201\351\1\200\0\0\17\204\236\0\0\0I\17\204\217\0\0\0It\177ItnIt\37\203\351\3t\12\270\10\0\11\200\351\244\0\0\0\213x\14j\11\213u\24Y\363\245\351\200\0\0\0\213p\14\215M\374Qj\2\377u\10\377p\20\350{c\0\0;\307t\14= \0\11\200uu\203\300\343\353p9^$u\7\270\14\0\11\200\353d\213E\374\213Hx\213u\24\215x,\213\301\301\351\2\363\245\213\310\203\341\3\363\244\3534\213@\149\30t\326\215x\4j\5\353\233\213@\149Xht\307\215xX\353\22\213@\149X\34\353\6\213@\149X4t\262\213\370\213u\24\245\245\245\245\213E\30\11X0\203}\20\2u\6\213E\30\11X\243\300[3\311\205\300\17\224\301\213\361\205\366u\7P\377\25\304\21\375\17_\213\306^\311\302\24\0\314\314\314\314\314\213\377U\213\354\213E\10-\1\200\0\0SVW\17\204\324\0\0\0", ) , ) == 0x0
 02258   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\304\215\226d\1\0\0\211U\300\215U\314R\215F8\215NXPQ\377u\300\211E\260\211M\264\350\5\35\0\0\205\300\17\205q\377\377\377;\337t3\201\373\11f\0\0t+\201\373\3f\0\0t#\201\373\1L\0\0u\11\306E\314\3\210E\315\353\34\201\373\6L\0\0u\24\306E\314\3\306E\315\1\353\12\366E\20\4\17\205\303\376\377\377\366E\20\1t\7\307E\274\1\0\0\0\215E\310Pj\0j\0\215E\314P\377u\10\377u\304\377u\274S\350\365\316\377\377\205\300\17\205\0\377\377\377\213]\20\203\343\4tA\213\266\204\1\0\0\205\366t\15\203\376\1t\10\213}\310!G@\353\14\213E\310\307@@\13\0\0\0\213\370\377w@\215GDP\377u\260\377u\264\377u\300\350L\34\0\0\205\300t\10\351\267\376\377\377\213}\310\213u\270Wj\2V\350\16T\0\0\205\300\17\205\240\376\377\377\203}\304\5u;\366E\20\20u5\205\333u1\213E\14=\1L\0\0t'=\6L\0\0t =\4L\0\0t\31=\5L\0\0t\22\3776\377u\10\350S\375\377\377\205\300\17\205_\376\377\3773\366[3\300\205\366\17\224\300\213\370\205\377u\249E\310t\10\377u\310\350\253\317\377\377V\377\25\304\21\375\17\213M\374\213\307_^\350n\204\0\0\311\302\20\0\314\314\314\314\314\213\377U\213\354\201\354<\1\0\0\241\244B\377\17S3\333f\367E\24\352\373V\213u\30\211E\374W\211\265\304\376\377\377\211\235\324\376\377\377\211\235\360\376\377\377\211\235\314\376\377\377\211\235\350\376\377\377\211\235\344\376\377\377\211\235\320\376\377\377t\12\276\11\0\11\200\351\271\3\0\0S\377u\10\350\274R\0\0\213\370;\373\211\275\324\376\377\377u\12\276\1\0\11\200\351\232\3\0\0\213]\14SW\350\216", ) , ) == 0x0
 02259   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "M\14u\25\213\35\324D\377\17\213G@\213O(\307E\30\1\0\0\0\353\30:\301\17\205C\2\0\0\203e\30\0\213\35\330D\377\17\213GL\213O0\205\300\17\204+\2\0\0\213U\374;J\14\17\205\37\2\0\0\213z\20\213\3603\322\363\246t\5\33\322\203\332\377\205\322\17\205\7\2\0\0\215M\364QP\350U\302\377\3773\3669u\20t"V\215E\14P\215E\24Pj\10\377u\20\377u\10\350:\323\377\377\205\300\17\204\330\1\0\0\301m\24\39u\34\213M\24\213E\364\215D\1\10\213M u\7\211\1\351R\2\0\09\1s\14\211\1\276\352\0\0\0\351B\2\0\0\213}\344\366G\3\360u\24j\1\377u\30SW\350?\35\0\0;\306\17\205h\376\377\3779u\30t\13\213\207<\1\0\0\213\177H\353\11\213\2074\1\0\0\213\177T;\306\211E\30\17\204~\1\0\0;\376u\15\213E\374\366@\11@\17\204Y\1\0\0\215E\364PV\377u\30\350\307\301\377\377\205\300\17\204D\1\0\09u\360\213E\364\213M\24\215<\1u\27W\350\27\367\0\0\213\330;\336\211]\354u\21j\10^\351\266\1\0\0\213]\370\203\303\10\211]\354\215E\364PS\377u\30\350\204\301\377\377\205\300\17\204\1\1\0\09u\20t\36VW\215E\364PSVj\1V\377u\20\377u\10\350D\246\377\377;\306\17\205\270\375\377\377\203}\360\0\213M\364\215Y\10\17\205<\1\0\0\213}\34\213u\354\203\307\10\3516\1\0\0\212\6<\3t\10<\4\17\205\262\0\0\0\213E\374\213@\20\205\300\17\204\270\0\0\0\213X\10\213u\34\203\303\7\301\353\3\203\303\24\205\366\17\204\25\1\0\0\213M 9\31\17\202\12\1\0\0\213\10\213U\370\211J\10\213H\10\211J\14\213H\20\211", ) V\215E\14P\215E\24Pj\10\377u\20\377u\10\350:\323\377\377\205\300\17\204\330\1\0\0\301m\24\39u\34\213M\24\213E\364\215D\1\10\213M u\7\211\1\351R\2\0\09\1s\14\211\1\276\352\0\0\0\351B\2\0\0\213}\344\366G\3\360u\24j\1\377u\30SW\350?\35\0\0;\306\17\205h\376\377\3779u\30t\13\213\207<\1\0\0\213\177H\353\11\213\2074\1\0\0\213\177T;\306\211E\30\17\204~\1\0\0;\376u\15\213E\374\366@\11@\17\204Y\1\0\0\215E\364PV\377u\30\350\307\301\377\377\205\300\17\204D\1\0\09u\360\213E\364\213M\24\215<\1u\27W\350\27\367\0\0\213\330;\336\211]\354u\21j\10^\351\266\1\0\0\213]\370\203\303\10\211]\354\215E\364PS\377u\30\350\204\301\377\377\205\300\17\204\1\1\0\09u\20t\36VW\215E\364PSVj\1V\377u\20\377u\10\350D\246\377\377;\306\17\205\270\375\377\377\203}\360\0\213M\364\215Y\10\17\205<\1\0\0\213}\34\213u\354\203\307\10\3516\1\0\0\212\6<\3t\10<\4\17\205\262\0\0\0\213E\374\213@\20\205\300\17\204\270\0\0\0\213X\10\213u\34\203\303\7\301\353\3\203\303\24\205\366\17\204\25\1\0\0\213M 9\31\17\202\12\1\0\0\213\10\213U\370\211J\10\213H\10\211J\14\213H\20\211", ) == 0x0
 02260   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\26\0\11\200\351\314\1\0\0\213^\10\203\303\7\301\353\3\205\377\17\204\245\1\0\0\213E\2749\30\17\202\232\1\0\0\215E\314PQ\377u\10\377u\14\350\2024\0\0\205\300\17\205b\1\0\0\213\313\213\321\301\351\2\363\253\213\312\203\341\3\363\252\213M\314\213A\4-\1\200\0\0t"Ht\37Ht\34Ht\31\203\350\4\17\205d\1\0\0\366A\24\1u\12\277\14\0\11\200\351Y\1\0\03\3779}\300t-W\377u\300\377\25\254\21\375\17\321\340P\377u\300\377u\14\377u\10\350,\250\377\377\205\300u\13\377\25\310\21\375\17\351\362\0\0\0\213M\314\366A0\1t\7\307E\264\1\0\0\0\213F\4W\211E\310\215E\310P\215E\330Pj\2\377u\14\377u\10\350r\322\377\377\205\300t\305\377v\4\350f\347\0\0;\307\211E\320tS\366E\30\4t#\213M\314\201y\4\4\200\0\0\17\205\316\0\0\0P\377u\264\215E\330\377u\310PS\350\342\375\377\377\353\33P\377u\30\215E\330\377u\310P\213E\314\377p\4V\350\313\374\377\377;\307uo\377v\4\350\23\347\0\0;\307\211E\324u\10j\10_\351\216\0\0\0W\377u\304\213}\254\377u\270W\350\266\14\0\0\205\300uD9E\304t\10\213\207<\1\0\0\353\6\213\2074\1\0\0\205\300u\7\277\15\0\11\200\353\\213N\4;H\4t\7\277\32\0\11\200\353M\213u\324V\377u\320P\377\267\200\1\0\0\350O\37\0\0\205\300t\4\213\370\3532\213}\260\213\313\213\301\301\351\2\363\245\213\310\213E\274\203\341\3\363\244\211\303\377\353\26\213E\274\367\337\33\377\211\30\201\347\352\0\0\0\353\5\277\10\0\11\2003\300\205\377\17\224\300\203}\324\0\213\360t\10\377u\324\350\242\346\0\0\203}\320\0t\10\377u", ) Ht\37Ht\34Ht\31\203\350\4\17\205d\1\0\0\366A\24\1u\12\277\14\0\11\200\351Y\1\0\03\3779}\300t-W\377u\300\377\25\254\21\375\17\321\340P\377u\300\377u\14\377u\10\350,\250\377\377\205\300u\13\377\25\310\21\375\17\351\362\0\0\0\213M\314\366A0\1t\7\307E\264\1\0\0\0\213F\4W\211E\310\215E\310P\215E\330Pj\2\377u\14\377u\10\350r\322\377\377\205\300t\305\377v\4\350f\347\0\0;\307\211E\320tS\366E\30\4t#\213M\314\201y\4\4\200\0\0\17\205\316\0\0\0P\377u\264\215E\330\377u\310PS\350\342\375\377\377\353\33P\377u\30\215E\330\377u\310P\213E\314\377p\4V\350\313\374\377\377;\307uo\377v\4\350\23\347\0\0;\307\211E\324u\10j\10_\351\216\0\0\0W\377u\304\213}\254\377u\270W\350\266\14\0\0\205\300uD9E\304t\10\213\207<\1\0\0\353\6\213\2074\1\0\0\205\300u\7\277\15\0\11\200\353\\213N\4;H\4t\7\277\32\0\11\200\353M\213u\324V\377u\320P\377\267\200\1\0\0\350O\37\0\0\205\300t\4\213\370\3532\213}\260\213\313\213\301\301\351\2\363\245\213\310\213E\274\203\341\3\363\244\211\303\377\353\26\213E\274\367\337\33\377\211\30\201\347\352\0\0\0\353\5\277\10\0\11\2003\300\205\377\17\224\300\203}\324\0\213\360t\10\377u\324\350\242\346\0\0\203}\320\0t\10\377u", ) == 0x0
 02261   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\12\213U\334\211\2\203\301\354Q\203\300\24P\350\241\330\0\0\211E\304\205\300\17\205[\377\377\377\213u\334\213E\340\3770\3776\203}\20\1u\15j\1\377s\\377s(\377s@\353\13j\0\377s\\377s0\377sL\350F'\1\0\211E\344\205\300u\36\367E\310\10\0\0\0t\25\377u\20\377u\310\3775\310D\377\17S\350\263\372\377\377\211E\304\203M\374\377\353\36\307E\344\32\0\11\200\353\3613\300@\303\213e\350\307E\344W\0\0\0\203M\374\377\213]\10\203}\300\0t\15\201\303h\1\0\0S\377\25\270\21\375\17\213}\264\205\377t\34\213M\2603\300\213\321\301\351\2\363\253\213\312\203\341\3\363\252\377u\264\377\25\250\21\375\17\213E\344\350\361W\0\0\302\20\0\314\314\314\314\314\213\377U\213\354\203\354L\241\244B\377\17S3\333V\213u\10\211E\374\213E\14W\211u\314\211E\320\211]\334\211]\324\211]\340\307E\264\20\0\0\0\306E\354p\306E\355\362\306E\356\205\306E\357\36\306E\360N\210]\361\210]\362\210]\363\210]\364\210]\365\210]\366\210]\367\210]\370\210]\371\210]\372\210]\373\215x\1\212\10@:\313u\371+\307\203\300\6\211E\310\350\262\343\0\0\205\300\17\205\27\1\0\0h\320\23\375\17\377\25\230\21\375\17;\303\211E\334\17\204\1\1\0\0\213=\234\21\375\17h\274\23\375\17P\377\327h\244\23\375\17\377u\334\211E\304\377\327\367E\20 \0\0\0\211E\270\17\205\326\0\0\09]\304\17\204\315\0\0\0;\303\17\204\305\0\0\0\213E\310@P\350\220\326\0\0;\303\211E\324\17\204\240\0\0\0\213M\320\276\234\23\375\17\213\370\245f\245\244\213\361\212\21A:\323u\371+\316\213\370\213\321O\212O\1G:\313u\370\213\312\301\351\2\363\245j", ) , ) == 0x0
 02262   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\2r\3\213p\14\203\371\3r\3\213P\30RV\377u\10\215E\24P\377u\20\377u\14\350\226\373\377\377\205\300u\22\367E\20\20\0\0\0u\7\213E\24\203`\10\03\3003\311\205\300\17\224\301\213\361\205\366u\7P\377\25\304\21\375\17\213\306^]\302\20\0\314\314\314\314\314\213\377U\213\3543\3223\3119U\14v\22\213E\10\3\301\210\20A;M\14\306\0\377\210\20r\356]\302\10\0\314\314\314\314\314\213\377U\213\354\203}\10\0V\213u\14t9\201>RSA1t\7\270\3\0\11\200\353A\213F\10j\0j\0\377u\24\203\300\7\301\350\3P\215F\24Pj\4\215F\20P\377u\20\377u\10\350\260\1\1\0\205\300u\25\377u\24\377u\20V\350\377\257\0\0\205\300u\5j\10X\353\23\300^]\302\20\0\314\314\314\314\314\213\377U\213\354\203\354\30\213E\14\213@\10SVW\215P\7j\10\301\352\3^\203\342\7\213\316+\312;\316t\2\3\316\203\300\17\301\350\4\321\351\3\301\215<\200\321\347\213\307\203\340\7t\6\213\316+\310\3\371\203\307\24;=xE\377\17\211}\374w6\241|E\377\17\3\307;\307r+\203\300\10P\350\311\30\1\0\205\300t\36\215G\10\203\300\3\203\340\374\350\343F\0\0\213\334\205\333t\12\307\3Stck\3\336u"\215G\10P\377\25\200E\377\17\213\330\205\333\17\204\355\0\0\0\307\3Heap\3\336\17\204\265\0\0\0\213u\14\213\317\213\301\301\351\2\213\373\363\245\213\310\213E\374\203\341\3\203\300\354\363\244P\215{\24W\350\36\307\0\0\213\360\205\366\17\205\203\0\0\09E\10tg\201;RSA2t\7\276\3\0\11\200\353o\213K\10\213E\14\213@\4\203\301\7\301\351\3@\321\350\215tC\24j\0\215Q\1\321\352\211", ) \215G\10P\377\25\200E\377\17\213\330\205\333\17\204\355\0\0\0\307\3Heap\3\336\17\204\265\0\0\0\213u\14\213\317\213\301\301\351\2\213\373\363\245\213\310\213E\374\203\341\3\203\300\354\363\244P\215{\24W\350\36\307\0\0\213\360\205\366\17\205\203\0\0\09E\10tg\201;RSA2t\7\276\3\0\11\200\353o\213K\10\213E\14\213@\4\203\301\7\301\351\3@\321\350\215tC\24j\0\215Q\1\321\352\211", ) == 0x0
 02263   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\340\350\304\374\377\377\211E\334\205\300t\13\211E\344\211]\374\351W\1\0\0\203}\20\0u2\215~@\211}\244\215\236<\1\0\0\211]\240\215F(\211E\274\215\2068\1\0\0\211E\304\215FH\211E\270\307E\264\1\0\0\0\241\234D\377\17\353-\215~L\211}\244\215\2364\1\0\0\211]\240\215F0\211E\274\215\2060\1\0\0\211E\304\215FT\211E\270\203e\264\0\241\240D\377\17\211E\260\213\7\205\300t\15P\350\2\270\0\0\3773\350\373\267\0\0\203e\314\0\213E\320\213M\304\211\1\213E\300\213M\274\211\1\213E\324\211\3\213E\340\211\7\17\266E\14\203\340\1\213M\270\211\1\366F\3\360u\26\377u\264\377u\14\377u\260V\350N\332\377\377\211E\334\205\300uW\213}\24W\203}\20\0u\36j\2\377u\10\350\21\216\377\377\205\300u\10\377\25\310\21\375\17\3537\215E\330Pj\3\353\24j\1\377u\10\350\363\215\377\377\205\300t\342\215E\330Pj\4\377u\10\3777\350\230\3\0\0\211E\334\205\300t\23= \0\11\200u\3\203\300\343\211E\344\203M\374\377\3536\270\0@\0\0\205E\14t\15\213M\330\11A\10\213E\330\200Hi\1\203M\374\377\203e\344\0\353\253\300@\303\213e\350\307E\344W\0\0\0\203M\374\377\213u\2343\3779}\254t\15\201\306h\1\0\0V\377\25\270\21\375\179}\314t\329}\324t\10\377u\324\350\371\266\0\09}\340t\10\377u\340\350\354\266\0\0\213E\344\350\317\0\0\302\24\0\314\314\314\314\314\213\377U\213\354\203}\14\0\213E\10SVWt\16\213\260<\1\0\0\215H(\215x@\353\14\213\2604\1\0\0\215H0\215xL\213^\10\321\353\203\303?\301\353\5\215\34\335\24\0\0\0\213\301;\30\211", ) , ) == 0x0
 02264   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\377u$\213\310\213E\374\377u \203\341\3\363\244\213M\34\213u\30\215<\20\213\321\301\351\2\363\245h\3\200\0\0\377u\370\213\312\203\341\3\363\244\213u\364\213}\10P\3\336SW\350?\376\377\377\205\300u\36\377u$\3\367\377u\14h\4\200\0\0\377u\370\377u\374SV\350!\376\377\377\205\300t\4\213\360\353\32\213u$\205\366v\21\213E \213M\14+\310\212\24\10\20@Nu\3673\366\203}\14\0t\10\377u\14\350\1\250\0\0\377u\374\350\371\247\0\0_\213\306^[\311\302 \0\314\314\314\314\314\213\377U\213\354\213E\10\213\200$\2\0\0\205\300t\6P\350\323\247\0\0]\302\4\0\314\314\314\314\314\213\377U\213\354\213E\10\213\200<\2\0\0\205\300t\6P\350\262\247\0\0]\302\4\0\314\314\314\314\314\213\377U\213\354Q\203e\374\0S\213]\14\213C\4=\1L\0\0t\37=\4L\0\0t\30=\6L\0\0t\21=\5L\0\0t\12\270\12\0\11\200\351_\2\0\0\203{\30\0VWu$\276h\3\0\0V\350\34\247\0\0\213\370\205\377\211{\30\17\204\342\1\0\0\271\332\0\0\03\300\363\253\211s\24\213E\20\213{\30j\24Y;\301\17\205:\1\0\0\213u\24\213F\14\211\207d\3\0\0\213\6\203\350\0\17\204\246\0\0\0H\17\205\335\1\0\0\213F\10\250\7\17\205\322\1\0\0\215M\374Qj\0\301\350\3P\377v\4\213E\10\377\260\204\1\0\0\350\234o\377\377\205\300u\12\270\11\0\11\200\351\316\1\0\0\213F\4-\1f\0\0t\37Ht\34Ht\31\203\350\6t\24-\370\1\0\0\17\205\211\1\0\0\203\247\\3\0\0\0\353\12\307\207\\3\0\0\10\0\0\0\201{\4\5L\0\0u\25\213F\10\301\350\3;C\14t\12\270\3", ) , ) == 0x0
 02265   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\311\302\20\0\314\314\314\314\314\213\377U\213\354\203\354\30\213E\10S\213X\14\213E\20V3\3663\3119u\24W\211u\364t0\213M\14%\0\4\0\0\211E\360t\23\307E\370\254\26\375\17\307E\20\3\0\0\0\215\14I\353D\307E\370\250\26\375\17\307E\20\2\0\0\0\353+%\0\4\0\0\211E\360t\20\307E\370\240\26\375\17\307E\20\5\0\0\0\353\32\213M\14\307E\370\230\26\375\17\307E\20\4\0\0\0\213\203(\2\0\0\215\14\210\213E\20\17\257E\14\215\4@\3\2030\4\0\0\3\203 \2\0\0\3\203\34\1\0\0\215D\1\1P\211E\354\350\225\227\0\0\213\370;\376\211}\374u\10j\10^\351\323\1\0\0\213M\143\300@9u\24\210\17t';\316v#\211M\24\213M\20\213u\370\213\321\3\370\301\351\2\363\245\213\312\203\341\3\3\302\377M\24\363\244\213}\374u\340\213\2130\4\0\0\213\321\301\351\2\3\370\215\2630\3\0\0\363\245\213\312\203\341\3\363\244\213M\14\3\2030\4\0\0\205\311v$\211M\24\213U\374\213M\20\213u\370\215<\20\213\321\301\351\2\363\245\213\312\203\341\3\3\302\377M\24\363\244u\337\213\213 \2\0\0\213U\374\215<\20\213\321\301\351\2\215\263 \1\0\0\363\245\213\312\203\341\3\363\244\213M\14\3\203 \2\0\0\205\311v$\211M\24\213U\374\213M\20\213u\370\215<\20\213\321\301\351\2\363\245\213\312\203\341\3\3\302\377M\24\363\244u\337\203}\360\0uS\213\213(\2\0\0\213U\374\213\263$\2\0\0\215<\20\213\321\301\351\2\363\245\213\312\203\341\3\363\244\3\203(\2\0\0\203}\14\0v'\213M\14\211M\24\213U\374\213M\20\213u\370\215<\20\213\321\301\351\2\363\245\213\312\203\341\3\3\302\377M\24\363\244u\337\213\213", ) , ) == 0x0
 02266   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "E\10P\245\215E\374Ph\364\26\375\17\245\377\263@\1\0\0\350,\246\377\377\205\300t\4\213\360\353nj\1\215E\364P\215E\370Ph\344\26\375\17\377\263@\1\0\0\350\12\246\377\377\205\300u\336\213u\374\205\366t \213\273X\1\0\0\203\307\10\245\245\245\245\213u\374\213\273X\1\0\0\203\306\20\203\307\30\245\245\245\245\213u\370\205\366t \213\273X\1\0\0\203\307(\245\245\245\245\213u\370\213\273X\1\0\0\203\306\20\203\3078\245\245\245\2453\366\203}\374\0t\10\377u\374\350\361\207\0\0\203}\370\0t\10\377u\370\350\343\207\0\0_\213\306^[\311\302\4\0\314\314\314\314\314\213\377U\213\354SV\213u\10W3\3333\3779\236X\1\0\0u\7\270\26\0\11\200\353T9]\14t(\377u\14\377\25\254\21\375\17\215|\0\2W\350\\207\0\0\213\330\205\333u\5j\10X\3531\377u\14S\377\25x\21\375\17\213\206X\1\0\0\213@H\205\300t\6P\350w\207\0\0\213\206X\1\0\0\211xL\213\206X\1\0\0\211XH3\300_^[]\302\10\0\314\314\314\314\314\213\377U\213\354SV\213u\10\205\366WtE\213\6\213M\14\213]\20\213}\24\211\1\213F\4\211\3\213\7\205\300t\6P\350*\207\0\0\3773\350\340\206\0\0\205\300\211\7u\5j\10X\353\27\213\13\213\370\213\301\301\351\2\203\306\10\363\245\213\310\203\341\3\363\2443\300_^[]\302\20\0\314\314\314\314\314\213\377U\213\354\203\354\24\213M\10\213\201X\1\0\0S3\3339] V\211]\374\213p\4\213E$W\211]\10\211\30t\7\307E\10\1\0\0\03\3009]\34\215}\354\253\253\253\253\307E\354\20\0\0\0t\329Y(\17\204\213\0\0\0\213\201X\1\0\0\215P\10\203\300\30\215", ) , ) == 0x0
 02267   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\0\0\213\2338\36\375\173\373\213\2318\37\375\173\373\213\2308\34\375\173\373\213\2328\35\375\173\373\213E\103\333\213U\143\3073\327%\374\374\374\374\201\342\317\317\317\317\212\330\212\314\301\312\4\213\2538\30\375\17\212\3323\365\213\2518\32\375\173\365\212\316\301\350\20\213\2538\31\375\173\365\212\334\301\352\20\213\2518\33\375\173\365\213l$\34\212\316%\377\0\0\0\201\342\377\0\0\0\213\2338\36\375\173\363\213\2318\37\375\173\363\213\2308\34\375\173\363\213\2328\35\375\173\363\213E\203\333\213U\243\3063\326%\374\374\374\374\201\342\317\317\317\317\212\330\212\314\301\312\4\213\2538\30\375\17\212\3323\375\213\2518\32\375\173\375\212\316\301\350\20\213\2538\31\375\173\375\212\334\301\352\20\213\2518\33\375\173\375\213l$\34\212\316%\377\0\0\0\201\342\377\0\0\0\213\2338\36\375\173\373\213\2318\37\375\173\373\213\2308\34\375\173\373\213\2328\35\375\173\373\213E\303\333\213U\343\3073\327%\374\374\374\374\201\342\317\317\317\317\212\330\212\314\301\312\4\213\2538\30\375\17\212\3323\365\213\2518\32\375\173\365\212\316\301\350\20\213\2538\31\375\173\365\212\334\301\352\20\213\2518\33\375\173\365\213l$\34\212\316%\377\0\0\0\201\342\377\0\0\0\213\2338\36\375\173\363\213\2318\37\375\173\363\213\2308\34\375\173\363\213\2328\35\375\173\363\213E 3\333\213U$3\3063\326%\374\374\374\374\201\342\317\317\317\317\212\330\212\314\301\312\4\213\2538\30\375\17\212\3323\375\213\2518\32\375\173\375\212\316\301\350\20\213\2538\31\375\173\375\212\334\301\352\20\213\2518\33\375\173\375\213l$\34\212\316%\377\0\0\0\201\342\377\0\0\0\213\2338\36\375\17", ) , ) == 0x0
 02268   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "D$ \205\300\17\204\31\7\0\0\213\307\367\320\213\357#\301#\352\3\330\213\6\3\335\3\330\301\350\20\213\357\3\3103\300f\321\303f\213\303#\350\203\360\377#\302\3\315\3\3103\300f\301\301\2f\213\301\213\350\203\360\377#\353#\307\3\320\213F\4\3\320\301\350\20\3\325\3\3703\300f\301\302\3f\213\302\213\350\203\360\377#\303#\351\3\370\3\375\203\306\10f\301\307\5\213\307\367\320\213\357#\301#\352\3\330\213\6\3\335\3\330\301\350\20\213\357\3\3103\300f\321\303f\213\303#\350\203\360\377#\302\3\315\3\3103\300f\301\301\2f\213\301\213\350\203\360\377#\353#\307\3\320\213F\4\3\320\301\350\20\3\325\3\3703\300f\301\302\3f\213\302\213\350\203\360\377#\303#\351\3\370\3\375\203\306\10f\301\307\5\213\307\367\320\213\357#\301#\352\3\330\213\6\3\335\3\330\301\350\20\213\357\3\3103\300f\321\303f\213\303#\350\203\360\377#\302\3\315\3\3103\300f\301\301\2f\213\301\213\350\203\360\377#\353#\307\3\320\213F\4\3\320\301\350\20\3\325\3\3703\300f\301\302\3f\213\302\213\350\203\360\377#\303#\351\3\370\3\375\203\306\10f\301\307\5\213\307\367\320\213\357#\301#\352\3\330\213\6\3\335\3\330\301\350\20\213\357\3\3103\300f\321\303f\213\303#\350\203\360\377#\302\3\315\3\3103\300f\301\301\2f\213\301\213\350\203\360\377#\353#\307\3\320\213F\4\3\320\301\350\20\3\325\3\3703\300f\301\302\3f\213\302\213\350\203\360\377#\303#\351\3\370\3\375\203\306\10f\301\307\5\213\307\367\320\213\357#\301#\352\3\330\213\6\3\335\3\330\301\350\20\213\357\3\3103\300f\321\303f\213\303#\350\203\360\377#\302\3\315\3\3103\300f\301\301\2f\213\301\213\350\203\360\377#\353#\307\3\320\213F\4\3\320", ) , ) == 0x0
 02269   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\345]\302\14\0\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\213\377U\213\354\213M\14\203\371\1\17\216\346\0\0\0\213E\10V\203\300\26IW\215\233\0\0\0\0\17\266p\374\213<\265XR\375\17\17\266P\375\213\24\225XV\375\17\17\266p\3733\327\213<\265XN\375\17\17\266p\3723\3273\24\265XJ\375\17\211P\372\17\266p\377\213<\265XN\375\17\17\266P\1\213\24\225XV\375\17\17\26603\327\213<\265XR\375\17\17\266p\3763\3273\24\265XJ\375\17\211P\376\17\266p\4\213<\265XR\375\17\17\266P\5\213\24\225XV\375\17\17\266p\33\327\213<\265XN\375\17\17\266p\23\3273\24\265XJ\375\17\211P\2\17\266p\10\17\266P\11\213<\265XR\375\17\17\266p\7\213\24\225XV\375\173\327\213<\265XN\375\17\17\266p\63\3273\24\265XJ\375\17\211P\6\203\300\20I\17\205+\377\377\377_^]\302\10\0\314\314\314\314\314\213\377U\213\354\203\354\30SV\213u\10\213\16W\213}\20\213\27\213_\4\213~\103\312\213V\4\213v\143\323\213]\203{\10\241\244B\377\17\211}\364\213\373\213_\14\17\266}\3663\363\213\34\275X1\375\17\211u\370\301\356\30\2134\265X5\375\173\363\17\266\37634\275X-\375\17\17\266\371\213\34\275X)\375\17\17\266}\3723\363\211E\374\213E\14\2110\213\34\275X1\375\17\213\361\301\356\30\2134\265X5\375\173\363\213]\364\211U\360\17\266\37734\275X-\375\17\17\266\322\213<\225X)\375\17\17\266U\3633\367\211p\4\213<\225X5\375\17\211M\354\17\266u\3563<\265X1\375\17\213U\370\17\266\3663<\265X-\375\17\17\266\363\213\34\265X)\375\17\17\266u\3673\373", ) , ) == 0x0
 02270   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "]\370\301\353\10\17\266\33334\235X-\375\17\17\266]\36434\235X)\375\17\17\266]\362\211p\10\17\266u\367\2134\265X5\375\1734\235X1\375\17\17\266\326\213\34\225X-\375\17\17\266U\3703\363\213\34\225X)\375\17\213U\3503\363\203\301@J\211p\14\211U\350\17\205\365\373\377\377\213\217\220\0\0\0\213\227\224\0\0\0\213\303P\4\213\267\230\0\0\03\3133p\10\213X\14\211u\364\213\267\234\0\0\03\363\211u\370\17\266\361\212\34\265Y)\375\17\210\30\17\266\366\212\34\265Y)\375\17\17\266u\366\210X\1\212\34\265Y)\375\17\213u\370\210X\2\211U\360\17\266\322\301\356\30\212\34\265Y)\375\17\210X\3\212\24\225Y)\375\17\210P\4\213U\364\17\266\366\212\34\265Y)\375\17\17\266u\372\210X\5\212\34\265Y)\375\17\210X\6\211M\354\17\266u\357\212\34\265Y)\375\17\210X\7\17\266\322\212\24\225Y)\375\17\210P\10\213U\370\17\266\366\212\34\265Y)\375\17\17\266u\356\210X\11\212\34\265Y)\375\17\17\266u\363\210X\12\212\34\265Y)\375\17\210X\13\213\30\213p\4\17\266\322\212\24\225Y)\375\17\210P\14\17\266\315\212\24\215Y)\375\17\17\266M\362\210P\15\212\24\215Y)\375\17\17\266M\367\210P\16\212\24\215Y)\375\17\210P\17\213\217\240\0\0\03\331\211\30\213\227\244\0\0\03\362\213P\10\211p\4\213\217\250\0\0\03\321\213H\14\211P\10\213\227\254\0\0\03\312_\211H\14\213M\374^[\350*\304\377\377\213\345]\302\14\0\314\314\314\314\314\314\314\314\314\314\314\314\213\377U\213\354\203\354\30\213U\24\213M\20\301\342\4S\213\34\12V\2154\12\213U\10\213\22W\213~\43\323\213]\103{\4\241\244B\377\17\211", ) , ) == 0x0
 02271   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\375\17\17\266\326\213<\225X=\375\17\213U\3643\367\17\266\37234\275X9\375\17\17\266}\362\211p\10\17\266u\357\2134\265XE\375\1734\275XA\375\17\17\266\326\213<\225X=\375\17\17\266\3233\36734\225X9\375\17\213U\350\203\351@J\211p\14\211U\350\17\205G\374\377\377\213M\20\213q\24\213Q\20\213x\43\20\213X\103\367\213x\14\211u\360\213q\303\363\211u\364\213q\343\367\211u\370\17\266\362\212\236XI\375\17\17\266u\371\210\30\212\236XI\375\17\17\266u\366\210X\1\212\236XI\375\17\213u\360\210X\2\211U\354\301\356\30\212\236XI\375\17\17\266u\360\210X\3\212\236XI\375\17\210X\4\17\266\326\212\222XI\375\17\210P\5\213U\370\301\352\20\17\266\322\212\222XI\375\17\210P\6\213U\364\301\352\30\212\222XI\375\17\210P\7\213U\364\17\266\362\212\236XI\375\17\17\266u\361\210X\10\212\236XI\375\17\17\266u\356\210X\11\212\236XI\375\17\17\266u\373\210X\12\212\236XI\375\17\17\266u\370\210X\13\212\236XI\375\17\213x\4\17\266\326\210X\14\212\222XI\375\17\213\30\213p\10\210P\15\17\266U\362\212\222XI\375\17\210P\16\17\266U\357\212\222XI\375\17\210P\17\213\213\332\211\30\213Q\43\372\211x\4\213Q\103\362\213P\14\211p\10\213I\14_3\321\213M\374^\211P\14[\350H\264\377\377\213\345]\302\14\0\314\314\314\314\314\314\314\314\314\314\213\377U\213\354\203}\24\1\213M\20\213\1uD\203\301\4\203\370\16u\22\213E\10Q\213M\14PQ\350\332\342\377\377]\302\20\0\203\370\12u\22\213U\10\213E\14QRP\350S\351\377\377]\302\20\0\213U\14PQ\213M\10QR\350 \337\377\377", ) , ) == 0x0
 02272   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\377v?SV\213u\10\212\142\17\266\301\213\330\301\353\4\17\266\233H(\375\17\203\340\17\17\266\200H(\375\17\3\330\201\343\1\0\0\200y\5K\203\313\376Cu\6\200\361\1\210\142B;\327r\310^[_]\302\10\0\314\314\314\314\314\314\314\314\314\314\314\314\314\213\377U\213\354V\213u\10W\213}\14WV\350\254\371\377\377\203\307\10W\215\206\200\0\0\0P\350\234\371\377\377\215\276\0\1\0\0\271 \0\0\0\363\245_^]\302\10\0\314\314\314\314\314\314\314\314\314\213\377U\213\354V\213u\14W\213}\10VW\350l\371\377\377\215F\10P\215\217\200\0\0\0Q\350\\371\377\377\203\306\20V\201\307\0\1\0\0W\350L\371\377\377_^]\302\10\0\314\314\314\314\314\314\213\377U\213\354\213E\24\215P\7\301\352\3\215\14\325\0\0\0\0+\310\270\377\0\0\0\323\370S\213]\20V\213u\14\213\313W\213}\10\210E\27\213\301\301\351\2\363\245\213\310\203\341\3\201\373\200\0\0\0\363\244}9\213M\10\277\1\0\0\0\276\200\0\0\0+\373\215D\31\377+\363\215\233\0\0\0\03\311\212\14\73\333\212\30\3\313\201\341\377\0\0\0\212\211 \27\375\17\210H\1@Nu\342\213u\10\17\266M\27\213\306+\302\17\266\270\200\0\0\0\5\200\0\0\0#\317\212\211 \27\375\17\210\10\271\177\0\0\0+\312x\37\215D1\1\215q\1\220\17\266L\2\377\17\26683\317\212\211 \27\375\17\210H\377HNu\351_^3\300[]\302\20\0\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\213L$\203\300\205\311v7W\213|$\14V\213t$\24SU\213\$\24+\376+\336\213\24>\213.\3\320\270\0\0\0\0\23\300\3\325\203\320\0\211\24\36\203\340\1\203\306\4Iu\341][^", ) , ) == 0x0
 02273   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\213\313\215\4\23\213\321\301\351\2\213\360\363\245\213\312\203\341\3\363\244\213u\370\213}\10\213\313\301\351\2\363\245\213\312\213U\360\203\341\3\363\244\213}\374\2154\23\213\313\213\321\301\351\2\363\245\213\312\213U\364\203\341\3\363\244\213\313\213\370\213\301\301\351\2\213\362\363\245\213\310\203\341\3\363\244\213}\370\3\323\213\362\213\313\213\321\301\351\2\363\245\213\312\213U\370\351\317\376\377\377\213E\14\213L\3\374\277\0\0\0\200\205\317t\14\213M\30VQPP\350%\361\377\377\213E\20\205|\3\374t\14\213U\24VRPP\350\20\361\377\377\213E\350\205\300^t\7P\377\25\250\21\375\17_\270\1\0\0\0[\213\345]\302\30\0_3\300[\213\345]\302\30\0\314\314\314\314\314\314\314\314\314\314\213\377U\213\354\201\354\220\0\0\0S\213]\10\213\3W3\377=RSA1\211}\374t\12_3\300[\213\345]\302\14\0\213C\10\321\350V\213\360\301\356\5F\250\37t\1F\213K\20\270\1\0\0\0;\310\215\146u\21\213u\14\213}\20\363\245^_[\213\345]\302\14\0\215C\24QP\211E\370\213E\14P\211M\10\350\223\363\377\377\205\300}b\301\346\3\201\376\210\0\0\0v\24Vj\0\377\25\364\20\375\17\205\300\211E\374tG\213\320\353\6\215\225p\377\377\3773\300\213\316\301\351\2\213\372\363\253\213\316\203\341\3\363\252\213K\20\213E\10P\213E\20\211\12\213M\370QR\213U\14RP\350\355\20\0\0\213\370\213E\374\205\300t\7P\377\25\250\21\375\17^\213\307_[\213\345]\302\14\0\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\213\377U\213\354\203\354(V\213u\10\201>RSA2u\16\215E\330PV\350\22\6\0\0\205\300u\113\300^\213\345]\302\14\0\213N\10\321\351", ) , ) == 0x0
 02274   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "u\325_^[]\302\14\0\314\314\314\314\314\314\314\314\314\314\314\213\377U\213\354Q\213E\20\205\300VW\17\204\374\0\0\0\213}\14\2154\205\0\0\0\0\213L>\374\205\311\17\204\346\0\0\0\215\14v\215T\301\4Rj\0\377\25\364\20\375\17\205\300\211E\374\17\204\313\0\0\0\215\140S\213]\10\211K\10\3\316\211K\14\3\316\211K\20\213\316\211C\4\213\367\213\370\213\301\301\351\2\363\245\213\310\203\341\3\363\244\213u\20\213K\4\301\346\2\213D\16\374\277\0\0\0\200\205\307u\30\213C\4\213U\20RPPP\350\14\341\377\377\213C\4\205|\6\374t\350\213{\20\215N\4\213\321\301\351\23\300\363\253\213\312\203\341\3\363\252\213C\20\213}\14\307D0\4\1\0\0\0\213u\20\213S\10\213C\20V\215N\2QRWP\350\351\345\377\377\205\300u\25\213M\374Q\377\25\250\21\375\17[_3\300^\213\345]\302\14\0\213S\10\213C\14VRWP\350\345\340\377\377\2113[_\270\1\0\0\0^\213\345]\302\14\0_3\300^\213\345]\302\14\0\314\314\314\314\314\314\314\213\377U\213\354\203\354\10\213E\10\213H\10\213P\14SV\213u\14W\2138\213@\4\211E\10\215\\276\3703\300;\336\211M\374\211U\370r'\220\213L\273\4;\310Ws\11\213U\374R+\301P\353\7\213U\370R+\310QS\350a\375\377\377\203\353\4;\336s\332\215\34\275\0\0\0\0\213\143;\310s!+\310\211\143\215\244$\0\0\0\0\213E\10WP\215F\4PP\350\1\340\377\377\205\300t\355\353&+\310\211\143\213M\10W\215F\4QP\350\10\343\377\377\205\300|\17\213U\10WR\215F\4PP\350\31\340\377\377\213E\10\213L3\374\213\243WP\213D\3\374PQR\350E", ) , ) == 0x0
 02275   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\253\253\253\2533\300\203e\374\0\215}\364\253\2533\300\215}\354\253\253\215E\374\211E\370\215E\354Pj\0\215E\324Pj\0\215E\344Ph4]\375\17\215E\364P\307E\324\20\0\0\0\307E\364\4\0\0\0\307E\344\21\0\0\0\307E\350 ]\375\17\350\273\371\377\377\203}\360\0\213\370t\11\377u\360\377\25\250\21\375\17\213\307_\311\303\314\314\314\314\314\213\377U\213\354\203\354(3\300VW\215}\330\253\253\253\2533\300\215}\360\253\2533\300\215}\370\2533\3119M\14j\4\253Xt\2\213\310\211E\360\215E\10\211E\364\215E\370PQ\215E\330Pj\0\215E\350Ph4]\375\17\215E\360P\307E\330\20\0\0\0\307E\350\21\0\0\0\307E\354 ]\375\17\3508\371\377\377\205\300t\4\213\360\3533\377u\370\350b\367\377\377\205\300\213U\20\211\2u\5j\10^\353\35\213M\370\213E\24\213u\374\211\10\213:\213\301\301\351\2\363\245\213\310\203\341\3\363\2443\366\203}\374\0t\11\377u\374\377\25\250\21\375\17_\213\306^\311\302\20\0\314\314\314\314\314\213\377U\213\354\203\354(W3\300\215}\330\253\253\253\2533\300\215}\360\253\2533\300\215}\350\253\2533\300\215}\370\2533\3119M\10\253t\3j\4Y\213E\20\211E\360\213E\14j\0\211E\364\215E\350PQ\215E\330Pj\0\215E\370Pj\0\215E\360P\307E\330\20\0\0\0\307E\370\21\0\0\0\307E\374 ]\375\17\350\343\370\377\377\205\300\213M\354t\4\213\370\353\26\203}\350\4t\7\277\26\0\11\200\353\11\213\1\213U\24\211\23\377\205\311t\7Q\377\25\250\21\375\17\213\307_\311\302\20\0\314\314\314\314\314\213\377U\213\354\203\354 \241\244B\377\17S3\333VW\2135D\20\375\17\213}\10\211E\374", ) , ) == 0x0
 02276   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\363\2443\300_^[\311\302\14\0\314\314\314\314\314\213\377U\213\354\203\3548\241\244B\377\17\213M S\213]\34V\2135 \21\375\17W3\377WS\377u\30\211E\374\213E\14W\377u\24\211E\320\377u\20\211M\314P\211}\330\211}\324\377\326\203\370\377\17\205\246\0\0\0\377\25\310\21\375\179}\10\17\204\223\0\0\0\211E\310\215E\330Pj\10\3508\351\377\377;\307uxj\103\300\366E\23\200Y\215}\334\363\253\215E\344\307E\334\1\0\0\0Pt\7hx^\375\17\353\5hd^\375\17j\0\377\25p\20\375\173\377;\307t=\215E\324P\215E\334P\377u\330\307E\354\2\0\0\0\377\25l\20\375\17\205\300t!9}\324t&W\201\313\0\0\0\2S\377u\30W\377u\24\377u\20\377u\320\377\326\203\370\377u\23\377\25\310\21\375\17\213\360\353\20\213u\310\353\13\213\360\353\26\213M\314\211\13\366\203}\330\0t\11\377u\330\377\25\370\20\375\17\213M\374_\213\306^[\350\273d\377\377\311\302\34\0\314\314\314\314\314\213\377U\213\354QQSV\213u\30\203\16\377Wj\33\3773\333\366E\17\200X\211}\374\211E\370t\4C\211E\370\366E\17@t\12j\4X3\333\211E\370\213\370\215E\374P\377u\24\377u\20\350&\376\377\377\205\300ufV\201\317\0\0\0\10W\377u\370S\377u\14\377u\374\377u\10\350\202\376\377\377\205\300t:3\366\203\370 t\5\203\370\5u2\203\376\30s-\377\266\364B\377\17\377\25\20\21\375\17\377u\30\203\306\4W\377u\370S\377u\14\377u\374\377u\10\350H\376\377\377\205\300u\3103\366\353\14\203\370\2\276\26\0\11\200t\2\213\360\203}\374\0t\10\377u\374\350\244\346\377\377_\213\306^[\311\302\24\0\314", ) , ) == 0x0
 02277   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "6\377\327\205\300\17\204\316\0\0\09]\14u\109\235\234\375\377\377tL\215\205\244\375\377\377P\350\14\335\377\377;\303\17\205\277\0\0\09\235\244\375\377\377u\32\276 \0\11\200\353g\215\205\254\375\377\377P\3776\377\327\205\300\17\204\213\0\0\0\377\265\244\375\377\377\215\205\330\375\377\377P\350"\376\377\377\205\300t\327\377\265\224\375\377\377\215\205\330\375\377\377\377\265\230\375\377\377\377\265\250\375\377\377P\377u\14\350\345\373\377\377;\303\17\205k\377\377\3773\3669\235\244\375\377\377t\13\377\265\244\375\377\377\350\354\327\377\3779\235\250\375\377\377t\13\377\265\250\375\377\377\350\331\327\377\3779\235\240\375\377\377t\13\377\265\240\375\377\377\350\306\327\377\377\213M\374_\213\306^[\350\7U\377\377\311\302\30\0\377\25\310\21\375\17\203\370\22u\7\276\3\1\0\0\353\244\213\360\353\240\314\314\314\314\314\213\377U\213\354\201\354(\4\0\0\241\244B\377\17S\213]\14V\2135\24\21\375\17W3\322RR\211E\374\213E\10j\377\211\205\330\373\377\377\213E\30S\211\205\334\373\377\377j\23\300\271\5\1\0\0\215\275\350\373\377\377R\211\225\340\373\377\377\363\253\377\326\213\370\205\377u\15\377\25\310\21\375\17\213\360\351\251\0\0\0\215G\1=\12\2\0\0v(\215D?\2P\350\336\326\377\377\205\300\211\205\344\373\377\377u\10j\10^\351\203\0\0\0\307\205\340\373\377\377\1\0\0\0\353\14\215\205\350\373\377\377\211\205\344\373\377\377W\377\265\344\373\377\377j\377Sj\2j\0\377\326\205\300u\12\377\25\310\21\375\17\213\360\3530\377\265\334\373\377\377\377u\24\377u\20\377\265\344\373\377\377\377\265\330\373\377\377\377\25t\20\375\17\205\300t\14\203\370\2u\325\276\26\0\11\200\353\23\366\203\275\340\373\377\377\0t\24\203\275\344\373\377\377", ) \376\377\377\205\300t\327\377\265\224\375\377\377\215\205\330\375\377\377\377\265\230\375\377\377\377\265\250\375\377\377P\377u\14\350\345\373\377\377;\303\17\205k\377\377\3773\3669\235\244\375\377\377t\13\377\265\244\375\377\377\350\354\327\377\3779\235\250\375\377\377t\13\377\265\250\375\377\377\350\331\327\377\3779\235\240\375\377\377t\13\377\265\240\375\377\377\350\306\327\377\377\213M\374_\213\306^[\350\7U\377\377\311\302\30\0\377\25\310\21\375\17\203\370\22u\7\276\3\1\0\0\353\244\213\360\353\240\314\314\314\314\314\213\377U\213\354\201\354(\4\0\0\241\244B\377\17S\213]\14V\2135\24\21\375\17W3\322RR\211E\374\213E\10j\377\211\205\330\373\377\377\213E\30S\211\205\334\373\377\377j\23\300\271\5\1\0\0\215\275\350\373\377\377R\211\225\340\373\377\377\363\253\377\326\213\370\205\377u\15\377\25\310\21\375\17\213\360\351\251\0\0\0\215G\1=\12\2\0\0v(\215D?\2P\350\336\326\377\377\205\300\211\205\344\373\377\377u\10j\10^\351\203\0\0\0\307\205\340\373\377\377\1\0\0\0\353\14\215\205\350\373\377\377\211\205\344\373\377\377W\377\265\344\373\377\377j\377Sj\2j\0\377\326\205\300u\12\377\25\310\21\375\17\213\360\3530\377\265\334\373\377\377\377u\24\377u\20\377\265\344\373\377\377\377\265\330\373\377\377\377\25t\20\375\17\205\300t\14\203\370\2u\325\276\26\0\11\200\353\23\366\203\275\340\373\377\377\0t\24\203\275\344\373\377\377", ) == 0x0
 02278   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\353U\215E\10P\215E\374PS\350\11\375\377\377\205\300t\4\213\360\3531\213}\30\205\377\213M\10\213E\34u\4\211\10\353\369\10\211\10s\7\276\352\0\0\0\353\23\213u\374\213\301\301\351\2\363\245\213\310\203\341\3\363\2443\366\203}\374\0t\10\377u\374\3507\310\377\377\205\333t\6S\350-\310\377\377[\203}\370\0t\10\377u\370\350\36\310\377\377\203}\364\0t\10\377u\364\350\20\310\377\377_\213\306^\311\302\30\0\314\314\314\314\314\213\377U\213\354V\213u\10\205\366t\24\213F\4\205\300t\7P\377\25\244\21\375\17V\350\342\307\377\377^]\302\4\0\314\314\314\314\314h4\1\0\0hx_\375\17\350\303G\377\377\241\244B\377\17\211E\344\213E\10\211\205\274\376\377\3773\333\211\235\330\376\377\377\211\235\304\376\377\377\211\235\300\376\377\377\211\235\324\376\377\377\211\235\314\376\377\377\211]\374\215\205\324\376\377\377Ph\31\0\2\0ShP_\375\17h\2\0\0\200\377\25\224\20\375\17\211\205\310\376\377\377;\303\17\205\341\0\0\0\307\205\320\376\377\377\5\1\0\0\215\205\320\376\377\377P\215\205\334\376\377\377PSS\277D_\375\17W\377\265\324\376\377\377\2135\300\20\375\17\377\326\211\205\310\376\377\377;\303tL=\352\0\0\0\17\205\236\0\0\0\377\265\320\376\377\377\350\331\306\377\377\211\205\330\376\377\377;\303\17\204\205\0\0\0\307\205\304\376\377\377\1\0\0\0\215\215\320\376\377\377QPSSWh\2\0\0\200\377\326\211\205\310\376\377\377;\303t\16\353]\215\205\334\376\377\377\211\205\330\376\377\377j\14_W\350\216\306\377\377\213\360\211\265\300\376\377\377;\363t<\211>SS\377\265\330\376\377\377\377\25H\21\375\17\211F\4;\303t%h4_\375\17P\377\25\234\21\375\17\211F\10;\303t\22\213", ) , ) == 0x0
 02279   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\350\307E\334\10\0\0\0\377u\330\350~\270\377\377\203M\374\3773\3779}\340t\11\377u\340\377\25\304\20\375\17\213E\334\350\2278\377\377\303\314\314\314\314\314\213\377U\213\354\213M\20\205\311\213E\14V\213u\10u\10\213H$\211N\30\353\6\213P$\211Q$P\350\310\375\377\377\377N$^]\302\14\0\314\314\314\314\314\213\377U\213\354\213U\10\213B\30VW3\3663\3113\377\205\300t#S\205\311t\10\213X ;Y s\4\213\310\213\376\213\360\213@$\205\300u\347WQR\350\223\377\377\377[_^]\302\4\0\314\314\314\314\314\213\377U\213\354VW\377\25l\21\375\17\213U\10\213J,\213u\14\213\3703\300@\203\371\377t\27S\213\337+^ ;\331[v\14\377u\20VR\350R\377\377\3773\300\211~ _^]\302\14\0\314\314\314\314\314\213\377U\213\354QQ\213E\10S\213X\30W3\300\215}\370\253\253\213E\24\203 \0\215E\370P\350\235\266\377\377\205\300t\43\300\353}\205\333twV\213C\24;E\20uI\213s\20\213}\14\212\17\212\301:\16u\32\204\300t\22\212O\1\212\301:N\1u\14GGFF\204\300u\3423\300\353\5\33\300\203\330\377\205\300u\30j\10Y\215{\30\215u\3703\300\363\246t\5\33\300\203\330\377\205\300t\14\213E\24\211\30\213[$\205\333u\243\205\333^t\24\213E\24\3770S\377u\10\350\31\377\377\377\205\300u\23\333\213\303_[\311\302\20\0\314\314\314\314\314\213\377U\213\354QVW\213}\10\213w\30\203e\10\0\377\25l\21\375\17\211E\374+G\349G(w2\205\366t(S\213E\374+F 9G(s\21\377u\10\213^$VW\350M\376\377\377\213\363\353\6\211u\10\213v$\205\366u\332[", ) , ) == 0x0
 02280   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "D\22\2\0\236\21\2\0\252\21\2\0\266\21\2\0\300\21\2\0\316\21\2\0\334\21\2\0\350\21\2\0\372\21\2\0\16\22\2\0"\22\2\00\22\2\0<\26\2\0\0\0\0\0r\21\2\0V\21\2\0B\21\2\0.\21\2\0\24\21\2\0\376\20\2\0\272\22\2\0\322\22\2\0\342\22\2\0\360\22\2\0\376\22\2\0\22\23\2\0\36\23\2\00\23\2\0>\23\2\0J\23\2\0R\23\2\0h\23\2\0x\23\2\0\216\23\2\0\234\23\2\0\260\23\2\0\274\23\2\0\312\23\2\0\330\23\2\0\352\23\2\0\372\23\2\0\20\24\2\0&\24\2\06\24\2\0H\24\2\0Z\24\2\0j\24\2\0z\24\2\0\206\24\2\0\220\24\2\0\242\24\2\0\350\20\2\0\330\20\2\0\276\20\2\0\240\20\2\0\224\20\2\0x\20\2\0b\20\2\0J\20\2\0:\20\2\0.\20\2\0"\20\2\0\6\20\2\0\366\17\2\0\344\17\2\0\330\17\2\0\312\17\2\0\276\17\2\0\262\17\2\0\240\17\2\0\210\17\2\0p\17\2\0d\17\2\0X\17\2\0H\17\2\08\17\2\0\0\0\0\0\216\25\2\0\202\25\2\0v\25\2\0\0\0\0\0\364\16\2\0\376\16\2\0\6\17\2\0\22\17\2\0\34\17\2\0\326\24\2\0\314\24\2\0\302\24\2\0\270\24\2\0\256\24\2\0\340\16\2\0\0\0\0\0\376\24\2\0\10\25\2\0\26\25\2\0&\25\2\0F\25\2\0X\25\2\0\346\24\2\0\0\0\0\0\355\0_except_handler3\0\0\372\1_strlwr\0\245\2free\0\0;\1_initterm\0\330\2malloc\0\0\266\0_adjust_fdiv\0\0msvcrt.dll\0\0h\1GetLas", ) \22\2\00\22\2\0<\26\2\0\0\0\0\0r\21\2\0V\21\2\0B\21\2\0.\21\2\0\24\21\2\0\376\20\2\0\272\22\2\0\322\22\2\0\342\22\2\0\360\22\2\0\376\22\2\0\22\23\2\0\36\23\2\00\23\2\0>\23\2\0J\23\2\0R\23\2\0h\23\2\0x\23\2\0\216\23\2\0\234\23\2\0\260\23\2\0\274\23\2\0\312\23\2\0\330\23\2\0\352\23\2\0\372\23\2\0\20\24\2\0&\24\2\06\24\2\0H\24\2\0Z\24\2\0j\24\2\0z\24\2\0\206\24\2\0\220\24\2\0\242\24\2\0\350\20\2\0\330\20\2\0\276\20\2\0\240\20\2\0\224\20\2\0x\20\2\0b\20\2\0J\20\2\0:\20\2\0.\20\2\0 (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "D\22\2\0\236\21\2\0\252\21\2\0\266\21\2\0\300\21\2\0\316\21\2\0\334\21\2\0\350\21\2\0\372\21\2\0\16\22\2\0"\22\2\00\22\2\0<\26\2\0\0\0\0\0r\21\2\0V\21\2\0B\21\2\0.\21\2\0\24\21\2\0\376\20\2\0\272\22\2\0\322\22\2\0\342\22\2\0\360\22\2\0\376\22\2\0\22\23\2\0\36\23\2\00\23\2\0>\23\2\0J\23\2\0R\23\2\0h\23\2\0x\23\2\0\216\23\2\0\234\23\2\0\260\23\2\0\274\23\2\0\312\23\2\0\330\23\2\0\352\23\2\0\372\23\2\0\20\24\2\0&\24\2\06\24\2\0H\24\2\0Z\24\2\0j\24\2\0z\24\2\0\206\24\2\0\220\24\2\0\242\24\2\0\350\20\2\0\330\20\2\0\276\20\2\0\240\20\2\0\224\20\2\0x\20\2\0b\20\2\0J\20\2\0:\20\2\0.\20\2\0"\20\2\0\6\20\2\0\366\17\2\0\344\17\2\0\330\17\2\0\312\17\2\0\276\17\2\0\262\17\2\0\240\17\2\0\210\17\2\0p\17\2\0d\17\2\0X\17\2\0H\17\2\08\17\2\0\0\0\0\0\216\25\2\0\202\25\2\0v\25\2\0\0\0\0\0\364\16\2\0\376\16\2\0\6\17\2\0\22\17\2\0\34\17\2\0\326\24\2\0\314\24\2\0\302\24\2\0\270\24\2\0\256\24\2\0\340\16\2\0\0\0\0\0\376\24\2\0\10\25\2\0\26\25\2\0&\25\2\0F\25\2\0X\25\2\0\346\24\2\0\0\0\0\0\355\0_except_handler3\0\0\372\1_strlwr\0\245\2free\0\0;\1_initterm\0\330\2malloc\0\0\266\0_adjust_fdiv\0\0msvcrt.dll\0\0h\1GetLas", ) , ) == 0x0
 02281   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\225\13#\305r\230\235IzFN\341\346/\306c!\217f\334\233\314\342'\3'\205\360:\2\373@\0\0\0\0Qt\366\362#\354\241vUX\7q\277\177\12\36kHH\273\222\266*\261\7\244!\321\306\313_@\316\335\272\333\374\27\373\247\275\341\364c\330\236\211\342\335z\354\21\326\251\234\272\307^5\226\246o\177,\0\0\0\0\0\0\0\0RSA1H\0\0\0\0\2\0\0?\0\0\0\1\0\1\0\357L\154\317D\17\261s\254\324\233\276\314-\21*+\275!\4\216\254\255\325\374\322P\245\33C\25bg\217^\0\271%\33\342O\276\241P\241D;\27\330\221\365(\371\372\256\347\300\375\271\315vO\0\0\0\0\0\0\0\0\270/k\211\310\354\364\376\13\360m*\332?\303\350\226\202\205\353\256\1\24s\371\10E\300jm>i\200j\14a\212c\322\373\0\0\0\334\356L\371,\0\0\0\3618)\311\336\0\0\0\224Vx\220\253\315\357YE\232\371'\204t\312\325Xu\22\316\357w\223{\230\337\235\242\334{z\235\223\216\366|\1^\353\1#\4g\10\253\15\357Now is t\254\227M\331\2\23\210,G\334\360\23\177\245\3262\1#Eg\211\253\315\357Now is t?\244\16\212\230MH\25\345\307\315\336\207+\362|\1#Eg\211\253\315\357#Eg\211\253\315\357\1Eg\211\253\315\357\1#Now is t1O\203'\372z\11\250\363\300\377\2l\20\211\1#Eg\211\253\315\357#Eg\211\253\315\357\1Now is t\267\203Wy\356&\254\267\23K\230\370\356\263\366\7\0\1\2\3\4\5\6\7\10\11\12\13\14\15\16\17\0\1\2\3\4\5\6\7\10\11\12\13\14\15\16\17\12\224\13\265An\360E\361\303\224X\306S\352Z", ) , ) == 0x0
 02282   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "age Authentication Code\0\0\0\0\0\0\0\0\0\0\0\0\0\0$\0\0\0\4\0\0\200\1\0\0\0@\0\00\0\0\0\11\0\0\0RSA_SIGN\0\0\0\0\0\0\0\0\0\0\0\0\16\0\0\0RSA Signature\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\244\0\0\0\4\0\0\200\1\0\0\0@\0\00\0\0\0\11\0\0\0RSA_KEYX\0\0\0\0\0\0\0\0\0\0\0\0\21\0\0\0RSA Key Exchange\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\11\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\5\0\0\0HMAC\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\22\0\0\0Hugo's MAC (HMAC)\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\2f\0\0\200\0\0\0(\0\0\0\200\0\0\0\0\0\0\0\4\0\0\0RC2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\30\0\0\0RSA Data Security's RC2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1h\0\0\200\0\0\0(\0\0\0\200\0\0\0\0\0\0\0\4\0\0\0", ) , ) == 0x0
 02283   896   NtReadFile  (136, 0, 0, 0, 1924, 0x0, 0, ... {status=0x0, info=1924},  (136, 0, 0, 0, 1924, 0x0, 0, ... {status=0x0, info=1924}, " \1\0\0\0\0\0\0\14\0\0\0SSL3 SHAMD5\0\0\0\0\0\0\0\0\0\14\0\0\0SSL3 SHAMD5\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0$\0\0\0\4\0\0\200\1\0\0\0@\0\0 \0\0\0\11\0\0\0RSA_SIGN\0\0\0\0\0\0\0\0\0\0\0\0\16\0\0\0RSA Signature\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\10$\377\17\200(\377\17\250-\377\17\09\377\17\340?\377\17\3202\377\17\20\244\37M\331o\320\21\214X\0\300O\331\22k\21\244\37M\331o\320\21\214X\0\300O\331\22k\22\244\37M\331o\320\21\214X\0\300O\331\22k0\214\7\212U7\320\21\240\275\0\252\0aBj\277D\377\377@\273\0\0\0\0\0\0\0\0\0\0\0\0\0\0\320[\375\17\324[\375\17\330[\375\17\334[\375\17\340[\375\17\350[\375\17\360[\375\17\370[\375\17\0\\375\17\14\\375\17\30\\375\17$\\375\170\\375\17@\\375\17P\\375\17`\\375\17\1\0\0\0\12\0\0\0d\0\0\0\364\1\0\0\350\3\0\0\210\23\0\0\0\0\0\0\355\11\377\17\10\12\377\17\0\0\0\0\357\6\377\17\0\0\0\0\333\6\377\17\300\6\377\17\345\6\377\17\0\0\0\0\22\12\377\17\0\0\0\0\310\11\377\17", ) , ) == 0x0
 02284   896   NtQueryInformationFile  (136, 456032, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 02285   896   NtSetInformationFile  (136, 456032, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 02286   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\0\1\0\0H\1\0\0\217-l#\214\27<\361\0\07\0C\0A\0P\0I\0:\0 \0T\0h\0e\0 \0i\0n\0s\0t\0a\0l\0l\0 \0p\0r\0o\0g\0r\0a\0m\0 \0c\0o\0u\0l\0d\0 \0n\0o\0t\0 \0o\0p\0e\0n\0 \0s\0i\0g\0n\0a\0t\0u\0r\0e\0 \0f\0i\0l\0e\0?\0C\0A\0P\0I\0:\0 \0T\0h\0e\0 \0i\0n\0s\0t\0a\0l\0l\0 \0p\0r\0o\0g\0r\0a\0m\0 \0c\0o\0u\0l\0d\0 \0n\0o\0t\0 \0g\0e\0t\0 \0t\0h\0e\0 \0s\0i\0z\0e\0 \0o\0f\0 \0R\0s\0a\0b\0a\0s\0e\0.\0s\0i\0g\03\0C\0A\0P\0I\0:\0 \0T\0h\0e\0 \0i\0n\0s\0t\0a\0l\0l\0 \0p\0r\0o\0g\0r\0a\0m\0 \0c\0o\0u\0l\0d\0 \0n\0o\0t\0 \0a\0l\0l\0o\0c\0a\0t\0e\0 \0m\0e\0m\0o\0r\0y\04\0C\0A\0P\0I\0:\0 \0T\0h\0e\0 \0i\0n\0s\0t\0a\0l\0l\0 \0p\0r\0o\0g\0r\0a\0m\0 \0c\0o\0u\0l\0d\0 \0n\0o\0t\0 \0R\0e\0a\0d\0 \0R\0s\0a\0b\0a\0s\0e\0.\0s\0i\0g\05\0C\0A\0P\0I\0:\0 \0T\0h\0e\0 \0i\0n\0s\0t\0a\0", ) , ) == 0x0
 02287   896   NtReadFile  (136, 0, 0, 0, 2720, 0x0, 0, ... {status=0x0, info=2720},  (136, 0, 0, 0, 2720, 0x0, 0, ... {status=0x0, info=2720}, "\3047\3247\3427\3607\28\178\358+8\2208\3138\3258\3378\3518\09\79\279$9=9D9Q9\9n9u9\1779\2119\3129\3279\3479\3619\10:\17:\37:*:A:H:X:c:u:|:\206:\223:\316:\333:\353:\365:\14;\23;#;.;B;I;Y;d;v;};\207;\224;\317;\331;\351;\363;\7<\24<$\30>(>6>G>T>d>r>\200>\222>\237>\255>\273>;?]?j?t?~?\226?\247?\256?\275?\323?\332?\341?\360?\0p\1\0\324\1\0\0\20\110\230\370q0x0\2020\2140\2360\2570\2660\3050\3330\3420\3510\3700\121\211\331'1n1z1\2071\2311\2461\2621\3041\3231\3421\3571\3741\112\262%272D2\2732\3422\3512\3632\3752\303&3-373E3R3a3o3\2033\2123\2263\2403\3533\3623\3743\64\304&404?4R4Y4c4r4\2044\2134\2254\2374\3324\3474\3614\3734\165\255\375,5B5I5P5]5o5v5\2005\2125\3035\3125\3245\3365\3645\3735\106\276&616;6H6Z6a6k6u6\2546\2636\2756\3076\3316\3526\3616\07\237\327$737E7L7V7b7\2477\2637\3007\3227\3377\3537\3757\148\338(858", ) , ) == 0x0
 02288   896   NtUnmapViewOfSection  (-1, 0x950000, ... ) == 0x0
 02289   896   NtClose  (140, ... ) == 0x0
 02290   896   NtClose  (136, ... ) == 0x0
 02291   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "rsaenh.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02292   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\u:\work\rsaenh.dll"}, 454784, ... ) }, 454784, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02293   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\rsaenh.dll"}, 454784, ... ) }, 454784, ... ) == 0x0
 02294   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\rsaenh.dll"}, 5, 96, ... 136, {status=0x0, info=1}, ) }, 5, 96, ... 136, {status=0x0, info=1}, ) == 0x0
 02295   896   NtCreateSection  (0xf, 0x0, 0x0, 16, 16777216, 136, ... 140, ) == 0x0
 02296   896   NtQuerySection  (140, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 02297   896   NtClose  (136, ... ) == 0x0
 02298   896   NtMapViewOfSection  (140, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0xffd0000), 0x0, 163840, ) == 0x0
 02299   896   NtClose  (140, ... ) == 0x0
 02300   896   NtProtectVirtualMemory  (-1, (0xffd1000), 560, 4, ... (0xffd1000), 4096, 32, ) == 0x0
 02301   896   NtProtectVirtualMemory  (-1, (0xffd1000), 4096, 32, ... (0xffd1000), 4096, 4, ) == 0x0
 02302   896   NtFlushInstructionCache  (-1, 268242944, 560, ... ) == 0x0
 02303   896   NtProtectVirtualMemory  (-1, (0xffd1000), 560, 4, ... (0xffd1000), 4096, 32, ) == 0x0
 02304   896   NtProtectVirtualMemory  (-1, (0xffd1000), 4096, 32, ... (0xffd1000), 4096, 4, ) == 0x0
 02305   896   NtFlushInstructionCache  (-1, 268242944, 560, ... ) == 0x0
 02306   896   NtProtectVirtualMemory  (-1, (0xffd1000), 560, 4, ... (0xffd1000), 4096, 32, ) == 0x0
 02307   896   NtProtectVirtualMemory  (-1, (0xffd1000), 4096, 32, ... (0xffd1000), 4096, 4, ) == 0x0
 02308   896   NtFlushInstructionCache  (-1, 268242944, 560, ... ) == 0x0
 02309   896   NtProtectVirtualMemory  (-1, (0xffd1000), 560, 4, ... (0xffd1000), 4096, 32, ) == 0x0
 02310   896   NtProtectVirtualMemory  (-1, (0xffd1000), 4096, 32, ... (0xffd1000), 4096, 4, ) == 0x0
 02311   896   NtFlushInstructionCache  (-1, 268242944, 560, ... ) == 0x0
 02312   896   NtProtectVirtualMemory  (-1, (0xffd1000), 560, 4, ... (0xffd1000), 4096, 32, ) == 0x0
 02313   896   NtProtectVirtualMemory  (-1, (0xffd1000), 4096, 32, ... (0xffd1000), 4096, 4, ) == 0x0
 02314   896   NtFlushInstructionCache  (-1, 268242944, 560, ... ) == 0x0
 02315   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rsaenh.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02316   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\u:\work\crypt32.dll"}, 453416, ... ) }, 453416, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02317   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\crypt32.dll"}, 453416, ... ) }, 453416, ... ) == 0x0
 02318   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 454184,  (0x80100080, {24, 0, 0x40, 0, 454184, "\??\C:\WINDOWS\system32\crypt32.dll"}, 0x0, 0, 5, 1, 96, 0, 0, ... 140, {status=0x0, info=1}, ) }, 0x0, 0, 5, 1, 96, 0, 0, ... 140, {status=0x0, info=1}, ) == 0x0
 02319   896   NtCreateSection  (0xf0005, 0x0, 0x0, 2, 134217728, 140, ... 136, ) == 0x0
 02320   896   NtClose  (140, ... ) == 0x0
 02321   896   NtMapViewOfSection  (136, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 2, ... (0x950000), {0, 0}, 598016, ) == 0x0
 02322   896   NtClose  (136, ... ) == 0x0
 02323   896   NtAllocateVirtualMemory  (-1, 577536, 0, 20480, 4096, 4, ... 577536, 20480, ) == 0x0
 02324   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02325   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02326   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02327   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02328   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02329   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02330   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02331   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02332   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02333   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02334   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02335   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02336   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02337   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02338   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02339   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02340   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02341   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02342   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02343   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02344   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02345   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02346   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02347   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02348   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02349   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02350   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02351   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02352   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02353   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02354   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02355   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02356   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02357   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02358   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02359   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02360   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02361   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02362   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02363   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02364   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02365   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02366   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02367   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02368   896   NtUnmapViewOfSection  (-1, 0x950000, ... ) == 0x0
 02369   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\rsaenh.dll"}, 453644, ... ) }, 453644, ... ) == 0x0
 02370   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 454420,  (0x80100080, {24, 0, 0x40, 0, 454420, "\??\C:\WINDOWS\system32\rsaenh.dll"}, 0x0, 0, 3, 1, 96, 0, 0, ... 136, {status=0x0, info=1}, ) }, 0x0, 0, 3, 1, 96, 0, 0, ... 136, {status=0x0, info=1}, ) == 0x0
 02371   896   NtQueryVolumeInformationFile  (136, 454604, 8, Device, ... {status=0x0, info=8}, ) == 0x0
 02372   896   NtQueryInformationFile  (136, 454472, 40, Basic, ... {status=0x0, info=40}, ) == 0x0
 02373   896   NtQueryInformationFile  (136, 454776, 24, Standard, ... {status=0x0, info=24}, ) == 0x0
 02374   896   NtClose  (136, ... ) == 0x0
 02375   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\rsaenh.dll"}, 453124, ... ) }, 453124, ... ) == 0x0
 02376   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 453900,  (0x80100080, {24, 0, 0x40, 0, 453900, "\??\C:\WINDOWS\system32\rsaenh.dll"}, 0x0, 0, 3, 1, 96, 0, 0, ... 136, {status=0x0, info=1}, ) }, 0x0, 0, 3, 1, 96, 0, 0, ... 136, {status=0x0, info=1}, ) == 0x0
 02377   896   NtQueryVolumeInformationFile  (136, 454084, 8, Device, ... {status=0x0, info=8}, ) == 0x0
 02378   896   NtQueryInformationFile  (136, 453952, 40, Basic, ... {status=0x0, info=40}, ) == 0x0
 02379   896   NtCreateSection  (0xf0005, 0x0, 0x0, 2, 134217728, 136, ... 140, ) == 0x0
 02380   896   NtMapViewOfSection  (140, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 2, ... (0x950000), {0, 0}, 155648, ) == 0x0
 02381   896   NtQueryDefaultLocale  (1, 454136, ... ) == 0x0
 02382   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x26000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02383   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x26000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02384   896   NtQueryDefaultLocale  (1, 454136, ... ) == 0x0
 02385   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x26000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02386   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x26000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02387   896   NtReadFile  (136, 0, 0, 0, 328, 0x0, 0, ... {status=0x0, info=328},  (136, 0, 0, 0, 328, 0x0, 0, ... {status=0x0, info=328}, "MZ\220\0\3\0\0\0\4\0\0\0\377\377\0\0\270\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\360\0\0\0\16\37\272\16\0\264\11\315!\270\1L\315!This program cannot be run in DOS mode.\15\15\12$\0\0\0\0\0\0\0\7\267\232\34C\326\364OC\326\364OC\326\364O\200\331\373OJ\326\364OC\326\365O\320\326\364O\200\331\251OH\326\364O\200\331\250OB\326\364O\200\331\252OB\326\364O\200\331\224OB\326\364O\200\331\253Oj\326\364O\200\331\256OB\326\364ORichC\326\364O\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0PE\0\0L\1\4\0(]\353@\0\0\0\0\0\0\0\0\340\0\16!\13\1\7\12\0\14\2\0\0F\0\0\0\0\0\0\3414\1\0\0\20\0\0\0 \2\0\0\0\375\17\0\20\0\0\0\2\0\0\5\0\1\0\5\0\1\0\4\0\0\0\0\0\0\0\0\200\2\0\0\4\0\0", ) , ) == 0x0
 02388   896   NtQueryInformationFile  (136, 454300, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 02389   896   NtSetInformationFile  (136, 454300, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 02390   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\3\0\0\10\0\0\4\0\0\20\0\0\0\0\20\0\0\20\0\0\0\0\0\0\20\0\0\0\200\30\2\0\273\2\0\08\14\2\0x\0\0\0\0P\2\0P\14\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0`\2\0\354\16\0\00\22\0\0\34\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\200`\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\20\0\00\2\0\00\12\2\0\340\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0.text\0\0\0;\13\2\0\0\20\0\0\0\14\2\0\0\4\0\0\0\0\0\0\0\0\0\0\0\0\0\0 \0\0`.data\0\0\0\210%\0\0\0 \2\0\0$\0\0\0\20\2\0\0\0\0\0\0\0\0\0\0\0\0\0@\0\0\300.rsrc\0\0\0P\14\0\0\0P\2\0\0\16\0\0\04\2\0\0\0\0\0\0\0\0\0\0\0\0\0@\0\0@.reloc\0\0r\20\0\0\0`\2\0\0\22\0\0\0B\2\0\0\0\0\0\0\0\0\0\0\0\0\0@\0\0B\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) , ) == 0x0
 02391   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\0 \0\0@ \0\200\0\0 \0@ \0\0@  \200\0  \0\0\0\0\200\0 \0\200@\0\0\200\0\0 \200@  \0\0\0 \0@ \0\200@\0 \200\0\0\0\0\0 \0\0@\0\0\0\0  \200@\0 \200@  \200\0\0 \200\0\0\0\200@ \0\0@\0\0\0\0  \0@  \0\0 \0\200@ \0\0\0\0\0\200\0 \0\200@  \0\0  \200@\0 \0\0\0\0\0\0 \0\200\0\0\0\200\0 \0\0@\0 \200\0\0 \0@\0 \0@  \200\0  \0@\0\0\0@  \200\0  \0\0\0 \0@ \0\200@\0\0\200\0\0 \200@  \0\0\0\0\0\0 \0\0@\0\0\200@ \0\200\0  \200\0\0 \200@ \0\0@\0\0\0@\0 \200\0@\0\0\0\2\0\0\0\2\0\1\4\0\0\1\4B\0\1\4@\0\0\0B\0\0\0\0\0\0\0\0\0\1\4\2\0\1\4\2\0\0\0@\0\1\4\0\0\0\0B\0\1\0@\0\1\4\2\0\0\4\2\0\1\0@\0\0\4@\0\0\4B\0\1\0\0\0\0\0\2\0\1\4\0\0\1\0B\0\0\4@\0\1\4B\0\0\0B\0\1\4\0\0\0\4B\0\0\4@\0\1\0\2\0\0\0\0\0\1\4B\0\0\0@\0\1\4@\0\1\4\2\0\0\0@\0\0\0\2\0\0\0\0\0\1\4@\0\1\4\2\0\1\4B\0\0\0B\0\0\0\0\0\0\0\2\0\0\4\0\0\1\4\0\0\0\0\2\0\1\0\0\0\0\4\2\0\1\0\2\0\1\0B\0\0\4\2\0\0\0@\0\0\4B\0\1\0\0\0\1\0B\0\1\4\0\0\0\4@\0\0\4B\0\1\4\0\0\1\0B\0\1\0@\0\1\4@\0\0\200\0\200 \0\0\202 ", ) , ) == 0x0
 02392   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\250TT\374m\273\273\326,\26\26:\245\306cc\204\370||\231\356ww\215\366{{\15\377\362\362\275\326kk\261\336ooT\221\305\305P`00\3\2\1\1\251\316gg}V++\31\347\376\376b\265\327\327\346M\253\253\232\354vvE\217\312\312\235\37\202\202@\211\311\311\207\372}}\25\357\372\372\353\262YY\311\216GG\13\373\360\360\354A\255\255g\263\324\324\375_\242\242\352E\257\257\277#\234\234\367S\244\244\226\344rr[\233\300\300\302u\267\267\34\341\375\375\256=\223\223jL&&Zl66A~??\2\365\367\367O\203\314\314\h44\364Q\245\2454\321\345\345\10\371\361\361\223\342qqs\253\330\330Sb11?*\25\25\14\10\4\4R\225\307\307eF##^\235\303\303(0\30\30\2417\226\226\17\12\5\5\265/\232\232\11\16\7\76$\22\22\233\33\200\200=\337\342\342&\315\353\353iN''\315\177\262\262\237\352uu\33\22\11\11\236\35\203\203tX,,.4\32\32-6\33\33\262\334nn\356\264ZZ\373[\240\240\366\244RRMv;;a\267\326\326\316}\263\263{R))>\335\343\343q^//\227\23\204\204\365\246SSh\271\321\321\0\0\0\0,\301\355\355`@  \37\343\374\374\310y\261\261\355\266[[\276\324jjF\215\313\313\331g\276\276Kr99\336\224JJ\324\230LL\350\260XXJ\205\317\317k\273\320\320*\305\357\357\345O\252\252\26\355\373\373\305\206CC\327\232MMUf33\224\21\205\205\317\212EE\20\351\371\371\6\4\2\2\201\376\177\177\360\240PPDx<<\272%\237\237\343K\250\250\363\242QQ\376]\243\243\300\200@@\212\5\217\217\255?\222\222\274!\235\235Hp88\4\361\365\365\337c\274\274\301w\266\266", ) , ) == 0x0
 02393   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\3252\266pHl\t\320\270WBPQ\364\247S~Ae\303\32\27\244\226:'^\313;\253k\361\37\235E\253\254\372X\223K\343\3U 0\372\366\255vm\221\210\314v%\365\2L\374O\345\327\327\305*\313\200&5D\217\265b\243I\336\261Zg%\272\33\230E\352\16\341]\376\300\2\303/u\22\201L\360\243\215F\227\306k\323\371\347\3\217_\225\25\222\234\353\277mz\332\225RY-\324\276\203\323Xt!)I\340iD\216\311\310ju\302\211x\364\216yk\231X>\335'\271q\266\276\341O\27\360\210\255f\311 \254\264}\316:\30c\337J\202\345\321`\227Q3EbS\177\340\261dw\204\273k\256\34\376\201\240\224\371\10+XpHh\31\217E\375\207\224\336l\267R{\370#\253s\323\342rK\2W\343\37\217*fU\253\7\262\353(\3/\265\302\232\206\305{\245\3237\10\3620(\207\262#\277\245\272\2\3j\\355\26\202+\212\317\34\222\247y\264\360\363\7\362\241Ni\342\315e\332\364\325\6\5\276\37\3214b\212\304\246\376\2354.S\240\242\363U2\5\212\341u\244\366\3539\13\203\354\252@`\357\6^q\237Q\275n\20\371>!\212=\226\335\6\256\335>\5FM\346\275\265\221T\215\5q\304]o\4\6\324\377`P\25$\31\230\373\227\326\275\351\314\211@Cwg\331\236\275\260\350B\210\7\211\2138\347\31[\333y\310\356G\241|\12\351|B\17\311\370\204\36\0\0\0\0\203\11\200\206H2+\355\254\36\21pNlZr\373\375\16\377V\17\2058\36=\256\325'6-9d\12\17\331!h\\246\321\233[T:$6.\261\14\12g\17\223W\347\322\264\356\226\236\33\233\221O\200\300\305\242a\334 iZwK\26\34\22\32\12\342\223\272\345\300\240*", ) , ) == 0x0
 02394   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "<"\340C.9\367^ 0\372U\354\232\267\1\342\223\272\12\360\210\255\27\376\201\240\34\324\276\203-\332\267\216&\310\254\231;\306\245\2240\234\322\337Y\222\333\322R\200\300\305O\216\311\310D\244\366\353u\252\377\346~\270\344\361c\266\355\374h\14\12g\261\2\3j\272\20\30}\247\36\21p\2544.S\235:'^\226("@\35\236/KG\351d"I\340i)[\373~4U\362s?\177\315P\16q\304]\5c\337J\30m\326G\23\3271\334\312\3318\321\301\313#\306\334\305*\313\327\357\25\350\346\341\34\345\355\363\7\362\360\375\16\377\373\247y\264\222\251p\271\231\273k\256\204\265b\243\217\237]\200\276\221T\215\265\203O\232\250\215F\227\243\0\0\0\0\13\16\11\15\26\34\22\32\35\22\33\27,8$4'6-9:$6.1*?#XpHhS~AeNlZrEbS\177tHl\\177FeQbT~FiZwK\260\340\220\320\273\356\231\335\246\374\202\312\255\362\213\307\234\330\264\344\227\326\275\351\212\304\246\376\201\312\257\363\350\220\330\270\343\236\321\265\376\214\312\242\365\202\303\257\304\250\374\214\317\246\365\201\322\264\356\226\331\272\347\233{\333;\273p\3252\266m\307)\241f\311 \254W\343\37\217\\355\26\202A\377\15\225J\361\4\230#\253s\323(\245z\3365\267a\311>\271h\304\17\223W\347\4\235^\352\31\217E\375\22\201L\360\313;\253k\3005\242f\335'\271q\326)\260|\347\3\217_\354\15\206R\361\37\235E\372\21\224H\223K\343\3\230E\352\16", ) \340C.9\367^ 0\372U\354\232\267\1\342\223\272\12\360\210\255\27\376\201\240\34\324\276\203-\332\267\216&\310\254\231;\306\245\2240\234\322\337Y\222\333\322R\200\300\305O\216\311\310D\244\366\353u\252\377\346~\270\344\361c\266\355\374h\14\12g\261\2\3j\272\20\30}\247\36\21p\2544.S\235:'^\226(213&5D\200|B\17\351rK\2\342`P\25\377nY\30\364Df;\305Jo6\316Xt!\323V},\3307\241\14z9\250\1q+\263\26l%\272\33g\17\2058V\1\2145]\23\227 (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "<"\340C.9\367^ 0\372U\354\232\267\1\342\223\272\12\360\210\255\27\376\201\240\34\324\276\203-\332\267\216&\310\254\231;\306\245\2240\234\322\337Y\222\333\322R\200\300\305O\216\311\310D\244\366\353u\252\377\346~\270\344\361c\266\355\374h\14\12g\261\2\3j\272\20\30}\247\36\21p\2544.S\235:'^\226("@\35\236/KG\351d"I\340i)[\373~4U\362s?\177\315P\16q\304]\5c\337J\30m\326G\23\3271\334\312\3318\321\301\313#\306\334\305*\313\327\357\25\350\346\341\34\345\355\363\7\362\360\375\16\377\373\247y\264\222\251p\271\231\273k\256\204\265b\243\217\237]\200\276\221T\215\265\203O\232\250\215F\227\243\0\0\0\0\13\16\11\15\26\34\22\32\35\22\33\27,8$4'6-9:$6.1*?#XpHhS~AeNlZrEbS\177tHl\\177FeQbT~FiZwK\260\340\220\320\273\356\231\335\246\374\202\312\255\362\213\307\234\330\264\344\227\326\275\351\212\304\246\376\201\312\257\363\350\220\330\270\343\236\321\265\376\214\312\242\365\202\303\257\304\250\374\214\317\246\365\201\322\264\356\226\331\272\347\233{\333;\273p\3252\266m\307)\241f\311 \254W\343\37\217\\355\26\202A\377\15\225J\361\4\230#\253s\323(\245z\3365\267a\311>\271h\304\17\223W\347\4\235^\352\31\217E\375\22\201L\360\313;\253k\3005\242f\335'\271q\326)\260|\347\3\217_\354\15\206R\361\37\235E\372\21\224H\223K\343\3\230E\352\16", ) I\340i)[\373~4U\362s?\177\315P\16q\304]\5c\337J\30m\326G\23\3271\334\312\3318\321\301\313#\306\334\305*\313\327\357\25\350\346\341\34\345\355\363\7\362\360\375\16\377\373\247y\264\222\251p\271\231\273k\256\204\265b\243\217\237]\200\276\221T\215\265\203O\232\250\215F\227\243\0\0\0\0\13\16\11\15\26\34\22\32\35\22\33\27,8$4'6-9:$6.1*?#XpHhS~AeNlZrEbS\177tHl\\177FeQbT~FiZwK\260\340\220\320\273\356\231\335\246\374\202\312\255\362\213\307\234\330\264\344\227\326\275\351\212\304\246\376\201\312\257\363\350\220\330\270\343\236\321\265\376\214\312\242\365\202\303\257\304\250\374\214\317\246\365\201\322\264\356\226\331\272\347\233{\333;\273p\3252\266m\307)\241f\311 \254W\343\37\217\\355\26\202A\377\15\225J\361\4\230#\253s\323(\245z\3365\267a\311>\271h\304\17\223W\347\4\235^\352\31\217E\375\22\201L\360\313;\253k\3005\242f\335'\271q\326)\260|\347\3\217_\354\15\206R\361\37\235E\372\21\224H\223K\343\3\230E\352\16", ) == 0x0
 02395   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "M\0a\0c\0h\0i\0n\0e\0K\0e\0y\0s\0\0\0-%lu\0\0\0\00x%02hx%02hx%02hx%02hx%02hx%02hx\0\0\0\0%lu\0S-%lu-\0\0-\0%\0l\0u\0\0\0\0\00\0x\0%\00\02\0h\0x\0%\00\02\0h\0x\0%\00\02\0h\0x\0%\00\02\0h\0x\0%\00\02\0h\0x\0%\00\02\0h\0x\0\0\0\0\0%\0l\0u\0\0\0S\0-\0%\0l\0u\0-\0\0\0\0\0\\0M\0i\0c\0r\0o\0s\0o\0f\0t\0\\0C\0r\0y\0p\0t\0o\0\\0R\0S\0A\0\\0\0\0\0\0\\0M\0i\0c\0r\0o\0s\0o\0f\0t\0\\0C\0r\0y\0p\0t\0o\0\\0D\0S\0S\0\\0\0\0\0\0SeRestorePrivilege\0\0SeBackupPrivilege\0\0\0.DEFAULT\0\0\0\0Software\Microsoft\Cryptography\UserKeys\0\0\0\0Software\Microsoft\Cryptography\MachineKeys\0Software\Microsoft\Cryptography\DSSUserKeys\0*\0\0\0SeSecurityPrivilege\0OffloadModEx", ) , ) == 0x0
 02396   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "3\300@\213M\374_^\350\317\305\0\0\311\302\14\0\314\314\314\314\314\213\377U\213\354\213E\10\203x\4\14u\26\201}\14\1\200\0\0t\11\201}\14\2\200\0\0u\43\300\353\33\300@]\302\10\0\314\314\314\314\314\213\377U\213\354\213E\10-\1\200\0\0VW\17\204\211\0\0\0HtWHt9Ht\12\270\10\0\11\200\351\235\0\0\0jt_W\350\324G\1\0\213\360\205\366u\10j\10X\351\206\0\0\0V\350\311\310\0\0\203&\0\213E\14\2110\213E\20\2118\353ojl_W\350\250G\1\0\213\360\205\366t\324\203fh\0V\350}\310\0\0\353\331jd\350\217G\1\0\213\360\205\366t\273j\31Y3\300\213\376\363\253!F\34V\350\220\24\1\0\213E\20\307\0d\0\0\0\213E\14\2110\353%j8^V\350^G\1\0\213\320\205\322t\2123\300j\16Y\213\372\363\253!B4\213E\20\2110\213E\14\211\203\300_^]\302\14\0\314\314\314\314\314\213\377U\213\354S3\3339]\24VWt\12\277\11\0\11\200\351\243\0\0\0S\377u\10\350[\223\0\0;\303u\12\277\1\0\11\200\351\214\0\0\0\213u\14VP\350\306\376\377\377\205\300u\7\277\10\0\11\200\353wj8\350\351F\1\0\213\3303\322;\332\17\204\361\0\0\0j\163\300Y\213\373\363\253\213M\10\213\306-\2L\0\0\211s\4\211\13\17\204\254\1\0\0-\34\0\0\17\204F\1\0\0\203\350\3\17\204%\1\0\0H\17\204\366\0\0\0Ht\9U\20\17\205\250\1\0\0\215C\10P\215C\14PV\350\205\376\377\377\205\300u\13Sj\1\377u\30\3503\223\0\0\213\3703\300\205\377\17\224\300\213\360\205\366u\36\205\333t\23\213C\14\205\300t\6P\350\236F\1\0S\350\230F", ) , ) == 0x0
 02397   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\253\253\2533\300@S\211s<\211s@\211C\\211C`\211sd\350P\377\377\377\213E\30;\306\213M\20\211K\14t"9u\34t\5\211C\20\353\30\213{\20\213\360\213\301\301\351\2\363\245\213\310\203\341\3\363\244\213M\203\366\201\352\1f\0\0tuJtTJt3\203\352\6t\37\203\352\5t\21Jt\16Jt\13\211s`\211sx\351\200\0\0\0\307Cx\20\0\0\0\353w\203{\14\20uM9u u\31j\20\353\15\203{\14\30u>9u u\12j\30\377s\20\350T\17\1\0\307Cx\10\0\0\0\353J\213E\249\260\204\1\0\0u\11\307Cl(\0\0\0\353\343\213\301\301\340\3\211Cl\353\331j\10_9{\14t\23\277\11\0\11\200;\336t\6S\350\2607\1\0\213\307\353\309u u\11W\377s\20\350\4\17\1\0\211{x\213E$\211\303\300_^[]\302 \0\314\314\314\314\314\213\377U\213\354V\213u\10\213F\20\205\300t\6P\350r7\1\0\213F\30\205\300t\6P\350e7\1\0V\350_7\1\0^]\302\4\0\314\314\314\314\314\213\377U\213\354\213E\14\213M\30W3\3223\377-\0$\0\0\211\21t\31-\1B\0\0tlHtUHtF\203\350\6t5-\367=\0\0u\6\307\1\1\0\0\0\213E\20R\301\340\3P\377u\14\213E\10\3774\205HB\377\17\350\204\207\1\0\205\300t\33\377G\213\307_]\302\24\0\203}\20\20t\360\203}\20\16\353*\203}\20\30t\344\203}\20\25\353\369U\24u\331\213E\20R\301\340\3Ph\2f\0\0\353\267\203}\20\10t\304\203}\20\7u\301\353\274\314\314\314\314\314\213\377U\213\354\213E\14V3\366\205\300t \215M\14Q\377u\20\377p\14\377p\4", ) 9u\34t\5\211C\20\353\30\213{\20\213\360\213\301\301\351\2\363\245\213\310\203\341\3\363\244\213M\203\366\201\352\1f\0\0tuJtTJt3\203\352\6t\37\203\352\5t\21Jt\16Jt\13\211s`\211sx\351\200\0\0\0\307Cx\20\0\0\0\353w\203{\14\20uM9u u\31j\20\353\15\203{\14\30u>9u u\12j\30\377s\20\350T\17\1\0\307Cx\10\0\0\0\353J\213E\249\260\204\1\0\0u\11\307Cl(\0\0\0\353\343\213\301\301\340\3\211Cl\353\331j\10_9{\14t\23\277\11\0\11\200;\336t\6S\350\2607\1\0\213\307\353\309u u\11W\377s\20\350\4\17\1\0\211{x\213E$\211\303\300_^[]\302 \0\314\314\314\314\314\213\377U\213\354V\213u\10\213F\20\205\300t\6P\350r7\1\0\213F\30\205\300t\6P\350e7\1\0V\350_7\1\0^]\302\4\0\314\314\314\314\314\213\377U\213\354\213E\14\213M\30W3\3223\377-\0$\0\0\211\21t\31-\1B\0\0tlHtUHtF\203\350\6t5-\367=\0\0u\6\307\1\1\0\0\0\213E\20R\301\340\3P\377u\14\213E\10\3774\205HB\377\17\350\204\207\1\0\205\300t\33\377G\213\307_]\302\24\0\203}\20\20t\360\203}\20\16\353*\203}\20\30t\344\203}\20\25\353\369U\24u\331\213E\20R\301\340\3Ph\2f\0\0\353\267\203}\20\10t\304\203}\20\7u\301\353\274\314\314\314\314\314\213\377U\213\354\213E\14V3\366\205\300t \215M\14Q\377u\20\377p\14\377p\4", ) == 0x0
 02398   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\1\0\11\200\351\325\0\0\0\215E\10Pj\2V\377u\14\350\237t\0\0\205\300t;\215E\10Pj\3V\377u\14\350\214t\0\0\205\300t(\215E\10Pj\4V\377u\14\350yt\0\0\205\300t\25= \0\11\200\17\205\221\0\0\0\270\3\0\11\200\351\207\0\0\0\213E\20\203\370\12\17\207\313\1\0\0\17\204u\1\0\0H\17\204]\1\0\0H\17\204\342\0\0\0H\17\204\316\0\0\0H\17\204\213\0\0\0HtrH\17\205\317\2\0\0\213E\24\213\20\367\302\300\376\377\377t\7\270\11\0\11\200\353;\367\302\4\0\0\0\213E\10t\20\367@h\4\0\0\0u\7\270\5\0\11\200\353 \271\0\1\0\0\205\321t\5\205Hht\353\213Hh3\312\201\341\4\1\0\03\312\211Hh3\300_3\311\205\300\17\224\301\213\361\205\366u\7P\377\25\304\21\375\17\213\306^]\302\24\0\213E\24\213\0\205\300t\264\203\370@w\257\213M\10\211Ad\353\314\213U\10\213B\4=\0$\0\0\17\204,\377\377\377=\0\244\0\0\17\204!\377\377\377\213M\24\212\1<\1t\20<\2t\14<\4t\10<\3\17\205r\377\377\377\213\1\211B`\353\220\213E\24\2038\1t\210\351^\377\377\377\213M\10\213A\4=\2f\0\0t\13=\1h\0\0\17\205\334\376\377\377\213u\24\205\366u\10jWX\351^\377\377\377\213\207\204\1\0\0\205\300t\13\203\370\1t\6\203a@\0\353\7\307A@\13\0\0\0\213E\10\213H@\205\311t\24\215xD\213\301\301\351\2\363\245\213\310\203\341\3\363\244\213E\10P\350\307\371\377\377\205\300\17\204\24\377\377\377\351\21\377\377\377\213E\10\213Hx\213u\24\215x\34\351g\1\0\0\213M\10\213A\4=\2f\0\0t\13=\1h\0\0\17\205W\376", ) , ) == 0x0
 02399   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "j\10X\351\264\1\0\0\213E\309{\10\213H$\213\372u\25\213\361\301\351\2\2706666\363\253\213\316\203\341\3\363\252\353\21\213s\4\213\301\301\351\2\363\245\213\310\203\341\3\363\244\213E\30\213@ \205\300t\11P\350C\30\1\0\213U\24\213E\30\211P \213C\20\205\300u\14\213E\30\307@,@\0\0\0\353\6\213M\30\211A,\213E\30\377p,\350\323\27\1\0\213\320\205\322\213E\30\211U\24u\24\377p \350\2\30\1\0\213E\30\203` \0\351h\377\377\377\203{\20\0\213H,\213\372u\25\213\361\301\351\2\270\\\\\363\253\213\316\203\341\3\363\252\353\21\213s\14\213\301\301\351\2\363\245\213\310\203\341\3\363\244\213E\30\213@(\205\300t\11P\350\265\27\1\0\213U\24\213E\30\211P(\351\323\0\0\0\213E\30\213H\4\201\351\1\200\0\0\17\204\236\0\0\0I\17\204\217\0\0\0It\177ItnIt\37\203\351\3t\12\270\10\0\11\200\351\244\0\0\0\213x\14j\11\213u\24Y\363\245\351\200\0\0\0\213p\14\215M\374Qj\2\377u\10\377p\20\350{c\0\0;\307t\14= \0\11\200uu\203\300\343\353p9^$u\7\270\14\0\11\200\353d\213E\374\213Hx\213u\24\215x,\213\301\301\351\2\363\245\213\310\203\341\3\363\244\3534\213@\149\30t\326\215x\4j\5\353\233\213@\149Xht\307\215xX\353\22\213@\149X\34\353\6\213@\149X4t\262\213\370\213u\24\245\245\245\245\213E\30\11X0\203}\20\2u\6\213E\30\11X\243\300[3\311\205\300\17\224\301\213\361\205\366u\7P\377\25\304\21\375\17_\213\306^\311\302\24\0\314\314\314\314\314\213\377U\213\354\213E\10-\1\200\0\0SVW\17\204\324\0\0\0", ) , ) == 0x0
 02400   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\304\215\226d\1\0\0\211U\300\215U\314R\215F8\215NXPQ\377u\300\211E\260\211M\264\350\5\35\0\0\205\300\17\205q\377\377\377;\337t3\201\373\11f\0\0t+\201\373\3f\0\0t#\201\373\1L\0\0u\11\306E\314\3\210E\315\353\34\201\373\6L\0\0u\24\306E\314\3\306E\315\1\353\12\366E\20\4\17\205\303\376\377\377\366E\20\1t\7\307E\274\1\0\0\0\215E\310Pj\0j\0\215E\314P\377u\10\377u\304\377u\274S\350\365\316\377\377\205\300\17\205\0\377\377\377\213]\20\203\343\4tA\213\266\204\1\0\0\205\366t\15\203\376\1t\10\213}\310!G@\353\14\213E\310\307@@\13\0\0\0\213\370\377w@\215GDP\377u\260\377u\264\377u\300\350L\34\0\0\205\300t\10\351\267\376\377\377\213}\310\213u\270Wj\2V\350\16T\0\0\205\300\17\205\240\376\377\377\203}\304\5u;\366E\20\20u5\205\333u1\213E\14=\1L\0\0t'=\6L\0\0t =\4L\0\0t\31=\5L\0\0t\22\3776\377u\10\350S\375\377\377\205\300\17\205_\376\377\3773\366[3\300\205\366\17\224\300\213\370\205\377u\249E\310t\10\377u\310\350\253\317\377\377V\377\25\304\21\375\17\213M\374\213\307_^\350n\204\0\0\311\302\20\0\314\314\314\314\314\213\377U\213\354\201\354<\1\0\0\241\244B\377\17S3\333f\367E\24\352\373V\213u\30\211E\374W\211\265\304\376\377\377\211\235\324\376\377\377\211\235\360\376\377\377\211\235\314\376\377\377\211\235\350\376\377\377\211\235\344\376\377\377\211\235\320\376\377\377t\12\276\11\0\11\200\351\271\3\0\0S\377u\10\350\274R\0\0\213\370;\373\211\275\324\376\377\377u\12\276\1\0\11\200\351\232\3\0\0\213]\14SW\350\216", ) , ) == 0x0
 02401   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "M\14u\25\213\35\324D\377\17\213G@\213O(\307E\30\1\0\0\0\353\30:\301\17\205C\2\0\0\203e\30\0\213\35\330D\377\17\213GL\213O0\205\300\17\204+\2\0\0\213U\374;J\14\17\205\37\2\0\0\213z\20\213\3603\322\363\246t\5\33\322\203\332\377\205\322\17\205\7\2\0\0\215M\364QP\350U\302\377\3773\3669u\20t"V\215E\14P\215E\24Pj\10\377u\20\377u\10\350:\323\377\377\205\300\17\204\330\1\0\0\301m\24\39u\34\213M\24\213E\364\215D\1\10\213M u\7\211\1\351R\2\0\09\1s\14\211\1\276\352\0\0\0\351B\2\0\0\213}\344\366G\3\360u\24j\1\377u\30SW\350?\35\0\0;\306\17\205h\376\377\3779u\30t\13\213\207<\1\0\0\213\177H\353\11\213\2074\1\0\0\213\177T;\306\211E\30\17\204~\1\0\0;\376u\15\213E\374\366@\11@\17\204Y\1\0\0\215E\364PV\377u\30\350\307\301\377\377\205\300\17\204D\1\0\09u\360\213E\364\213M\24\215<\1u\27W\350\27\367\0\0\213\330;\336\211]\354u\21j\10^\351\266\1\0\0\213]\370\203\303\10\211]\354\215E\364PS\377u\30\350\204\301\377\377\205\300\17\204\1\1\0\09u\20t\36VW\215E\364PSVj\1V\377u\20\377u\10\350D\246\377\377;\306\17\205\270\375\377\377\203}\360\0\213M\364\215Y\10\17\205<\1\0\0\213}\34\213u\354\203\307\10\3516\1\0\0\212\6<\3t\10<\4\17\205\262\0\0\0\213E\374\213@\20\205\300\17\204\270\0\0\0\213X\10\213u\34\203\303\7\301\353\3\203\303\24\205\366\17\204\25\1\0\0\213M 9\31\17\202\12\1\0\0\213\10\213U\370\211J\10\213H\10\211J\14\213H\20\211", ) V\215E\14P\215E\24Pj\10\377u\20\377u\10\350:\323\377\377\205\300\17\204\330\1\0\0\301m\24\39u\34\213M\24\213E\364\215D\1\10\213M u\7\211\1\351R\2\0\09\1s\14\211\1\276\352\0\0\0\351B\2\0\0\213}\344\366G\3\360u\24j\1\377u\30SW\350?\35\0\0;\306\17\205h\376\377\3779u\30t\13\213\207<\1\0\0\213\177H\353\11\213\2074\1\0\0\213\177T;\306\211E\30\17\204~\1\0\0;\376u\15\213E\374\366@\11@\17\204Y\1\0\0\215E\364PV\377u\30\350\307\301\377\377\205\300\17\204D\1\0\09u\360\213E\364\213M\24\215<\1u\27W\350\27\367\0\0\213\330;\336\211]\354u\21j\10^\351\266\1\0\0\213]\370\203\303\10\211]\354\215E\364PS\377u\30\350\204\301\377\377\205\300\17\204\1\1\0\09u\20t\36VW\215E\364PSVj\1V\377u\20\377u\10\350D\246\377\377;\306\17\205\270\375\377\377\203}\360\0\213M\364\215Y\10\17\205<\1\0\0\213}\34\213u\354\203\307\10\3516\1\0\0\212\6<\3t\10<\4\17\205\262\0\0\0\213E\374\213@\20\205\300\17\204\270\0\0\0\213X\10\213u\34\203\303\7\301\353\3\203\303\24\205\366\17\204\25\1\0\0\213M 9\31\17\202\12\1\0\0\213\10\213U\370\211J\10\213H\10\211J\14\213H\20\211", ) == 0x0
 02402   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\26\0\11\200\351\314\1\0\0\213^\10\203\303\7\301\353\3\205\377\17\204\245\1\0\0\213E\2749\30\17\202\232\1\0\0\215E\314PQ\377u\10\377u\14\350\2024\0\0\205\300\17\205b\1\0\0\213\313\213\321\301\351\2\363\253\213\312\203\341\3\363\252\213M\314\213A\4-\1\200\0\0t"Ht\37Ht\34Ht\31\203\350\4\17\205d\1\0\0\366A\24\1u\12\277\14\0\11\200\351Y\1\0\03\3779}\300t-W\377u\300\377\25\254\21\375\17\321\340P\377u\300\377u\14\377u\10\350,\250\377\377\205\300u\13\377\25\310\21\375\17\351\362\0\0\0\213M\314\366A0\1t\7\307E\264\1\0\0\0\213F\4W\211E\310\215E\310P\215E\330Pj\2\377u\14\377u\10\350r\322\377\377\205\300t\305\377v\4\350f\347\0\0;\307\211E\320tS\366E\30\4t#\213M\314\201y\4\4\200\0\0\17\205\316\0\0\0P\377u\264\215E\330\377u\310PS\350\342\375\377\377\353\33P\377u\30\215E\330\377u\310P\213E\314\377p\4V\350\313\374\377\377;\307uo\377v\4\350\23\347\0\0;\307\211E\324u\10j\10_\351\216\0\0\0W\377u\304\213}\254\377u\270W\350\266\14\0\0\205\300uD9E\304t\10\213\207<\1\0\0\353\6\213\2074\1\0\0\205\300u\7\277\15\0\11\200\353\\213N\4;H\4t\7\277\32\0\11\200\353M\213u\324V\377u\320P\377\267\200\1\0\0\350O\37\0\0\205\300t\4\213\370\3532\213}\260\213\313\213\301\301\351\2\363\245\213\310\213E\274\203\341\3\363\244\211\303\377\353\26\213E\274\367\337\33\377\211\30\201\347\352\0\0\0\353\5\277\10\0\11\2003\300\205\377\17\224\300\203}\324\0\213\360t\10\377u\324\350\242\346\0\0\203}\320\0t\10\377u", ) Ht\37Ht\34Ht\31\203\350\4\17\205d\1\0\0\366A\24\1u\12\277\14\0\11\200\351Y\1\0\03\3779}\300t-W\377u\300\377\25\254\21\375\17\321\340P\377u\300\377u\14\377u\10\350,\250\377\377\205\300u\13\377\25\310\21\375\17\351\362\0\0\0\213M\314\366A0\1t\7\307E\264\1\0\0\0\213F\4W\211E\310\215E\310P\215E\330Pj\2\377u\14\377u\10\350r\322\377\377\205\300t\305\377v\4\350f\347\0\0;\307\211E\320tS\366E\30\4t#\213M\314\201y\4\4\200\0\0\17\205\316\0\0\0P\377u\264\215E\330\377u\310PS\350\342\375\377\377\353\33P\377u\30\215E\330\377u\310P\213E\314\377p\4V\350\313\374\377\377;\307uo\377v\4\350\23\347\0\0;\307\211E\324u\10j\10_\351\216\0\0\0W\377u\304\213}\254\377u\270W\350\266\14\0\0\205\300uD9E\304t\10\213\207<\1\0\0\353\6\213\2074\1\0\0\205\300u\7\277\15\0\11\200\353\\213N\4;H\4t\7\277\32\0\11\200\353M\213u\324V\377u\320P\377\267\200\1\0\0\350O\37\0\0\205\300t\4\213\370\3532\213}\260\213\313\213\301\301\351\2\363\245\213\310\213E\274\203\341\3\363\244\211\303\377\353\26\213E\274\367\337\33\377\211\30\201\347\352\0\0\0\353\5\277\10\0\11\2003\300\205\377\17\224\300\203}\324\0\213\360t\10\377u\324\350\242\346\0\0\203}\320\0t\10\377u", ) == 0x0
 02403   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\12\213U\334\211\2\203\301\354Q\203\300\24P\350\241\330\0\0\211E\304\205\300\17\205[\377\377\377\213u\334\213E\340\3770\3776\203}\20\1u\15j\1\377s\\377s(\377s@\353\13j\0\377s\\377s0\377sL\350F'\1\0\211E\344\205\300u\36\367E\310\10\0\0\0t\25\377u\20\377u\310\3775\310D\377\17S\350\263\372\377\377\211E\304\203M\374\377\353\36\307E\344\32\0\11\200\353\3613\300@\303\213e\350\307E\344W\0\0\0\203M\374\377\213]\10\203}\300\0t\15\201\303h\1\0\0S\377\25\270\21\375\17\213}\264\205\377t\34\213M\2603\300\213\321\301\351\2\363\253\213\312\203\341\3\363\252\377u\264\377\25\250\21\375\17\213E\344\350\361W\0\0\302\20\0\314\314\314\314\314\213\377U\213\354\203\354L\241\244B\377\17S3\333V\213u\10\211E\374\213E\14W\211u\314\211E\320\211]\334\211]\324\211]\340\307E\264\20\0\0\0\306E\354p\306E\355\362\306E\356\205\306E\357\36\306E\360N\210]\361\210]\362\210]\363\210]\364\210]\365\210]\366\210]\367\210]\370\210]\371\210]\372\210]\373\215x\1\212\10@:\313u\371+\307\203\300\6\211E\310\350\262\343\0\0\205\300\17\205\27\1\0\0h\320\23\375\17\377\25\230\21\375\17;\303\211E\334\17\204\1\1\0\0\213=\234\21\375\17h\274\23\375\17P\377\327h\244\23\375\17\377u\334\211E\304\377\327\367E\20 \0\0\0\211E\270\17\205\326\0\0\09]\304\17\204\315\0\0\0;\303\17\204\305\0\0\0\213E\310@P\350\220\326\0\0;\303\211E\324\17\204\240\0\0\0\213M\320\276\234\23\375\17\213\370\245f\245\244\213\361\212\21A:\323u\371+\316\213\370\213\321O\212O\1G:\313u\370\213\312\301\351\2\363\245j", ) , ) == 0x0
 02404   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\2r\3\213p\14\203\371\3r\3\213P\30RV\377u\10\215E\24P\377u\20\377u\14\350\226\373\377\377\205\300u\22\367E\20\20\0\0\0u\7\213E\24\203`\10\03\3003\311\205\300\17\224\301\213\361\205\366u\7P\377\25\304\21\375\17\213\306^]\302\20\0\314\314\314\314\314\213\377U\213\3543\3223\3119U\14v\22\213E\10\3\301\210\20A;M\14\306\0\377\210\20r\356]\302\10\0\314\314\314\314\314\213\377U\213\354\203}\10\0V\213u\14t9\201>RSA1t\7\270\3\0\11\200\353A\213F\10j\0j\0\377u\24\203\300\7\301\350\3P\215F\24Pj\4\215F\20P\377u\20\377u\10\350\260\1\1\0\205\300u\25\377u\24\377u\20V\350\377\257\0\0\205\300u\5j\10X\353\23\300^]\302\20\0\314\314\314\314\314\213\377U\213\354\203\354\30\213E\14\213@\10SVW\215P\7j\10\301\352\3^\203\342\7\213\316+\312;\316t\2\3\316\203\300\17\301\350\4\321\351\3\301\215<\200\321\347\213\307\203\340\7t\6\213\316+\310\3\371\203\307\24;=xE\377\17\211}\374w6\241|E\377\17\3\307;\307r+\203\300\10P\350\311\30\1\0\205\300t\36\215G\10\203\300\3\203\340\374\350\343F\0\0\213\334\205\333t\12\307\3Stck\3\336u"\215G\10P\377\25\200E\377\17\213\330\205\333\17\204\355\0\0\0\307\3Heap\3\336\17\204\265\0\0\0\213u\14\213\317\213\301\301\351\2\213\373\363\245\213\310\213E\374\203\341\3\203\300\354\363\244P\215{\24W\350\36\307\0\0\213\360\205\366\17\205\203\0\0\09E\10tg\201;RSA2t\7\276\3\0\11\200\353o\213K\10\213E\14\213@\4\203\301\7\301\351\3@\321\350\215tC\24j\0\215Q\1\321\352\211", ) \215G\10P\377\25\200E\377\17\213\330\205\333\17\204\355\0\0\0\307\3Heap\3\336\17\204\265\0\0\0\213u\14\213\317\213\301\301\351\2\213\373\363\245\213\310\213E\374\203\341\3\203\300\354\363\244P\215{\24W\350\36\307\0\0\213\360\205\366\17\205\203\0\0\09E\10tg\201;RSA2t\7\276\3\0\11\200\353o\213K\10\213E\14\213@\4\203\301\7\301\351\3@\321\350\215tC\24j\0\215Q\1\321\352\211", ) == 0x0
 02405   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\340\350\304\374\377\377\211E\334\205\300t\13\211E\344\211]\374\351W\1\0\0\203}\20\0u2\215~@\211}\244\215\236<\1\0\0\211]\240\215F(\211E\274\215\2068\1\0\0\211E\304\215FH\211E\270\307E\264\1\0\0\0\241\234D\377\17\353-\215~L\211}\244\215\2364\1\0\0\211]\240\215F0\211E\274\215\2060\1\0\0\211E\304\215FT\211E\270\203e\264\0\241\240D\377\17\211E\260\213\7\205\300t\15P\350\2\270\0\0\3773\350\373\267\0\0\203e\314\0\213E\320\213M\304\211\1\213E\300\213M\274\211\1\213E\324\211\3\213E\340\211\7\17\266E\14\203\340\1\213M\270\211\1\366F\3\360u\26\377u\264\377u\14\377u\260V\350N\332\377\377\211E\334\205\300uW\213}\24W\203}\20\0u\36j\2\377u\10\350\21\216\377\377\205\300u\10\377\25\310\21\375\17\3537\215E\330Pj\3\353\24j\1\377u\10\350\363\215\377\377\205\300t\342\215E\330Pj\4\377u\10\3777\350\230\3\0\0\211E\334\205\300t\23= \0\11\200u\3\203\300\343\211E\344\203M\374\377\3536\270\0@\0\0\205E\14t\15\213M\330\11A\10\213E\330\200Hi\1\203M\374\377\203e\344\0\353\253\300@\303\213e\350\307E\344W\0\0\0\203M\374\377\213u\2343\3779}\254t\15\201\306h\1\0\0V\377\25\270\21\375\179}\314t\329}\324t\10\377u\324\350\371\266\0\09}\340t\10\377u\340\350\354\266\0\0\213E\344\350\317\0\0\302\24\0\314\314\314\314\314\213\377U\213\354\203}\14\0\213E\10SVWt\16\213\260<\1\0\0\215H(\215x@\353\14\213\2604\1\0\0\215H0\215xL\213^\10\321\353\203\303?\301\353\5\215\34\335\24\0\0\0\213\301;\30\211", ) , ) == 0x0
 02406   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\377u$\213\310\213E\374\377u \203\341\3\363\244\213M\34\213u\30\215<\20\213\321\301\351\2\363\245h\3\200\0\0\377u\370\213\312\203\341\3\363\244\213u\364\213}\10P\3\336SW\350?\376\377\377\205\300u\36\377u$\3\367\377u\14h\4\200\0\0\377u\370\377u\374SV\350!\376\377\377\205\300t\4\213\360\353\32\213u$\205\366v\21\213E \213M\14+\310\212\24\10\20@Nu\3673\366\203}\14\0t\10\377u\14\350\1\250\0\0\377u\374\350\371\247\0\0_\213\306^[\311\302 \0\314\314\314\314\314\213\377U\213\354\213E\10\213\200$\2\0\0\205\300t\6P\350\323\247\0\0]\302\4\0\314\314\314\314\314\213\377U\213\354\213E\10\213\200<\2\0\0\205\300t\6P\350\262\247\0\0]\302\4\0\314\314\314\314\314\213\377U\213\354Q\203e\374\0S\213]\14\213C\4=\1L\0\0t\37=\4L\0\0t\30=\6L\0\0t\21=\5L\0\0t\12\270\12\0\11\200\351_\2\0\0\203{\30\0VWu$\276h\3\0\0V\350\34\247\0\0\213\370\205\377\211{\30\17\204\342\1\0\0\271\332\0\0\03\300\363\253\211s\24\213E\20\213{\30j\24Y;\301\17\205:\1\0\0\213u\24\213F\14\211\207d\3\0\0\213\6\203\350\0\17\204\246\0\0\0H\17\205\335\1\0\0\213F\10\250\7\17\205\322\1\0\0\215M\374Qj\0\301\350\3P\377v\4\213E\10\377\260\204\1\0\0\350\234o\377\377\205\300u\12\270\11\0\11\200\351\316\1\0\0\213F\4-\1f\0\0t\37Ht\34Ht\31\203\350\6t\24-\370\1\0\0\17\205\211\1\0\0\203\247\\3\0\0\0\353\12\307\207\\3\0\0\10\0\0\0\201{\4\5L\0\0u\25\213F\10\301\350\3;C\14t\12\270\3", ) , ) == 0x0
 02407   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\311\302\20\0\314\314\314\314\314\213\377U\213\354\203\354\30\213E\10S\213X\14\213E\20V3\3663\3119u\24W\211u\364t0\213M\14%\0\4\0\0\211E\360t\23\307E\370\254\26\375\17\307E\20\3\0\0\0\215\14I\353D\307E\370\250\26\375\17\307E\20\2\0\0\0\353+%\0\4\0\0\211E\360t\20\307E\370\240\26\375\17\307E\20\5\0\0\0\353\32\213M\14\307E\370\230\26\375\17\307E\20\4\0\0\0\213\203(\2\0\0\215\14\210\213E\20\17\257E\14\215\4@\3\2030\4\0\0\3\203 \2\0\0\3\203\34\1\0\0\215D\1\1P\211E\354\350\225\227\0\0\213\370;\376\211}\374u\10j\10^\351\323\1\0\0\213M\143\300@9u\24\210\17t';\316v#\211M\24\213M\20\213u\370\213\321\3\370\301\351\2\363\245\213\312\203\341\3\3\302\377M\24\363\244\213}\374u\340\213\2130\4\0\0\213\321\301\351\2\3\370\215\2630\3\0\0\363\245\213\312\203\341\3\363\244\213M\14\3\2030\4\0\0\205\311v$\211M\24\213U\374\213M\20\213u\370\215<\20\213\321\301\351\2\363\245\213\312\203\341\3\3\302\377M\24\363\244u\337\213\213 \2\0\0\213U\374\215<\20\213\321\301\351\2\215\263 \1\0\0\363\245\213\312\203\341\3\363\244\213M\14\3\203 \2\0\0\205\311v$\211M\24\213U\374\213M\20\213u\370\215<\20\213\321\301\351\2\363\245\213\312\203\341\3\3\302\377M\24\363\244u\337\203}\360\0uS\213\213(\2\0\0\213U\374\213\263$\2\0\0\215<\20\213\321\301\351\2\363\245\213\312\203\341\3\363\244\3\203(\2\0\0\203}\14\0v'\213M\14\211M\24\213U\374\213M\20\213u\370\215<\20\213\321\301\351\2\363\245\213\312\203\341\3\3\302\377M\24\363\244u\337\213\213", ) , ) == 0x0
 02408   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "E\10P\245\215E\374Ph\364\26\375\17\245\377\263@\1\0\0\350,\246\377\377\205\300t\4\213\360\353nj\1\215E\364P\215E\370Ph\344\26\375\17\377\263@\1\0\0\350\12\246\377\377\205\300u\336\213u\374\205\366t \213\273X\1\0\0\203\307\10\245\245\245\245\213u\374\213\273X\1\0\0\203\306\20\203\307\30\245\245\245\245\213u\370\205\366t \213\273X\1\0\0\203\307(\245\245\245\245\213u\370\213\273X\1\0\0\203\306\20\203\3078\245\245\245\2453\366\203}\374\0t\10\377u\374\350\361\207\0\0\203}\370\0t\10\377u\370\350\343\207\0\0_\213\306^[\311\302\4\0\314\314\314\314\314\213\377U\213\354SV\213u\10W3\3333\3779\236X\1\0\0u\7\270\26\0\11\200\353T9]\14t(\377u\14\377\25\254\21\375\17\215|\0\2W\350\\207\0\0\213\330\205\333u\5j\10X\3531\377u\14S\377\25x\21\375\17\213\206X\1\0\0\213@H\205\300t\6P\350w\207\0\0\213\206X\1\0\0\211xL\213\206X\1\0\0\211XH3\300_^[]\302\10\0\314\314\314\314\314\213\377U\213\354SV\213u\10\205\366WtE\213\6\213M\14\213]\20\213}\24\211\1\213F\4\211\3\213\7\205\300t\6P\350*\207\0\0\3773\350\340\206\0\0\205\300\211\7u\5j\10X\353\27\213\13\213\370\213\301\301\351\2\203\306\10\363\245\213\310\203\341\3\363\2443\300_^[]\302\20\0\314\314\314\314\314\213\377U\213\354\203\354\24\213M\10\213\201X\1\0\0S3\3339] V\211]\374\213p\4\213E$W\211]\10\211\30t\7\307E\10\1\0\0\03\3009]\34\215}\354\253\253\253\253\307E\354\20\0\0\0t\329Y(\17\204\213\0\0\0\213\201X\1\0\0\215P\10\203\300\30\215", ) , ) == 0x0
 02409   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\0\0\213\2338\36\375\173\373\213\2318\37\375\173\373\213\2308\34\375\173\373\213\2328\35\375\173\373\213E\103\333\213U\143\3073\327%\374\374\374\374\201\342\317\317\317\317\212\330\212\314\301\312\4\213\2538\30\375\17\212\3323\365\213\2518\32\375\173\365\212\316\301\350\20\213\2538\31\375\173\365\212\334\301\352\20\213\2518\33\375\173\365\213l$\34\212\316%\377\0\0\0\201\342\377\0\0\0\213\2338\36\375\173\363\213\2318\37\375\173\363\213\2308\34\375\173\363\213\2328\35\375\173\363\213E\203\333\213U\243\3063\326%\374\374\374\374\201\342\317\317\317\317\212\330\212\314\301\312\4\213\2538\30\375\17\212\3323\375\213\2518\32\375\173\375\212\316\301\350\20\213\2538\31\375\173\375\212\334\301\352\20\213\2518\33\375\173\375\213l$\34\212\316%\377\0\0\0\201\342\377\0\0\0\213\2338\36\375\173\373\213\2318\37\375\173\373\213\2308\34\375\173\373\213\2328\35\375\173\373\213E\303\333\213U\343\3073\327%\374\374\374\374\201\342\317\317\317\317\212\330\212\314\301\312\4\213\2538\30\375\17\212\3323\365\213\2518\32\375\173\365\212\316\301\350\20\213\2538\31\375\173\365\212\334\301\352\20\213\2518\33\375\173\365\213l$\34\212\316%\377\0\0\0\201\342\377\0\0\0\213\2338\36\375\173\363\213\2318\37\375\173\363\213\2308\34\375\173\363\213\2328\35\375\173\363\213E 3\333\213U$3\3063\326%\374\374\374\374\201\342\317\317\317\317\212\330\212\314\301\312\4\213\2538\30\375\17\212\3323\375\213\2518\32\375\173\375\212\316\301\350\20\213\2538\31\375\173\375\212\334\301\352\20\213\2518\33\375\173\375\213l$\34\212\316%\377\0\0\0\201\342\377\0\0\0\213\2338\36\375\17", ) , ) == 0x0
 02410   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "D$ \205\300\17\204\31\7\0\0\213\307\367\320\213\357#\301#\352\3\330\213\6\3\335\3\330\301\350\20\213\357\3\3103\300f\321\303f\213\303#\350\203\360\377#\302\3\315\3\3103\300f\301\301\2f\213\301\213\350\203\360\377#\353#\307\3\320\213F\4\3\320\301\350\20\3\325\3\3703\300f\301\302\3f\213\302\213\350\203\360\377#\303#\351\3\370\3\375\203\306\10f\301\307\5\213\307\367\320\213\357#\301#\352\3\330\213\6\3\335\3\330\301\350\20\213\357\3\3103\300f\321\303f\213\303#\350\203\360\377#\302\3\315\3\3103\300f\301\301\2f\213\301\213\350\203\360\377#\353#\307\3\320\213F\4\3\320\301\350\20\3\325\3\3703\300f\301\302\3f\213\302\213\350\203\360\377#\303#\351\3\370\3\375\203\306\10f\301\307\5\213\307\367\320\213\357#\301#\352\3\330\213\6\3\335\3\330\301\350\20\213\357\3\3103\300f\321\303f\213\303#\350\203\360\377#\302\3\315\3\3103\300f\301\301\2f\213\301\213\350\203\360\377#\353#\307\3\320\213F\4\3\320\301\350\20\3\325\3\3703\300f\301\302\3f\213\302\213\350\203\360\377#\303#\351\3\370\3\375\203\306\10f\301\307\5\213\307\367\320\213\357#\301#\352\3\330\213\6\3\335\3\330\301\350\20\213\357\3\3103\300f\321\303f\213\303#\350\203\360\377#\302\3\315\3\3103\300f\301\301\2f\213\301\213\350\203\360\377#\353#\307\3\320\213F\4\3\320\301\350\20\3\325\3\3703\300f\301\302\3f\213\302\213\350\203\360\377#\303#\351\3\370\3\375\203\306\10f\301\307\5\213\307\367\320\213\357#\301#\352\3\330\213\6\3\335\3\330\301\350\20\213\357\3\3103\300f\321\303f\213\303#\350\203\360\377#\302\3\315\3\3103\300f\301\301\2f\213\301\213\350\203\360\377#\353#\307\3\320\213F\4\3\320", ) , ) == 0x0
 02411   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\345]\302\14\0\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\213\377U\213\354\213M\14\203\371\1\17\216\346\0\0\0\213E\10V\203\300\26IW\215\233\0\0\0\0\17\266p\374\213<\265XR\375\17\17\266P\375\213\24\225XV\375\17\17\266p\3733\327\213<\265XN\375\17\17\266p\3723\3273\24\265XJ\375\17\211P\372\17\266p\377\213<\265XN\375\17\17\266P\1\213\24\225XV\375\17\17\26603\327\213<\265XR\375\17\17\266p\3763\3273\24\265XJ\375\17\211P\376\17\266p\4\213<\265XR\375\17\17\266P\5\213\24\225XV\375\17\17\266p\33\327\213<\265XN\375\17\17\266p\23\3273\24\265XJ\375\17\211P\2\17\266p\10\17\266P\11\213<\265XR\375\17\17\266p\7\213\24\225XV\375\173\327\213<\265XN\375\17\17\266p\63\3273\24\265XJ\375\17\211P\6\203\300\20I\17\205+\377\377\377_^]\302\10\0\314\314\314\314\314\213\377U\213\354\203\354\30SV\213u\10\213\16W\213}\20\213\27\213_\4\213~\103\312\213V\4\213v\143\323\213]\203{\10\241\244B\377\17\211}\364\213\373\213_\14\17\266}\3663\363\213\34\275X1\375\17\211u\370\301\356\30\2134\265X5\375\173\363\17\266\37634\275X-\375\17\17\266\371\213\34\275X)\375\17\17\266}\3723\363\211E\374\213E\14\2110\213\34\275X1\375\17\213\361\301\356\30\2134\265X5\375\173\363\213]\364\211U\360\17\266\37734\275X-\375\17\17\266\322\213<\225X)\375\17\17\266U\3633\367\211p\4\213<\225X5\375\17\211M\354\17\266u\3563<\265X1\375\17\213U\370\17\266\3663<\265X-\375\17\17\266\363\213\34\265X)\375\17\17\266u\3673\373", ) , ) == 0x0
 02412   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "]\370\301\353\10\17\266\33334\235X-\375\17\17\266]\36434\235X)\375\17\17\266]\362\211p\10\17\266u\367\2134\265X5\375\1734\235X1\375\17\17\266\326\213\34\225X-\375\17\17\266U\3703\363\213\34\225X)\375\17\213U\3503\363\203\301@J\211p\14\211U\350\17\205\365\373\377\377\213\217\220\0\0\0\213\227\224\0\0\0\213\303P\4\213\267\230\0\0\03\3133p\10\213X\14\211u\364\213\267\234\0\0\03\363\211u\370\17\266\361\212\34\265Y)\375\17\210\30\17\266\366\212\34\265Y)\375\17\17\266u\366\210X\1\212\34\265Y)\375\17\213u\370\210X\2\211U\360\17\266\322\301\356\30\212\34\265Y)\375\17\210X\3\212\24\225Y)\375\17\210P\4\213U\364\17\266\366\212\34\265Y)\375\17\17\266u\372\210X\5\212\34\265Y)\375\17\210X\6\211M\354\17\266u\357\212\34\265Y)\375\17\210X\7\17\266\322\212\24\225Y)\375\17\210P\10\213U\370\17\266\366\212\34\265Y)\375\17\17\266u\356\210X\11\212\34\265Y)\375\17\17\266u\363\210X\12\212\34\265Y)\375\17\210X\13\213\30\213p\4\17\266\322\212\24\225Y)\375\17\210P\14\17\266\315\212\24\215Y)\375\17\17\266M\362\210P\15\212\24\215Y)\375\17\17\266M\367\210P\16\212\24\215Y)\375\17\210P\17\213\217\240\0\0\03\331\211\30\213\227\244\0\0\03\362\213P\10\211p\4\213\217\250\0\0\03\321\213H\14\211P\10\213\227\254\0\0\03\312_\211H\14\213M\374^[\350*\304\377\377\213\345]\302\14\0\314\314\314\314\314\314\314\314\314\314\314\314\213\377U\213\354\203\354\30\213U\24\213M\20\301\342\4S\213\34\12V\2154\12\213U\10\213\22W\213~\43\323\213]\103{\4\241\244B\377\17\211", ) , ) == 0x0
 02413   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\375\17\17\266\326\213<\225X=\375\17\213U\3643\367\17\266\37234\275X9\375\17\17\266}\362\211p\10\17\266u\357\2134\265XE\375\1734\275XA\375\17\17\266\326\213<\225X=\375\17\17\266\3233\36734\225X9\375\17\213U\350\203\351@J\211p\14\211U\350\17\205G\374\377\377\213M\20\213q\24\213Q\20\213x\43\20\213X\103\367\213x\14\211u\360\213q\303\363\211u\364\213q\343\367\211u\370\17\266\362\212\236XI\375\17\17\266u\371\210\30\212\236XI\375\17\17\266u\366\210X\1\212\236XI\375\17\213u\360\210X\2\211U\354\301\356\30\212\236XI\375\17\17\266u\360\210X\3\212\236XI\375\17\210X\4\17\266\326\212\222XI\375\17\210P\5\213U\370\301\352\20\17\266\322\212\222XI\375\17\210P\6\213U\364\301\352\30\212\222XI\375\17\210P\7\213U\364\17\266\362\212\236XI\375\17\17\266u\361\210X\10\212\236XI\375\17\17\266u\356\210X\11\212\236XI\375\17\17\266u\373\210X\12\212\236XI\375\17\17\266u\370\210X\13\212\236XI\375\17\213x\4\17\266\326\210X\14\212\222XI\375\17\213\30\213p\10\210P\15\17\266U\362\212\222XI\375\17\210P\16\17\266U\357\212\222XI\375\17\210P\17\213\213\332\211\30\213Q\43\372\211x\4\213Q\103\362\213P\14\211p\10\213I\14_3\321\213M\374^\211P\14[\350H\264\377\377\213\345]\302\14\0\314\314\314\314\314\314\314\314\314\314\213\377U\213\354\203}\24\1\213M\20\213\1uD\203\301\4\203\370\16u\22\213E\10Q\213M\14PQ\350\332\342\377\377]\302\20\0\203\370\12u\22\213U\10\213E\14QRP\350S\351\377\377]\302\20\0\213U\14PQ\213M\10QR\350 \337\377\377", ) , ) == 0x0
 02414   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\377v?SV\213u\10\212\142\17\266\301\213\330\301\353\4\17\266\233H(\375\17\203\340\17\17\266\200H(\375\17\3\330\201\343\1\0\0\200y\5K\203\313\376Cu\6\200\361\1\210\142B;\327r\310^[_]\302\10\0\314\314\314\314\314\314\314\314\314\314\314\314\314\213\377U\213\354V\213u\10W\213}\14WV\350\254\371\377\377\203\307\10W\215\206\200\0\0\0P\350\234\371\377\377\215\276\0\1\0\0\271 \0\0\0\363\245_^]\302\10\0\314\314\314\314\314\314\314\314\314\213\377U\213\354V\213u\14W\213}\10VW\350l\371\377\377\215F\10P\215\217\200\0\0\0Q\350\\371\377\377\203\306\20V\201\307\0\1\0\0W\350L\371\377\377_^]\302\10\0\314\314\314\314\314\314\213\377U\213\354\213E\24\215P\7\301\352\3\215\14\325\0\0\0\0+\310\270\377\0\0\0\323\370S\213]\20V\213u\14\213\313W\213}\10\210E\27\213\301\301\351\2\363\245\213\310\203\341\3\201\373\200\0\0\0\363\244}9\213M\10\277\1\0\0\0\276\200\0\0\0+\373\215D\31\377+\363\215\233\0\0\0\03\311\212\14\73\333\212\30\3\313\201\341\377\0\0\0\212\211 \27\375\17\210H\1@Nu\342\213u\10\17\266M\27\213\306+\302\17\266\270\200\0\0\0\5\200\0\0\0#\317\212\211 \27\375\17\210\10\271\177\0\0\0+\312x\37\215D1\1\215q\1\220\17\266L\2\377\17\26683\317\212\211 \27\375\17\210H\377HNu\351_^3\300[]\302\20\0\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\213L$\203\300\205\311v7W\213|$\14V\213t$\24SU\213\$\24+\376+\336\213\24>\213.\3\320\270\0\0\0\0\23\300\3\325\203\320\0\211\24\36\203\340\1\203\306\4Iu\341][^", ) , ) == 0x0
 02415   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\213\313\215\4\23\213\321\301\351\2\213\360\363\245\213\312\203\341\3\363\244\213u\370\213}\10\213\313\301\351\2\363\245\213\312\213U\360\203\341\3\363\244\213}\374\2154\23\213\313\213\321\301\351\2\363\245\213\312\213U\364\203\341\3\363\244\213\313\213\370\213\301\301\351\2\213\362\363\245\213\310\203\341\3\363\244\213}\370\3\323\213\362\213\313\213\321\301\351\2\363\245\213\312\213U\370\351\317\376\377\377\213E\14\213L\3\374\277\0\0\0\200\205\317t\14\213M\30VQPP\350%\361\377\377\213E\20\205|\3\374t\14\213U\24VRPP\350\20\361\377\377\213E\350\205\300^t\7P\377\25\250\21\375\17_\270\1\0\0\0[\213\345]\302\30\0_3\300[\213\345]\302\30\0\314\314\314\314\314\314\314\314\314\314\213\377U\213\354\201\354\220\0\0\0S\213]\10\213\3W3\377=RSA1\211}\374t\12_3\300[\213\345]\302\14\0\213C\10\321\350V\213\360\301\356\5F\250\37t\1F\213K\20\270\1\0\0\0;\310\215\146u\21\213u\14\213}\20\363\245^_[\213\345]\302\14\0\215C\24QP\211E\370\213E\14P\211M\10\350\223\363\377\377\205\300}b\301\346\3\201\376\210\0\0\0v\24Vj\0\377\25\364\20\375\17\205\300\211E\374tG\213\320\353\6\215\225p\377\377\3773\300\213\316\301\351\2\213\372\363\253\213\316\203\341\3\363\252\213K\20\213E\10P\213E\20\211\12\213M\370QR\213U\14RP\350\355\20\0\0\213\370\213E\374\205\300t\7P\377\25\250\21\375\17^\213\307_[\213\345]\302\14\0\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\213\377U\213\354\203\354(V\213u\10\201>RSA2u\16\215E\330PV\350\22\6\0\0\205\300u\113\300^\213\345]\302\14\0\213N\10\321\351", ) , ) == 0x0
 02416   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "u\325_^[]\302\14\0\314\314\314\314\314\314\314\314\314\314\314\213\377U\213\354Q\213E\20\205\300VW\17\204\374\0\0\0\213}\14\2154\205\0\0\0\0\213L>\374\205\311\17\204\346\0\0\0\215\14v\215T\301\4Rj\0\377\25\364\20\375\17\205\300\211E\374\17\204\313\0\0\0\215\140S\213]\10\211K\10\3\316\211K\14\3\316\211K\20\213\316\211C\4\213\367\213\370\213\301\301\351\2\363\245\213\310\203\341\3\363\244\213u\20\213K\4\301\346\2\213D\16\374\277\0\0\0\200\205\307u\30\213C\4\213U\20RPPP\350\14\341\377\377\213C\4\205|\6\374t\350\213{\20\215N\4\213\321\301\351\23\300\363\253\213\312\203\341\3\363\252\213C\20\213}\14\307D0\4\1\0\0\0\213u\20\213S\10\213C\20V\215N\2QRWP\350\351\345\377\377\205\300u\25\213M\374Q\377\25\250\21\375\17[_3\300^\213\345]\302\14\0\213S\10\213C\14VRWP\350\345\340\377\377\2113[_\270\1\0\0\0^\213\345]\302\14\0_3\300^\213\345]\302\14\0\314\314\314\314\314\314\314\213\377U\213\354\203\354\10\213E\10\213H\10\213P\14SV\213u\14W\2138\213@\4\211E\10\215\\276\3703\300;\336\211M\374\211U\370r'\220\213L\273\4;\310Ws\11\213U\374R+\301P\353\7\213U\370R+\310QS\350a\375\377\377\203\353\4;\336s\332\215\34\275\0\0\0\0\213\143;\310s!+\310\211\143\215\244$\0\0\0\0\213E\10WP\215F\4PP\350\1\340\377\377\205\300t\355\353&+\310\211\143\213M\10W\215F\4QP\350\10\343\377\377\205\300|\17\213U\10WR\215F\4PP\350\31\340\377\377\213E\10\213L3\374\213\243WP\213D\3\374PQR\350E", ) , ) == 0x0
 02417   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\253\253\253\2533\300\203e\374\0\215}\364\253\2533\300\215}\354\253\253\215E\374\211E\370\215E\354Pj\0\215E\324Pj\0\215E\344Ph4]\375\17\215E\364P\307E\324\20\0\0\0\307E\364\4\0\0\0\307E\344\21\0\0\0\307E\350 ]\375\17\350\273\371\377\377\203}\360\0\213\370t\11\377u\360\377\25\250\21\375\17\213\307_\311\303\314\314\314\314\314\213\377U\213\354\203\354(3\300VW\215}\330\253\253\253\2533\300\215}\360\253\2533\300\215}\370\2533\3119M\14j\4\253Xt\2\213\310\211E\360\215E\10\211E\364\215E\370PQ\215E\330Pj\0\215E\350Ph4]\375\17\215E\360P\307E\330\20\0\0\0\307E\350\21\0\0\0\307E\354 ]\375\17\3508\371\377\377\205\300t\4\213\360\3533\377u\370\350b\367\377\377\205\300\213U\20\211\2u\5j\10^\353\35\213M\370\213E\24\213u\374\211\10\213:\213\301\301\351\2\363\245\213\310\203\341\3\363\2443\366\203}\374\0t\11\377u\374\377\25\250\21\375\17_\213\306^\311\302\20\0\314\314\314\314\314\213\377U\213\354\203\354(W3\300\215}\330\253\253\253\2533\300\215}\360\253\2533\300\215}\350\253\2533\300\215}\370\2533\3119M\10\253t\3j\4Y\213E\20\211E\360\213E\14j\0\211E\364\215E\350PQ\215E\330Pj\0\215E\370Pj\0\215E\360P\307E\330\20\0\0\0\307E\370\21\0\0\0\307E\374 ]\375\17\350\343\370\377\377\205\300\213M\354t\4\213\370\353\26\203}\350\4t\7\277\26\0\11\200\353\11\213\1\213U\24\211\23\377\205\311t\7Q\377\25\250\21\375\17\213\307_\311\302\20\0\314\314\314\314\314\213\377U\213\354\203\354 \241\244B\377\17S3\333VW\2135D\20\375\17\213}\10\211E\374", ) , ) == 0x0
 02418   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\363\2443\300_^[\311\302\14\0\314\314\314\314\314\213\377U\213\354\203\3548\241\244B\377\17\213M S\213]\34V\2135 \21\375\17W3\377WS\377u\30\211E\374\213E\14W\377u\24\211E\320\377u\20\211M\314P\211}\330\211}\324\377\326\203\370\377\17\205\246\0\0\0\377\25\310\21\375\179}\10\17\204\223\0\0\0\211E\310\215E\330Pj\10\3508\351\377\377;\307uxj\103\300\366E\23\200Y\215}\334\363\253\215E\344\307E\334\1\0\0\0Pt\7hx^\375\17\353\5hd^\375\17j\0\377\25p\20\375\173\377;\307t=\215E\324P\215E\334P\377u\330\307E\354\2\0\0\0\377\25l\20\375\17\205\300t!9}\324t&W\201\313\0\0\0\2S\377u\30W\377u\24\377u\20\377u\320\377\326\203\370\377u\23\377\25\310\21\375\17\213\360\353\20\213u\310\353\13\213\360\353\26\213M\314\211\13\366\203}\330\0t\11\377u\330\377\25\370\20\375\17\213M\374_\213\306^[\350\273d\377\377\311\302\34\0\314\314\314\314\314\213\377U\213\354QQSV\213u\30\203\16\377Wj\33\3773\333\366E\17\200X\211}\374\211E\370t\4C\211E\370\366E\17@t\12j\4X3\333\211E\370\213\370\215E\374P\377u\24\377u\20\350&\376\377\377\205\300ufV\201\317\0\0\0\10W\377u\370S\377u\14\377u\374\377u\10\350\202\376\377\377\205\300t:3\366\203\370 t\5\203\370\5u2\203\376\30s-\377\266\364B\377\17\377\25\20\21\375\17\377u\30\203\306\4W\377u\370S\377u\14\377u\374\377u\10\350H\376\377\377\205\300u\3103\366\353\14\203\370\2\276\26\0\11\200t\2\213\360\203}\374\0t\10\377u\374\350\244\346\377\377_\213\306^[\311\302\24\0\314", ) , ) == 0x0
 02419   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "6\377\327\205\300\17\204\316\0\0\09]\14u\109\235\234\375\377\377tL\215\205\244\375\377\377P\350\14\335\377\377;\303\17\205\277\0\0\09\235\244\375\377\377u\32\276 \0\11\200\353g\215\205\254\375\377\377P\3776\377\327\205\300\17\204\213\0\0\0\377\265\244\375\377\377\215\205\330\375\377\377P\350"\376\377\377\205\300t\327\377\265\224\375\377\377\215\205\330\375\377\377\377\265\230\375\377\377\377\265\250\375\377\377P\377u\14\350\345\373\377\377;\303\17\205k\377\377\3773\3669\235\244\375\377\377t\13\377\265\244\375\377\377\350\354\327\377\3779\235\250\375\377\377t\13\377\265\250\375\377\377\350\331\327\377\3779\235\240\375\377\377t\13\377\265\240\375\377\377\350\306\327\377\377\213M\374_\213\306^[\350\7U\377\377\311\302\30\0\377\25\310\21\375\17\203\370\22u\7\276\3\1\0\0\353\244\213\360\353\240\314\314\314\314\314\213\377U\213\354\201\354(\4\0\0\241\244B\377\17S\213]\14V\2135\24\21\375\17W3\322RR\211E\374\213E\10j\377\211\205\330\373\377\377\213E\30S\211\205\334\373\377\377j\23\300\271\5\1\0\0\215\275\350\373\377\377R\211\225\340\373\377\377\363\253\377\326\213\370\205\377u\15\377\25\310\21\375\17\213\360\351\251\0\0\0\215G\1=\12\2\0\0v(\215D?\2P\350\336\326\377\377\205\300\211\205\344\373\377\377u\10j\10^\351\203\0\0\0\307\205\340\373\377\377\1\0\0\0\353\14\215\205\350\373\377\377\211\205\344\373\377\377W\377\265\344\373\377\377j\377Sj\2j\0\377\326\205\300u\12\377\25\310\21\375\17\213\360\3530\377\265\334\373\377\377\377u\24\377u\20\377\265\344\373\377\377\377\265\330\373\377\377\377\25t\20\375\17\205\300t\14\203\370\2u\325\276\26\0\11\200\353\23\366\203\275\340\373\377\377\0t\24\203\275\344\373\377\377", ) \376\377\377\205\300t\327\377\265\224\375\377\377\215\205\330\375\377\377\377\265\230\375\377\377\377\265\250\375\377\377P\377u\14\350\345\373\377\377;\303\17\205k\377\377\3773\3669\235\244\375\377\377t\13\377\265\244\375\377\377\350\354\327\377\3779\235\250\375\377\377t\13\377\265\250\375\377\377\350\331\327\377\3779\235\240\375\377\377t\13\377\265\240\375\377\377\350\306\327\377\377\213M\374_\213\306^[\350\7U\377\377\311\302\30\0\377\25\310\21\375\17\203\370\22u\7\276\3\1\0\0\353\244\213\360\353\240\314\314\314\314\314\213\377U\213\354\201\354(\4\0\0\241\244B\377\17S\213]\14V\2135\24\21\375\17W3\322RR\211E\374\213E\10j\377\211\205\330\373\377\377\213E\30S\211\205\334\373\377\377j\23\300\271\5\1\0\0\215\275\350\373\377\377R\211\225\340\373\377\377\363\253\377\326\213\370\205\377u\15\377\25\310\21\375\17\213\360\351\251\0\0\0\215G\1=\12\2\0\0v(\215D?\2P\350\336\326\377\377\205\300\211\205\344\373\377\377u\10j\10^\351\203\0\0\0\307\205\340\373\377\377\1\0\0\0\353\14\215\205\350\373\377\377\211\205\344\373\377\377W\377\265\344\373\377\377j\377Sj\2j\0\377\326\205\300u\12\377\25\310\21\375\17\213\360\3530\377\265\334\373\377\377\377u\24\377u\20\377\265\344\373\377\377\377\265\330\373\377\377\377\25t\20\375\17\205\300t\14\203\370\2u\325\276\26\0\11\200\353\23\366\203\275\340\373\377\377\0t\24\203\275\344\373\377\377", ) == 0x0
 02420   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\353U\215E\10P\215E\374PS\350\11\375\377\377\205\300t\4\213\360\3531\213}\30\205\377\213M\10\213E\34u\4\211\10\353\369\10\211\10s\7\276\352\0\0\0\353\23\213u\374\213\301\301\351\2\363\245\213\310\203\341\3\363\2443\366\203}\374\0t\10\377u\374\3507\310\377\377\205\333t\6S\350-\310\377\377[\203}\370\0t\10\377u\370\350\36\310\377\377\203}\364\0t\10\377u\364\350\20\310\377\377_\213\306^\311\302\30\0\314\314\314\314\314\213\377U\213\354V\213u\10\205\366t\24\213F\4\205\300t\7P\377\25\244\21\375\17V\350\342\307\377\377^]\302\4\0\314\314\314\314\314h4\1\0\0hx_\375\17\350\303G\377\377\241\244B\377\17\211E\344\213E\10\211\205\274\376\377\3773\333\211\235\330\376\377\377\211\235\304\376\377\377\211\235\300\376\377\377\211\235\324\376\377\377\211\235\314\376\377\377\211]\374\215\205\324\376\377\377Ph\31\0\2\0ShP_\375\17h\2\0\0\200\377\25\224\20\375\17\211\205\310\376\377\377;\303\17\205\341\0\0\0\307\205\320\376\377\377\5\1\0\0\215\205\320\376\377\377P\215\205\334\376\377\377PSS\277D_\375\17W\377\265\324\376\377\377\2135\300\20\375\17\377\326\211\205\310\376\377\377;\303tL=\352\0\0\0\17\205\236\0\0\0\377\265\320\376\377\377\350\331\306\377\377\211\205\330\376\377\377;\303\17\204\205\0\0\0\307\205\304\376\377\377\1\0\0\0\215\215\320\376\377\377QPSSWh\2\0\0\200\377\326\211\205\310\376\377\377;\303t\16\353]\215\205\334\376\377\377\211\205\330\376\377\377j\14_W\350\216\306\377\377\213\360\211\265\300\376\377\377;\363t<\211>SS\377\265\330\376\377\377\377\25H\21\375\17\211F\4;\303t%h4_\375\17P\377\25\234\21\375\17\211F\10;\303t\22\213", ) , ) == 0x0
 02421   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\350\307E\334\10\0\0\0\377u\330\350~\270\377\377\203M\374\3773\3779}\340t\11\377u\340\377\25\304\20\375\17\213E\334\350\2278\377\377\303\314\314\314\314\314\213\377U\213\354\213M\20\205\311\213E\14V\213u\10u\10\213H$\211N\30\353\6\213P$\211Q$P\350\310\375\377\377\377N$^]\302\14\0\314\314\314\314\314\213\377U\213\354\213U\10\213B\30VW3\3663\3113\377\205\300t#S\205\311t\10\213X ;Y s\4\213\310\213\376\213\360\213@$\205\300u\347WQR\350\223\377\377\377[_^]\302\4\0\314\314\314\314\314\213\377U\213\354VW\377\25l\21\375\17\213U\10\213J,\213u\14\213\3703\300@\203\371\377t\27S\213\337+^ ;\331[v\14\377u\20VR\350R\377\377\3773\300\211~ _^]\302\14\0\314\314\314\314\314\213\377U\213\354QQ\213E\10S\213X\30W3\300\215}\370\253\253\213E\24\203 \0\215E\370P\350\235\266\377\377\205\300t\43\300\353}\205\333twV\213C\24;E\20uI\213s\20\213}\14\212\17\212\301:\16u\32\204\300t\22\212O\1\212\301:N\1u\14GGFF\204\300u\3423\300\353\5\33\300\203\330\377\205\300u\30j\10Y\215{\30\215u\3703\300\363\246t\5\33\300\203\330\377\205\300t\14\213E\24\211\30\213[$\205\333u\243\205\333^t\24\213E\24\3770S\377u\10\350\31\377\377\377\205\300u\23\333\213\303_[\311\302\20\0\314\314\314\314\314\213\377U\213\354QVW\213}\10\213w\30\203e\10\0\377\25l\21\375\17\211E\374+G\349G(w2\205\366t(S\213E\374+F 9G(s\21\377u\10\213^$VW\350M\376\377\377\213\363\353\6\211u\10\213v$\205\366u\332[", ) , ) == 0x0
 02422   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "D\22\2\0\236\21\2\0\252\21\2\0\266\21\2\0\300\21\2\0\316\21\2\0\334\21\2\0\350\21\2\0\372\21\2\0\16\22\2\0"\22\2\00\22\2\0<\26\2\0\0\0\0\0r\21\2\0V\21\2\0B\21\2\0.\21\2\0\24\21\2\0\376\20\2\0\272\22\2\0\322\22\2\0\342\22\2\0\360\22\2\0\376\22\2\0\22\23\2\0\36\23\2\00\23\2\0>\23\2\0J\23\2\0R\23\2\0h\23\2\0x\23\2\0\216\23\2\0\234\23\2\0\260\23\2\0\274\23\2\0\312\23\2\0\330\23\2\0\352\23\2\0\372\23\2\0\20\24\2\0&\24\2\06\24\2\0H\24\2\0Z\24\2\0j\24\2\0z\24\2\0\206\24\2\0\220\24\2\0\242\24\2\0\350\20\2\0\330\20\2\0\276\20\2\0\240\20\2\0\224\20\2\0x\20\2\0b\20\2\0J\20\2\0:\20\2\0.\20\2\0"\20\2\0\6\20\2\0\366\17\2\0\344\17\2\0\330\17\2\0\312\17\2\0\276\17\2\0\262\17\2\0\240\17\2\0\210\17\2\0p\17\2\0d\17\2\0X\17\2\0H\17\2\08\17\2\0\0\0\0\0\216\25\2\0\202\25\2\0v\25\2\0\0\0\0\0\364\16\2\0\376\16\2\0\6\17\2\0\22\17\2\0\34\17\2\0\326\24\2\0\314\24\2\0\302\24\2\0\270\24\2\0\256\24\2\0\340\16\2\0\0\0\0\0\376\24\2\0\10\25\2\0\26\25\2\0&\25\2\0F\25\2\0X\25\2\0\346\24\2\0\0\0\0\0\355\0_except_handler3\0\0\372\1_strlwr\0\245\2free\0\0;\1_initterm\0\330\2malloc\0\0\266\0_adjust_fdiv\0\0msvcrt.dll\0\0h\1GetLas", ) \22\2\00\22\2\0<\26\2\0\0\0\0\0r\21\2\0V\21\2\0B\21\2\0.\21\2\0\24\21\2\0\376\20\2\0\272\22\2\0\322\22\2\0\342\22\2\0\360\22\2\0\376\22\2\0\22\23\2\0\36\23\2\00\23\2\0>\23\2\0J\23\2\0R\23\2\0h\23\2\0x\23\2\0\216\23\2\0\234\23\2\0\260\23\2\0\274\23\2\0\312\23\2\0\330\23\2\0\352\23\2\0\372\23\2\0\20\24\2\0&\24\2\06\24\2\0H\24\2\0Z\24\2\0j\24\2\0z\24\2\0\206\24\2\0\220\24\2\0\242\24\2\0\350\20\2\0\330\20\2\0\276\20\2\0\240\20\2\0\224\20\2\0x\20\2\0b\20\2\0J\20\2\0:\20\2\0.\20\2\0 (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "D\22\2\0\236\21\2\0\252\21\2\0\266\21\2\0\300\21\2\0\316\21\2\0\334\21\2\0\350\21\2\0\372\21\2\0\16\22\2\0"\22\2\00\22\2\0<\26\2\0\0\0\0\0r\21\2\0V\21\2\0B\21\2\0.\21\2\0\24\21\2\0\376\20\2\0\272\22\2\0\322\22\2\0\342\22\2\0\360\22\2\0\376\22\2\0\22\23\2\0\36\23\2\00\23\2\0>\23\2\0J\23\2\0R\23\2\0h\23\2\0x\23\2\0\216\23\2\0\234\23\2\0\260\23\2\0\274\23\2\0\312\23\2\0\330\23\2\0\352\23\2\0\372\23\2\0\20\24\2\0&\24\2\06\24\2\0H\24\2\0Z\24\2\0j\24\2\0z\24\2\0\206\24\2\0\220\24\2\0\242\24\2\0\350\20\2\0\330\20\2\0\276\20\2\0\240\20\2\0\224\20\2\0x\20\2\0b\20\2\0J\20\2\0:\20\2\0.\20\2\0"\20\2\0\6\20\2\0\366\17\2\0\344\17\2\0\330\17\2\0\312\17\2\0\276\17\2\0\262\17\2\0\240\17\2\0\210\17\2\0p\17\2\0d\17\2\0X\17\2\0H\17\2\08\17\2\0\0\0\0\0\216\25\2\0\202\25\2\0v\25\2\0\0\0\0\0\364\16\2\0\376\16\2\0\6\17\2\0\22\17\2\0\34\17\2\0\326\24\2\0\314\24\2\0\302\24\2\0\270\24\2\0\256\24\2\0\340\16\2\0\0\0\0\0\376\24\2\0\10\25\2\0\26\25\2\0&\25\2\0F\25\2\0X\25\2\0\346\24\2\0\0\0\0\0\355\0_except_handler3\0\0\372\1_strlwr\0\245\2free\0\0;\1_initterm\0\330\2malloc\0\0\266\0_adjust_fdiv\0\0msvcrt.dll\0\0h\1GetLas", ) , ) == 0x0
 02423   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\225\13#\305r\230\235IzFN\341\346/\306c!\217f\334\233\314\342'\3'\205\360:\2\373@\0\0\0\0Qt\366\362#\354\241vUX\7q\277\177\12\36kHH\273\222\266*\261\7\244!\321\306\313_@\316\335\272\333\374\27\373\247\275\341\364c\330\236\211\342\335z\354\21\326\251\234\272\307^5\226\246o\177,\0\0\0\0\0\0\0\0RSA1H\0\0\0\0\2\0\0?\0\0\0\1\0\1\0\357L\154\317D\17\261s\254\324\233\276\314-\21*+\275!\4\216\254\255\325\374\322P\245\33C\25bg\217^\0\271%\33\342O\276\241P\241D;\27\330\221\365(\371\372\256\347\300\375\271\315vO\0\0\0\0\0\0\0\0\270/k\211\310\354\364\376\13\360m*\332?\303\350\226\202\205\353\256\1\24s\371\10E\300jm>i\200j\14a\212c\322\373\0\0\0\334\356L\371,\0\0\0\3618)\311\336\0\0\0\224Vx\220\253\315\357YE\232\371'\204t\312\325Xu\22\316\357w\223{\230\337\235\242\334{z\235\223\216\366|\1^\353\1#\4g\10\253\15\357Now is t\254\227M\331\2\23\210,G\334\360\23\177\245\3262\1#Eg\211\253\315\357Now is t?\244\16\212\230MH\25\345\307\315\336\207+\362|\1#Eg\211\253\315\357#Eg\211\253\315\357\1Eg\211\253\315\357\1#Now is t1O\203'\372z\11\250\363\300\377\2l\20\211\1#Eg\211\253\315\357#Eg\211\253\315\357\1Now is t\267\203Wy\356&\254\267\23K\230\370\356\263\366\7\0\1\2\3\4\5\6\7\10\11\12\13\14\15\16\17\0\1\2\3\4\5\6\7\10\11\12\13\14\15\16\17\12\224\13\265An\360E\361\303\224X\306S\352Z", ) , ) == 0x0
 02424   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "age Authentication Code\0\0\0\0\0\0\0\0\0\0\0\0\0\0$\0\0\0\4\0\0\200\1\0\0\0@\0\00\0\0\0\11\0\0\0RSA_SIGN\0\0\0\0\0\0\0\0\0\0\0\0\16\0\0\0RSA Signature\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\244\0\0\0\4\0\0\200\1\0\0\0@\0\00\0\0\0\11\0\0\0RSA_KEYX\0\0\0\0\0\0\0\0\0\0\0\0\21\0\0\0RSA Key Exchange\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\11\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\5\0\0\0HMAC\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\22\0\0\0Hugo's MAC (HMAC)\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\2f\0\0\200\0\0\0(\0\0\0\200\0\0\0\0\0\0\0\4\0\0\0RC2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\30\0\0\0RSA Data Security's RC2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1h\0\0\200\0\0\0(\0\0\0\200\0\0\0\0\0\0\0\4\0\0\0", ) , ) == 0x0
 02425   896   NtReadFile  (136, 0, 0, 0, 1924, 0x0, 0, ... {status=0x0, info=1924},  (136, 0, 0, 0, 1924, 0x0, 0, ... {status=0x0, info=1924}, " \1\0\0\0\0\0\0\14\0\0\0SSL3 SHAMD5\0\0\0\0\0\0\0\0\0\14\0\0\0SSL3 SHAMD5\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0$\0\0\0\4\0\0\200\1\0\0\0@\0\0 \0\0\0\11\0\0\0RSA_SIGN\0\0\0\0\0\0\0\0\0\0\0\0\16\0\0\0RSA Signature\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\10$\377\17\200(\377\17\250-\377\17\09\377\17\340?\377\17\3202\377\17\20\244\37M\331o\320\21\214X\0\300O\331\22k\21\244\37M\331o\320\21\214X\0\300O\331\22k\22\244\37M\331o\320\21\214X\0\300O\331\22k0\214\7\212U7\320\21\240\275\0\252\0aBj\277D\377\377@\273\0\0\0\0\0\0\0\0\0\0\0\0\0\0\320[\375\17\324[\375\17\330[\375\17\334[\375\17\340[\375\17\350[\375\17\360[\375\17\370[\375\17\0\\375\17\14\\375\17\30\\375\17$\\375\170\\375\17@\\375\17P\\375\17`\\375\17\1\0\0\0\12\0\0\0d\0\0\0\364\1\0\0\350\3\0\0\210\23\0\0\0\0\0\0\355\11\377\17\10\12\377\17\0\0\0\0\357\6\377\17\0\0\0\0\333\6\377\17\300\6\377\17\345\6\377\17\0\0\0\0\22\12\377\17\0\0\0\0\310\11\377\17", ) , ) == 0x0
 02426   896   NtQueryInformationFile  (136, 454300, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 02427   896   NtSetInformationFile  (136, 454300, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 02428   896   NtQueryInformationFile  (136, 454300, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 02429   896   NtSetInformationFile  (136, 454300, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 02430   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\0\07\0C\0A\0P\0I\0:\0 \0T\0h\0e\0 \0i\0n\0s\0t\0a\0l\0l\0 \0p\0r\0o\0g\0r\0a\0m\0 \0c\0o\0u\0l\0d\0 \0n\0o\0t\0 \0o\0p\0e\0n\0 \0s\0i\0g\0n\0a\0t\0u\0r\0e\0 \0f\0i\0l\0e\0?\0C\0A\0P\0I\0:\0 \0T\0h\0e\0 \0i\0n\0s\0t\0a\0l\0l\0 \0p\0r\0o\0g\0r\0a\0m\0 \0c\0o\0u\0l\0d\0 \0n\0o\0t\0 \0g\0e\0t\0 \0t\0h\0e\0 \0s\0i\0z\0e\0 \0o\0f\0 \0R\0s\0a\0b\0a\0s\0e\0.\0s\0i\0g\03\0C\0A\0P\0I\0:\0 \0T\0h\0e\0 \0i\0n\0s\0t\0a\0l\0l\0 \0p\0r\0o\0g\0r\0a\0m\0 \0c\0o\0u\0l\0d\0 \0n\0o\0t\0 \0a\0l\0l\0o\0c\0a\0t\0e\0 \0m\0e\0m\0o\0r\0y\04\0C\0A\0P\0I\0:\0 \0T\0h\0e\0 \0i\0n\0s\0t\0a\0l\0l\0 \0p\0r\0o\0g\0r\0a\0m\0 \0c\0o\0u\0l\0d\0 \0n\0o\0t\0 \0R\0e\0a\0d\0 \0R\0s\0a\0b\0a\0s\0e\0.\0s\0i\0g\05\0C\0A\0P\0I\0:\0 \0T\0h\0e\0 \0i\0n\0s\0t\0a\0l\0l\0 \0p\0r\0o\0g\0r\0", ) , ) == 0x0
 02431   896   NtReadFile  (136, 0, 0, 0, 2704, 0x0, 0, ... {status=0x0, info=2704},  (136, 0, 0, 0, 2704, 0x0, 0, ... {status=0x0, info=2704}, "\2208\3138\3258\3378\3518\09\79\279$9=9D9Q9\9n9u9\1779\2119\3129\3279\3479\3619\10:\17:\37:*:A:H:X:c:u:|:\206:\223:\316:\333:\353:\365:\14;\23;#;.;B;I;Y;d;v;};\207;\224;\317;\331;\351;\363;\7<\24<$\30>(>6>G>T>d>r>\200>\222>\237>\255>\273>;?]?j?t?~?\226?\247?\256?\275?\323?\332?\341?\360?\0p\1\0\324\1\0\0\20\110\230\370q0x0\2020\2140\2360\2570\2660\3050\3330\3420\3510\3700\121\211\331'1n1z1\2071\2311\2461\2621\3041\3231\3421\3571\3741\112\262%272D2\2732\3422\3512\3632\3752\303&3-373E3R3a3o3\2033\2123\2263\2403\3533\3623\3743\64\304&404?4R4Y4c4r4\2044\2134\2254\2374\3324\3474\3614\3734\165\255\375,5B5I5P5]5o5v5\2005\2125\3035\3125\3245\3365\3645\3735\106\276&616;6H6Z6a6k6u6\2546\2636\2756\3076\3316\3526\3616\07\237\327$737E7L7V7b7\2477\2637\3007\3227\3377\3537\3757\148\338(858B8O8^8p8}8\3538\229\319", ) , ) == 0x0
 02432   896   NtUnmapViewOfSection  (-1, 0x950000, ... ) == 0x0
 02433   896   NtClose  (140, ... ) == 0x0
 02434   896   NtClose  (136, ... ) == 0x0
 02435   896   NtOpenKey  (0x20119, {24, 16, 0x40, 0, 0,  (0x20119, {24, 16, 0x40, 0, 0, "Software\Policies\Microsoft\Cryptography"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02436   896   NtOpenKey  (0x20119, {24, 16, 0x40, 0, 0,  (0x20119, {24, 16, 0x40, 0, 0, "Software\Microsoft\Cryptography"}, ... 136, ) }, ... 136, ) == 0x0
 02437   896   NtQueryValueKey  (136,  (136, "MachineGuid", Partial, 144, ... TitleIdx=0, Type=1, Data="4\0c\0d\0d\07\03\08\06\0-\0b\03\06\01\0-\04\05\0a\0c\0-\09\02\0e\00\0-\0b\07\0f\0d\06\02\04\07\06\0d\0d\0c\0\0\0"}, 86, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (136, "MachineGuid", Partial, 144, ... TitleIdx=0, Type=1, Data="4\0c\0d\0d\07\03\08\06\0-\0b\03\06\01\0-\04\05\0a\0c\0-\09\02\0e\00\0-\0b\07\0f\0d\06\02\04\07\06\0d\0d\0c\0\0\0"}, 86, ) }, 86, ) == 0x0
 02438   896   NtQueryValueKey  (136,  (136, "MachineGuid", Partial, 144, ... TitleIdx=0, Type=1, Data="4\0c\0d\0d\07\03\08\06\0-\0b\03\06\01\0-\04\05\0a\0c\0-\09\02\0e\00\0-\0b\07\0f\0d\06\02\04\07\06\0d\0d\0c\0\0\0"}, 86, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (136, "MachineGuid", Partial, 144, ... TitleIdx=0, Type=1, Data="4\0c\0d\0d\07\03\08\06\0-\0b\03\06\01\0-\04\05\0a\0c\0-\09\02\0e\00\0-\0b\07\0f\0d\06\02\04\07\06\0d\0d\0c\0\0\0"}, 86, ) }, 86, ) == 0x0
 02439   896   NtQueryValueKey  (136,  (136, "MachineGuid", Partial, 144, ... TitleIdx=0, Type=1, Data="4\0c\0d\0d\07\03\08\06\0-\0b\03\06\01\0-\04\05\0a\0c\0-\09\02\0e\00\0-\0b\07\0f\0d\06\02\04\07\06\0d\0d\0c\0\0\0"}, 86, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (136, "MachineGuid", Partial, 144, ... TitleIdx=0, Type=1, Data="4\0c\0d\0d\07\03\08\06\0-\0b\03\06\01\0-\04\05\0a\0c\0-\09\02\0e\00\0-\0b\07\0f\0d\06\02\04\07\06\0d\0d\0c\0\0\0"}, 86, ) }, 86, ) == 0x0
 02440   896   NtQueryValueKey  (136,  (136, "MachineGuid", Partial, 144, ... TitleIdx=0, Type=1, Data="4\0c\0d\0d\07\03\08\06\0-\0b\03\06\01\0-\04\05\0a\0c\0-\09\02\0e\00\0-\0b\07\0f\0d\06\02\04\07\06\0d\0d\0c\0\0\0"}, 86, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (136, "MachineGuid", Partial, 144, ... TitleIdx=0, Type=1, Data="4\0c\0d\0d\07\03\08\06\0-\0b\03\06\01\0-\04\05\0a\0c\0-\09\02\0e\00\0-\0b\07\0f\0d\06\02\04\07\06\0d\0d\0c\0\0\0"}, 86, ) }, 86, ) == 0x0
 02441   896   NtClose  (136, ... ) == 0x0
 02442   896   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "Software\Microsoft\Cryptography\Offload"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02443   896   NtOpenThreadToken  (-2, 0x2000000, 1, ... ) == STATUS_NO_TOKEN
 02444   896   NtOpenProcessToken  (-1, 0x8, ... 136, ) == 0x0
 02445   896   NtQueryInformationToken  (136, User, 1024, ... {token info, class 1, size 36}, 36, ) == 0x0
 02446   896   NtClose  (136, ... ) == 0x0
 02447   896   NtDeviceIoControlFile  (120, 0, 0x0, 0x0, 0x390008,  (120, 0, 0x0, 0x0, 0x390008, "9z\313\327z\272\361\200\253\333)N~\232\225_\221\373\12\202R\34I\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 02448   896   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 02449   896   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 02450   896   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 02451   896   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 02452   896   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 02453   896   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 02454   896   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 02455   896   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147481368, 2, ) }, 0, 0x0, 0, ... -2147481368, 2, ) == 0x0
 02456   896   NtSetValueKey  (-2147481368,  (-2147481368, "Seed", 0, 3, "\27m[\6\25q\177\232\342\307\266\350\263*@!P\352\32\3657\327\23\351\254"\355\310\376\334\300\331J\34\222\315\223\364\351z\14F\347\310\341H\336\364}Y87\240\11\25?\221\310O<\372\343\300 \240\21\224\351\335$\342\321\344-1H\330-\366\16", 80, ... ) , 0, 3,  (-2147481368, "Seed", 0, 3, "\27m[\6\25q\177\232\342\307\266\350\263*@!P\352\32\3657\327\23\351\254"\355\310\376\334\300\331J\34\222\315\223\364\351z\14F\347\310\341H\336\364}Y87\240\11\25?\221\310O<\372\343\300 \240\21\224\351\335$\342\321\344-1H\330-\366\16", 80, ... ) \355\310\376\334\300\331J\34\222\315\223\364\351z\14F\347\310\341H\336\364}Y87\240\11\25?\221\310O<\372\343\300 \240\21\224\351\335$\342\321\344-1H\330-\366\16", 80, ... ) == 0x0
 02457   896   NtClose  (-2147481368, ... ) == 0x0
 02447   896   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "\200\335\200PW\225Av\337g\7\361a\367V\313?\7\367\232\37\330n\227u\215\216\37i)\33\331\242\247\356rkG\336\363\375W\13L\355\3\25*T\344\364\5\327\327\206\242{E\212\31g\324\211XD\303=\266{\303`/\306q\225\272!\265k`\267\203K\31531\261\227\207\7dYB\253\21\362tIi\205l\333\16\343"R\324B)\11:[M\223z\0\4\3\374\364\313\330\311d\253)l\225\345_W\300\356\31\2722\244P\351\237\13\331F\350\363 NG\\347\223U\335\333\224)DG\374^\245\370,\212.\234\371\255v37\34\302\15r\273p\337W\330\330\357\33\275S\260[\205\\200\23\26\321\345\226\254\322\245\4\277\302gyh\3625\254\274<\314\310\230]\255}\37\261\\357\262\375\314\356\354\344i\201\10T\336k\2613\301Exq\315\2226U\205Y\21\353)\27\310\222\256\377'\362\344L#", ) R\324B)\11:[M\223z\0\4\3\374\364\313\330\311d\253)l\225\345_W\300\356\31\2722\244P\351\237\13\331F\350\363 NG\\347\223U\335\333\224)DG\374^\245\370,\212.\234\371\255v37\34\302\15r\273p\337W\330\330\357\33\275S\260[\205\\200\23\26\321\345\226\254\322\245\4\277\302gyh\3625\254\274<\314\310\230]\255}\37\261\\357\262\375\314\356\354\344i\201\10T\336k\2613\301Exq\315\2226U\205Y\21\353)\27\310\222\256\377'\362\344L#", ) == 0x0
 02458   896   NtDeviceIoControlFile  (120, 0, 0x0, 0x0, 0x390008,  (120, 0, 0x0, 0x0, 0x390008, "9z\313\327z\272\361\200\253\333)N~\232yc_.\360\36\25\232\234\221\373\12\202R\34I\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 02459   896   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 02460   896   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 02461   896   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 02462   896   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 02463   896   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 02464   896   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 02465   896   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 02466   896   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147481368, 2, ) }, 0, 0x0, 0, ... -2147481368, 2, ) == 0x0
 02467   896   NtSetValueKey  (-2147481368,  (-2147481368, "Seed", 0, 3, "j\327+\307\10\216\327\202\225\272P\374\271\347\254\23B\366\20l\35!\323d\232a;\375\226\325\371\217\311\253\21\220%\346\217+\7\301)\370hZ\\326\201'2o\211\24\277'\266\231\323\236L\302zy\363T5\12 \301\6\343_\270}\262|\345)\215", 80, ... ) , 0, 3,  (-2147481368, "Seed", 0, 3, "j\327+\307\10\216\327\202\225\272P\374\271\347\254\23B\366\20l\35!\323d\232a;\375\226\325\371\217\311\253\21\220%\346\217+\7\301)\370hZ\\326\201'2o\211\24\277'\266\231\323\236L\302zy\363T5\12 \301\6\343_\270}\262|\345)\215", 80, ... ) , 80, ... ) == 0x0
 02468   896   NtClose  (-2147481368, ... ) == 0x0
 02458   896   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "6\13\243(\270\235\377Y:)=-t\243\372\332\1284\321\332\335\353\261\202<\351\236\375\26.\200&(:\373;\242\371U\17\304\373D\3509%Ck\256\31b\342\233\3vR\250o\5S\272S\10\37\201\20\257\226jl\342,ZV\321\315\375xl\20atl\367\370\233\353\35\326\316\256\326m]\204\363\36\6m\2560\6_\361\366\275\27wh:\315\20\16\267\206+\236\263\221\356\252\332_>s\302R\224\267s\204\245S\313\260\275\356\316\13S\333\225\12\226\365=&\4\21\22:\253gL\260\33\224d`\312M\345\230\263\213\11f\203_\\244\334\274\335%\253\277\317\224\203\300\365\337u!\260<\253o\344\270\253U\322\22\370\353\203_\3424\17\17@!\344\246<\340W\227\305Of\252\202\245\367\366\353\5\242\15\314\365\6\267?\245<\374 \356\355\214\257y\352\205m\244\245\232\207\274\242wG\237oYq@\352\241", ) , ) == 0x0
 02469   896   NtDeviceIoControlFile  (120, 0, 0x0, 0x0, 0x390008,  (120, 0, 0x0, 0x0, 0x390008, "9z\313\327z\272\361\200\253\333)N~\232yc_.\360\36\25v\240_.\360\36\25\232\234\221\373\12\202R\34I\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 02470   896   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 02471   896   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 02472   896   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 02473   896   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 02474   896   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 02475   896   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 02476   896   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 02477   896   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147481368, 2, ) }, 0, 0x0, 0, ... -2147481368, 2, ) == 0x0
 02478   896   NtSetValueKey  (-2147481368,  (-2147481368, "Seed", 0, 3, "W\312\34k\243\273\273\3324\214\205\1\216\332k\357C\312\315\333\251\220>Or\260H\317\13\340\12R\213\334\2768S\377\35\261\266\315\251%\7\271\232\374\247\355\223\222\24\245VPOv/\321\254\337P^|\334do\256\337\314\373\331C\260n\4\7OY", 80, ... ) , 0, 3,  (-2147481368, "Seed", 0, 3, "W\312\34k\243\273\273\3324\214\205\1\216\332k\357C\312\315\333\251\220>Or\260H\317\13\340\12R\213\334\2768S\377\35\261\266\315\251%\7\271\232\374\247\355\223\222\24\245VPOv/\321\254\337P^|\334do\256\337\314\373\331C\260n\4\7OY", 80, ... ) , 80, ... ) == 0x0
 02479   896   NtClose  (-2147481368, ... ) == 0x0
 02469   896   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "NW\5g\323=Y)#\342\10!\3565F\353\272\351\301}\256\321\243{\237\255\367\343\306\244\223`\201\321\220\373\266=\6\2 Z\246\22Qy\272\11\3047\376pK\341\311Q\327\220\1775\305\325yF\240\25+|\252\376\273I\37x:m\30M#\217\231\13ch\201\267\253R\310\222F\32G\22}\355\27\305\266\326\146\243\21\317\177Z\242=\34\11b/\314\216xh\234\212\37\324O\320L$\375\227\1777\240\202]\216\345\4t\241\211}\15\231[\244Wn;\354\257\271\200\234\270\11-\366%\366\336\377\30n\211\212\376\31\356\363\274\260\232\316\373\14gA\332{\342^\373\235:j\232\356\23']n9&d\353<\214\263@a\212\336\316\222\3\324\310\242\256R#-\302\214IR \252\200~ \317\350:\270\3773}y\15k\234.\311`\27\351\236\27&\304\23\356\204\3342G\325\224\311PF\367XPw\26", ) , ) == 0x0
 02480   896   NtDeviceIoControlFile  (120, 0, 0x0, 0x0, 0x390008,  (120, 0, 0x0, 0x0, 0x390008, "9z\313\327z\272\361\200\253\333)N~\232yc_.\360\36\25v\240_.\360\36\25v\240_.\360\36\25\232\234\221\373\12\202R\34I\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 02481   896   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 02482   896   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 02483   896   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 02484   896   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 02485   896   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 02486   896   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 02487   896   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 02488   896   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147481368, 2, ) }, 0, 0x0, 0, ... -2147481368, 2, ) == 0x0
 02489   896   NtSetValueKey  (-2147481368,  (-2147481368, "Seed", 0, 3, "\35\254\6[\357\366\376j\206\261\325\325l--&\242\357\357\3\27\230\271\346\12\212\264#\3729\3548F@\271\207nV@.\241_\261\247k\27\355\371\15\215\300\216\321\217\274\274\223y\261\324\352\362m2\371\267~\343\353\261Y\254\276\37&\271\261\213\276\305", 80, ... ) , 0, 3,  (-2147481368, "Seed", 0, 3, "\35\254\6[\357\366\376j\206\261\325\325l--&\242\357\357\3\27\230\271\346\12\212\264#\3729\3548F@\271\207nV@.\241_\261\247k\27\355\371\15\215\300\216\321\217\274\274\223y\261\324\352\362m2\371\267~\343\353\261Y\254\276\37&\271\261\213\276\305", 80, ... ) , 80, ... ) == 0x0
 02490   896   NtClose  (-2147481368, ... ) == 0x0
 02480   896   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "b\227)\327\303\315\371np8\264\301\320\310\1\324:\341T"\33\353\377\365iI\360\375>x\211Z\313\32\25\252\360\326\17\211\250\265\354M\312#\344\256\255\303Nd\367/\3212\7\263a\350jD\267d\277\340\220b\212*\247\221G\32282\277x\271\250\35Q\255\354R&\273A\367\263`\366\356\37\333\373\310b\314y\271\14\260\376\347\0\25\32\31a\245\32\27|6\224&8W\371$\333`\5\314_\363\251["\337W[\31\317\24\244\203\6\275]gy0A\206\311\320\361\260\274\267:\36\254.\366\17\342\263\3072\2\341\221[T\263\272\2\325\37\275mL\234;\332\21K\375T\306\210\12XR\234Or\253\257\277\360WQ\211\371ufL!\22\2726:q\32Nf=\207\221\270UK\265\343:i\223\362\354%\305G6\21\257\251\220\270\227\311\367q/,\253Y!J\13\301sH\330\243\330p, ) \33\353\377\365iI\360\375>x\211Z\313\32\25\252\360\326\17\211\250\265\354M\312#\344\256\255\303Nd\367/\3212\7\263a\350jD\267d\277\340\220b\212*\247\221G\32282\277x\271\250\35Q\255\354R&\273A\367\263`\366\356\37\333\373\310b\314y\271\14\260\376\347\0\25\32\31a\245\32\27|6\224&8W\371$\333`\5\314_\363\251[ ... {status=0x0, info=256}, "b\227)\327\303\315\371np8\264\301\320\310\1\324:\341T"\33\353\377\365iI\360\375>x\211Z\313\32\25\252\360\326\17\211\250\265\354M\312#\344\256\255\303Nd\367/\3212\7\263a\350jD\267d\277\340\220b\212*\247\221G\32282\277x\271\250\35Q\255\354R&\273A\367\263`\366\356\37\333\373\310b\314y\271\14\260\376\347\0\25\32\31a\245\32\27|6\224&8W\371$\333`\5\314_\363\251["\337W[\31\317\24\244\203\6\275]gy0A\206\311\320\361\260\274\267:\36\254.\366\17\342\263\3072\2\341\221[T\263\272\2\325\37\275mL\234;\332\21K\375T\306\210\12XR\234Or\253\257\277\360WQ\211\371ufL!\22\2726:q\32Nf=\207\221\270UK\265\343:i\223\362\354%\305G6\21\257\251\220\270\227\311\367q/,\253Y!J\13\301sH\330\243\330p, ) , ) == 0x0
 02491   896   NtDeviceIoControlFile  (120, 0, 0x0, 0x0, 0x390008,  (120, 0, 0x0, 0x0, 0x390008, "9z\313\327z\272\361\200\253\333)N~\232yc_.\360\36\25v\240_.\360\36\25v\240_.\360\36\25v\240_.\360\36\25\232\234\221\373\12\202R\34I\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 02492   896   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 02493   896   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 02494   896   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 02495   896   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 02496   896   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 02497   896   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 02498   896   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 02499   896   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147481368, 2, ) }, 0, 0x0, 0, ... -2147481368, 2, ) == 0x0
 02500   896   NtSetValueKey  (-2147481368,  (-2147481368, "Seed", 0, 3, "\305\374\341\337\325Z\246_\225\372=\13\231\242\244\217 e\QKu\244\257\256\346}\374\376\335y\222\317\3133;\23\230\15\35\371\4\231\177;\25\235>\3573\210N\243)\305\334-w#{\354\304", 80, ... ) , 0, 3,  (-2147481368, "Seed", 0, 3, "\305\374\341\337\325Z\246_\225\372=\13\231\242\244\217 e\QKu\244\257\256\346}\374\376\335y\222\317\3133;\23\230\15\35\371\4\231\177;\25\235>\3573\210N\243)\305\334-w#{\354\304", 80, ... ) , 80, ... ) == 0x0
 02501   896   NtClose  (-2147481368, ... ) == 0x0
 02491   896   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "Kt\14\37r\6\274o\351\265\326l\275w\272\331x\266\350\243\23=1\344E\366E\207\211\23Zn\316V!\16\303\264'C\305e\200\255\255o\312\323\34\224)\22\277\372n\305\232\374\25\324\375\374\314K\340\32\321.\325\365\315\236\332q\221s \241\234\7\210\0\201d\237\222H\307h\332\277\376U6\27G\223\364S\264\240\24\2208%\264\326\22\35\367\5H0l[\343\343\230\215m\217\15.B\331\301\314\264\365\11\353\312\327YQo\11\372\372\374\327M\310\224\31\366e]\327\6\340f\343\333\332\13S\350\34\352:\263\2305/\335\\364^\347\324*\271+]\363\35~\324\5\230\11\202,\346y=\31\255\311M*{\340~\374\235\244Q\334\6\253p\327\310a\254\31\11\322\223jQ\376\270\335X\227\247a\325\374\4\215\4\301\331\340M\372\201b^\253\253t\213\253\0\357]\257\366\370\300\332\211\\344F\240\347o\276\342", ) , ) == 0x0
 02502   896   NtDeviceIoControlFile  (120, 0, 0x0, 0x0, 0x390008,  (120, 0, 0x0, 0x0, 0x390008, "9z\313\327z\272\361\200\253\333)N~\232yc_.\360\36\25v\240_.\360\36\25v\240_.\360\36\25v\240_.\360\36\25v\240_.\360\36\25\232\234\221\373\12\202R\34I\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 02503   896   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 02504   896   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 02505   896   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 02506   896   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 02507   896   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 02508   896   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 02509   896   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 02510   896   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147481368, 2, ) }, 0, 0x0, 0, ... -2147481368, 2, ) == 0x0
 02511   896   NtSetValueKey  (-2147481368,  (-2147481368, "Seed", 0, 3, "\267Z2"\27\241\327:W\320@\3550\34*y\6F\3311\210\276\322\360Q\24\214\335t\222\275S/\3035\232\277t\244\322 O\326\211\29\337\36\320\364\330\0\327\235\33\356$\326\31\261\254J\237\340\202\2314\372\202\263\22\13~\33\357C\346\370\376\26", 80, ... ) , 0, 3,  (-2147481368, "Seed", 0, 3, "\267Z2"\27\241\327:W\320@\3550\34*y\6F\3311\210\276\322\360Q\24\214\335t\222\275S/\3035\232\277t\244\322 O\326\211\29\337\36\320\364\330\0\327\235\33\356$\326\31\261\254J\237\340\202\2314\372\202\263\22\13~\33\357C\346\370\376\26", 80, ... ) \27\241\327:W\320@\3550\34*y\6F\3311\210\276\322\360Q\24\214\335t\222\275S/\3035\232\277t\244\322 O\326\211\29\337\36\320\364\330\0\327\235\33\356$\326\31\261\254J\237\340\202\2314\372\202\263\22\13~\33\357C\346\370\376\26", 80, ... ) == 0x0
 02512   896   NtClose  (-2147481368, ... ) == 0x0
 02502   896   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "\235\10\334\352Q\333\3\246\343\23E{W`\237y\357:U\211\241\326\351\14\214\6\242\342\353`\354\255\240\225\243\245\6f2_i7\4r\360\213o\30\237\3\253\333w\352R7\340\224\316\365\310\250\16E\351\\37\310"\357\271\256\17\5J\36\317\12\7Y\11\217^\331K\320\11_\247\372\312\11k\371\311!\237\26*\344\312+\177O=\275\204\321p\237J\272\332m\330\373p\310\341\213xZK\240\372\270\354\260+\314\224\260m\14\371vDp\7\2173\377\35\357\315\5\377\252%0\354`\37\243F\342\272\276\367\|\330K\330a\357x\371\200\227\332m<\210\33\226\30\254\344\26=\2\361\357g\354\212P'\\256\327\27M\231r\300\375\21\311\12\326-\3t\241\221I\217.\5\362\237\350\245]c\321K\17^\221\372\356\330h\305\221\30\326j\24\274D\361\237 *\313\351\210W\257\240\300\257\6G\206\366\346\17Mt\370\371", ) \357\271\256\17\5J\36\317\12\7Y\11\217^\331K\320\11_\247\372\312\11k\371\311!\237\26*\344\312+\177O=\275\204\321p\237J\272\332m\330\373p\310\341\213xZK\240\372\270\354\260+\314\224\260m\14\371vDp\7\2173\377\35\357\315\5\377\252%0\354`\37\243F\342\272\276\367\|\330K\330a\357x\371\200\227\332m<\210\33\226\30\254\344\26=\2\361\357g\354\212P'\\256\327\27M\231r\300\375\21\311\12\326-\3t\241\221I\217.\5\362\237\350\245]c\321K\17^\221\372\356\330h\305\221\30\326j\24\274D\361\237 *\313\351\210W\257\240\300\257\6G\206\366\346\17Mt\370\371", ) == 0x0
 02513   896   NtDeviceIoControlFile  (120, 0, 0x0, 0x0, 0x390008,  (120, 0, 0x0, 0x0, 0x390008, "9z\313\327z\272\361\200\253\333)N~\232yc_.\360\36\25v\240_.\360\36\25v\240_.\360\36\25v\240_.\360\36\25v\240_.\360\36\25v\240_.\360\36\25\232\234\221\373\12\202R\34I\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 02514   896   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 02515   896   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 02516   896   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 02517   896   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 02518   896   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 02519   896   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 02520   896   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 02521   896   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147481368, 2, ) }, 0, 0x0, 0, ... -2147481368, 2, ) == 0x0
 02522   896   NtSetValueKey  (-2147481368,  (-2147481368, "Seed", 0, 3, "J*\33c\21\313\260\320\314\10\266\342-\351\204Ec\270-\370MyK\340I@\214\266 -\351\25\202\347\235ca\364gh\212f\367t\1\200$\226\226/\335\263\305\212\320\211*z(\356j\206M?\326\244 \326\227\37X.\371_/\343c\37u=", 80, ... ) , 0, 3,  (-2147481368, "Seed", 0, 3, "J*\33c\21\313\260\320\314\10\266\342-\351\204Ec\270-\370MyK\340I@\214\266 -\351\25\202\347\235ca\364gh\212f\367t\1\200$\226\226/\335\263\305\212\320\211*z(\356j\206M?\326\244 \326\227\37X.\371_/\343c\37u=", 80, ... ) , 80, ... ) == 0x0
 02523   896   NtClose  (-2147481368, ... ) == 0x0
 02513   896   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "\241\177\345)9\7\377-EF!X\373\330\356\216\205(Jp\324'Y\250\346\363\332a\321KC6\14|z\202m\326\\351\357\230\37\235\212u8\210*4\354\364l\332r\217;Klx\225\362\270\226\25\362\255\233u\204\365\254\262]\351TnAF\201+Xw\331&u?\214\330s\362\2415\235(A\334/6\376\270E\267\305\304\212\356@*\237\360\333]\3232\201\35\332\201m\317n\204\12h\223\221\3648|\315+F\374\277!\270\215(\337\257\213\342a\3441z\267\34y@FD5\355P\6"\303L\277\354\10v\333*\235\344\243\316\345C3\266\200\251(\217\327,\361%\271\261\367:\367^\227\3\215\231Y\17\34\217\365\356k\15\240z\317E\17\263YIq+\2507\30\267lu\354\243\301\351\243\11\344\243S\365\351\222gW=\361\361w\310-\211\21\226o\24\2110\255\311a\364Y\332N\351\301\233.\376", ) \303L\277\354\10v\333*\235\344\243\316\345C3\266\200\251(\217\327,\361%\271\261\367:\367^\227\3\215\231Y\17\34\217\365\356k\15\240z\317E\17\263YIq+\2507\30\267lu\354\243\301\351\243\11\344\243S\365\351\222gW=\361\361w\310-\211\21\226o\24\2110\255\311a\364Y\332N\351\301\233.\376", ) == 0x0
 02524   896   NtClose  (132, ... ) == 0x0
 02525   896   NtCreateFile  (0x100001, {24, 0, 0x40, 458424, 0,  (0x100001, {24, 0, 0x40, 458424, 0, "\??\C:\scripts"}, 0x0, 128, 3, 2, 16417, 0, 0, ... ) }, 0x0, 128, 3, 2, 16417, 0, 0, ... ) == STATUS_OBJECT_NAME_COLLISION
 02526   896   NtCreateFile  (0x100001, {24, 0, 0x40, 458424, 0,  (0x100001, {24, 0, 0x40, 458424, 0, "\??\c:\ed0e5e2507d6768a972ae1c0794a"}, 0x0, 128, 3, 2, 16417, 0, 0, ... 132, {status=0x0, info=2}, ) }, 0x0, 128, 3, 2, 16417, 0, 0, ... 132, {status=0x0, info=2}, ) == 0x0
 02527   896   NtClose  (132, ... ) == 0x0
 02528   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\c:\ed0e5e2507d6768a972ae1c0794a\"}, 456696, ... ) }, 456696, ... ) == 0x0
 02529   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "feclient.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02530   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\u:\work\feclient.dll"}, 454148, ... ) }, 454148, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02531   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\feclient.dll"}, 454148, ... ) }, 454148, ... ) == 0x0
 02532   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\feclient.dll"}, 5, 96, ... 132, {status=0x0, info=1}, ) }, 5, 96, ... 132, {status=0x0, info=1}, ) == 0x0
 02533   896   NtCreateSection  (0xf, 0x0, 0x0, 16, 16777216, 132, ... 136, ) == 0x0
 02534   896   NtQuerySection  (136, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 02535   896   NtClose  (132, ... ) == 0x0
 02536   896   NtMapViewOfSection  (136, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x693f0000), 0x0, 36864, ) == 0x0
 02537   896   NtClose  (136, ... ) == 0x0
 02538   896   NtProtectVirtualMemory  (-1, (0x693f1000), 304, 4, ... (0x693f1000), 4096, 32, ) == 0x0
 02539   896   NtProtectVirtualMemory  (-1, (0x693f1000), 4096, 32, ... (0x693f1000), 4096, 4, ) == 0x0
 02540   896   NtFlushInstructionCache  (-1, 1765740544, 304, ... ) == 0x0
 02541   896   NtProtectVirtualMemory  (-1, (0x693f1000), 304, 4, ... (0x693f1000), 4096, 32, ) == 0x0
 02542   896   NtProtectVirtualMemory  (-1, (0x693f1000), 4096, 32, ... (0x693f1000), 4096, 4, ) == 0x0
 02543   896   NtFlushInstructionCache  (-1, 1765740544, 304, ... ) == 0x0
 02544   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "MPR.dll"}, ... 136, ) }, ... 136, ) == 0x0
 02545   896   NtMapViewOfSection  (136, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x71b20000), 0x0, 73728, ) == 0x0
 02546   896   NtClose  (136, ... ) == 0x0
 02547   896   NtProtectVirtualMemory  (-1, (0x71b21000), 440, 4, ... (0x71b21000), 4096, 32, ) == 0x0
 02548   896   NtProtectVirtualMemory  (-1, (0x71b21000), 4096, 32, ... (0x71b21000), 4096, 4, ) == 0x0
 02549   896   NtFlushInstructionCache  (-1, 1907494912, 440, ... ) == 0x0
 02550   896   NtProtectVirtualMemory  (-1, (0x71b21000), 440, 4, ... (0x71b21000), 4096, 32, ) == 0x0
 02551   896   NtProtectVirtualMemory  (-1, (0x71b21000), 4096, 32, ... (0x71b21000), 4096, 4, ) == 0x0
 02552   896   NtFlushInstructionCache  (-1, 1907494912, 440, ... ) == 0x0
 02553   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "USERENV.dll"}, ... 136, ) }, ... 136, ) == 0x0
 02554   896   NtMapViewOfSection  (136, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x769c0000), 0x0, 733184, ) == 0x0
 02555   896   NtClose  (136, ... ) == 0x0
 02556   896   NtProtectVirtualMemory  (-1, (0x769c1000), 1244, 4, ... (0x769c1000), 4096, 32, ) == 0x0
 02557   896   NtProtectVirtualMemory  (-1, (0x769c1000), 4096, 32, ... (0x769c1000), 4096, 4, ) == 0x0
 02558   896   NtFlushInstructionCache  (-1, 1989939200, 1244, ... ) == 0x0
 02559   896   NtProtectVirtualMemory  (-1, (0x769c1000), 1244, 4, ... (0x769c1000), 4096, 32, ) == 0x0
 02560   896   NtProtectVirtualMemory  (-1, (0x769c1000), 4096, 32, ... (0x769c1000), 4096, 4, ) == 0x0
 02561   896   NtFlushInstructionCache  (-1, 1989939200, 1244, ... ) == 0x0
 02562   896   NtProtectVirtualMemory  (-1, (0x769c1000), 1244, 4, ... (0x769c1000), 4096, 32, ) == 0x0
 02563   896   NtProtectVirtualMemory  (-1, (0x769c1000), 4096, 32, ... (0x769c1000), 4096, 4, ) == 0x0
 02564   896   NtFlushInstructionCache  (-1, 1989939200, 1244, ... ) == 0x0
 02565   896   NtProtectVirtualMemory  (-1, (0x769c1000), 1244, 4, ... (0x769c1000), 4096, 32, ) == 0x0
 02566   896   NtProtectVirtualMemory  (-1, (0x769c1000), 4096, 32, ... (0x769c1000), 4096, 4, ) == 0x0
 02567   896   NtFlushInstructionCache  (-1, 1989939200, 1244, ... ) == 0x0
 02568   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "CRYPT32.dll"}, ... 136, ) }, ... 136, ) == 0x0
 02569   896   NtMapViewOfSection  (136, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77a80000), 0x0, 606208, ) == 0x0
 02570   896   NtClose  (136, ... ) == 0x0
 02571   896   NtProtectVirtualMemory  (-1, (0x77a81000), 1340, 4, ... (0x77a81000), 4096, 32, ) == 0x0
 02572   896   NtProtectVirtualMemory  (-1, (0x77a81000), 4096, 32, ... (0x77a81000), 4096, 4, ) == 0x0
 02573   896   NtFlushInstructionCache  (-1, 2007502848, 1340, ... ) == 0x0
 02574   896   NtProtectVirtualMemory  (-1, (0x77a81000), 1340, 4, ... (0x77a81000), 4096, 32, ) == 0x0
 02575   896   NtProtectVirtualMemory  (-1, (0x77a81000), 4096, 32, ... (0x77a81000), 4096, 4, ) == 0x0
 02576   896   NtFlushInstructionCache  (-1, 2007502848, 1340, ... ) == 0x0
 02577   896   NtProtectVirtualMemory  (-1, (0x77a81000), 1340, 4, ... (0x77a81000), 4096, 32, ) == 0x0
 02578   896   NtProtectVirtualMemory  (-1, (0x77a81000), 4096, 32, ... (0x77a81000), 4096, 4, ) == 0x0
 02579   896   NtFlushInstructionCache  (-1, 2007502848, 1340, ... ) == 0x0
 02580   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "MSASN1.dll"}, ... 136, ) }, ... 136, ) == 0x0
 02581   896   NtMapViewOfSection  (136, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77b20000), 0x0, 73728, ) == 0x0
 02582   896   NtClose  (136, ... ) == 0x0
 02583   896   NtProtectVirtualMemory  (-1, (0x77b21000), 160, 4, ... (0x77b21000), 4096, 32, ) == 0x0
 02584   896   NtProtectVirtualMemory  (-1, (0x77b21000), 4096, 32, ... (0x77b21000), 4096, 4, ) == 0x0
 02585   896   NtFlushInstructionCache  (-1, 2008158208, 160, ... ) == 0x0
 02586   896   NtProtectVirtualMemory  (-1, (0x77b21000), 160, 4, ... (0x77b21000), 4096, 32, ) == 0x0
 02587   896   NtProtectVirtualMemory  (-1, (0x77b21000), 4096, 32, ... (0x77b21000), 4096, 4, ) == 0x0
 02588   896   NtFlushInstructionCache  (-1, 2008158208, 160, ... ) == 0x0
 02589   896   NtProtectVirtualMemory  (-1, (0x77b21000), 160, 4, ... (0x77b21000), 4096, 32, ) == 0x0
 02590   896   NtProtectVirtualMemory  (-1, (0x77b21000), 4096, 32, ... (0x77b21000), 4096, 4, ) == 0x0
 02591   896   NtFlushInstructionCache  (-1, 2008158208, 160, ... ) == 0x0
 02592   896   NtProtectVirtualMemory  (-1, (0x77a81000), 1340, 4, ... (0x77a81000), 4096, 32, ) == 0x0
 02593   896   NtProtectVirtualMemory  (-1, (0x77a81000), 4096, 32, ... (0x77a81000), 4096, 4, ) == 0x0
 02594   896   NtFlushInstructionCache  (-1, 2007502848, 1340, ... ) == 0x0
 02595   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPR.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02596   896   NtCreateSemaphore  (0x1f0003, 0x0, 1, 1, ... 136, ) == 0x0
 02597   896   NtCreateEvent  (0x1f0003, 0x0, 0, 0, ... 132, ) == 0x0
 02598   896   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "system\CurrentControlSet\control\NetworkProvider\HwOrder"}, ... 140, ) }, ... 140, ) == 0x0
 02599   896   NtNotifyChangeKey  (140, 132, 0, 0, 2011455960, 4, 0, 0, 0, 1, ... ) == 0x103
 02600   896   NtQueryInformationProcess  (-1, 28, 4, ... {process info, class 28, size 4}, 0x0, ) == 0x0
 02601   896   NtCreateSemaphore  (0x100003, 0x0, 0, 2147483647, ... 144, ) == 0x0
 02602   896   NtCreateSemaphore  (0x100003, 0x0, 0, 2147483647, ... 148, ) == 0x0
 02603   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\USERENV.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02604   896   NtOpenKey  (0x2000000, {24, 16, 0x40, 0, 0,  (0x2000000, {24, 16, 0x40, 0, 0, "Software\Microsoft\Windows NT\CurrentVersion\winlogon"}, ... 152, ) }, ... 152, ) == 0x0
 02605   896   NtQueryValueKey  (152,  (152, "UserEnvDebugLevel", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02606   896   NtClose  (152, ... ) == 0x0
 02607   896   NtOpenKey  (0x2000000, {24, 16, 0x40, 0, 0,  (0x2000000, {24, 16, 0x40, 0, 0, "Software\Microsoft\Windows NT\CurrentVersion\winlogon"}, ... 152, ) }, ... 152, ) == 0x0
 02608   896   NtQueryValueKey  (152,  (152, "ChkAccDebugLevel", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02609   896   NtClose  (152, ... ) == 0x0
 02610   896   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "System\CurrentControlSet\Control\ProductOptions"}, ... 152, ) }, ... 152, ) == 0x0
 02611   896   NtQueryValueKey  (152,  (152, "ProductType", Partial, 144, ... TitleIdx=0, Type=1, Data="W\0i\0n\0N\0T\0\0\0"}, 24, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (152, "ProductType", Partial, 144, ... TitleIdx=0, Type=1, Data="W\0i\0n\0N\0T\0\0\0"}, 24, ) }, 24, ) == 0x0
 02612   896   NtClose  (152, ... ) == 0x0
 02613   896   NtCreateEvent  (0x1f0003, {24, 48, 0x80, 451924, 0,  (0x1f0003, {24, 48, 0x80, 451924, 0, "Global\userenv:  User Profile setup event"}, 0, 1, ... 152, ) }, 0, 1, ... 152, ) == STATUS_OBJECT_NAME_EXISTS
 02614   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02615   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02616   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02617   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02618   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02619   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02620   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02621   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02622   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02623   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02624   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02625   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02626   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02627   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02628   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02629   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02630   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02631   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02632   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02633   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02634   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02635   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02636   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02637   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02638   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02639   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02640   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 02641   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 156, ) == 0x0
 02642   896   NtQueryInformationToken  (156, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 02643   896   NtClose  (156, ... ) == 0x0
 02644   896   NtOpenKey  (0x20019, {24, 0, 0x640, 0, 0,  (0x20019, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... 156, ) }, ... 156, ) == 0x0
 02645   896   NtOpenKey  (0x20019, {24, 156, 0x40, 0, 0,  (0x20019, {24, 156, 0x40, 0, 0, "Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders"}, ... 160, ) }, ... 160, ) == 0x0
 02646   896   NtQueryValueKey  (160,  (160, "Personal", Partial, 144, ... TitleIdx=0, Type=2, Data="%\0U\0S\0E\0R\0P\0R\0O\0F\0I\0L\0E\0%\0\\0M\0y\0 \0D\0o\0c\0u\0m\0e\0n\0t\0s\0\0\0"}, 66, ) , Partial, 144, ... TitleIdx=0, Type=2, Data= (160, "Personal", Partial, 144, ... TitleIdx=0, Type=2, Data="%\0U\0S\0E\0R\0P\0R\0O\0F\0I\0L\0E\0%\0\\0M\0y\0 \0D\0o\0c\0u\0m\0e\0n\0t\0s\0\0\0"}, 66, ) }, 66, ) == 0x0
 02647   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02648   896   NtQueryValueKey  (160,  (160, "Local Settings", Partial, 144, ... TitleIdx=0, Type=2, Data="%\0U\0S\0E\0R\0P\0R\0O\0F\0I\0L\0E\0%\0\\0L\0o\0c\0a\0l\0 \0S\0e\0t\0t\0i\0n\0g\0s\0\0\0"}, 70, ) , Partial, 144, ... TitleIdx=0, Type=2, Data= (160, "Local Settings", Partial, 144, ... TitleIdx=0, Type=2, Data="%\0U\0S\0E\0R\0P\0R\0O\0F\0I\0L\0E\0%\0\\0L\0o\0c\0a\0l\0 \0S\0e\0t\0t\0i\0n\0g\0s\0\0\0"}, 70, ) }, 70, ) == 0x0
 02649   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02650   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02651   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02652   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02653   896   NtClose  (160, ... ) == 0x0
 02654   896   NtClose  (156, ... ) == 0x0
 02655   896   NtOpenKey  (0x2000000, {24, 16, 0x40, 0, 0,  (0x2000000, {24, 16, 0x40, 0, 0, "Software\Microsoft\Windows NT\CurrentVersion\winlogon"}, ... 156, ) }, ... 156, ) == 0x0
 02656   896   NtQueryValueKey  (156,  (156, "RsopDebugLevel", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02657   896   NtClose  (156, ... ) == 0x0
 02658   896   NtOpenKey  (0x2000000, {24, 16, 0x40, 0, 0,  (0x2000000, {24, 16, 0x40, 0, 0, "Software\Microsoft\Windows NT\CurrentVersion\winlogon"}, ... 156, ) }, ... 156, ) == 0x0
 02659   896   NtQueryValueKey  (156,  (156, "UserEnvDebugLevel", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02660   896   NtQueryValueKey  (156,  (156, "RsopLogging", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02661   896   NtClose  (156, ... ) == 0x0
 02662   896   NtOpenKey  (0x2000000, {24, 16, 0x40, 0, 0,  (0x2000000, {24, 16, 0x40, 0, 0, "Software\Policies\Microsoft\Windows\System"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02663   896   NtOpenKey  (0x2000000, {24, 16, 0x40, 0, 0,  (0x2000000, {24, 16, 0x40, 0, 0, "Software\Microsoft\Windows NT\CurrentVersion\winlogon"}, ... 156, ) }, ... 156, ) == 0x0
 02664   896   NtQueryValueKey  (156,  (156, "UserEnvDebugLevel", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02665   896   NtClose  (156, ... ) == 0x0
 02666   896   NtOpenKey  (0x2000000, {24, 16, 0x40, 0, 0,  (0x2000000, {24, 16, 0x40, 0, 0, "Software\Policies\Microsoft\Windows\System"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02667   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSASN1.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02668   896   NtQueryPerformanceCounter  (... {-1448277814, 16}, {3579545, 0}, ) == 0x0
 02669   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CRYPT32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02670   896   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "SYSTEM\CurrentControlSet\Services\crypt32\Performance"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02671   896   NtAllocateVirtualMemory  (-1, 598016, 0, 4096, 4096, 4, ... 598016, 4096, ) == 0x0
 02672   896   NtAllocateVirtualMemory  (-1, 602112, 0, 4096, 4096, 4, ... 602112, 4096, ) == 0x0
 02673   896   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "SOFTWARE\Microsoft\Windows NT\CurrentVersion\msasn1"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02674   896   NtAllocateVirtualMemory  (-1, 606208, 0, 4096, 4096, 4, ... 606208, 4096, ) == 0x0
 02675   896   NtCreateEvent  (0x1f0003, {24, 48, 0x80, 454272, 0,  (0x1f0003, {24, 48, 0x80, 454272, 0, "Global\crypt32LogoffEvent"}, 0, 0, ... ) }, 0, 0, ... ) == STATUS_ACCESS_DENIED
 02676   896   NtOpenEvent  (0x100000, {24, 48, 0x0, 0, 0,  (0x100000, {24, 48, 0x0, 0, 0, "Global\crypt32LogoffEvent"}, ... 156, ) }, ... 156, ) == 0x0
 02677   896   NtAllocateVirtualMemory  (-1, 610304, 0, 4096, 4096, 4, ... 610304, 4096, ) == 0x0
 02678   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\feclient.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02679   896   NtAllocateVirtualMemory  (-1, 614400, 0, 20480, 4096, 4, ... 614400, 20480, ) == 0x0
 02680   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\c:\ed0e5e2507d6768a972ae1c0794a"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_FILE_IS_A_DIRECTORY
 02681   896   NtQueryInformationFile  (-1, 453440, 4, Ea, ... ) == STATUS_OBJECT_TYPE_MISMATCH
 02682   896   NtCreateFile  (0x100080, {24, 0, 0x40, 0, 453392,  (0x100080, {24, 0, 0x40, 0, 453392, "\??\c:\ed0e5e2507d6768a972ae1c0794a\"}, 0x0, 128, 3, 1, 2113568, 0, 0, ... 160, {status=0x0, info=1}, ) }, 0x0, 128, 3, 1, 2113568, 0, 0, ... 160, {status=0x0, info=1}, ) == 0x0
 02683   896   NtAllocateVirtualMemory  (-1, 634880, 0, 20480, 4096, 4, ... 634880, 20480, ) == 0x0
 02684   896   NtFsControlFile  (160, 0, 0x0, 0x0, 0x900a8, 0x0, 0, 16384, ... ) == 0xc0000275
 02685   896   NtClose  (160, ... ) == 0x0
 02686   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\c:\ed0e5e2507d6768a972ae1c0794a"}, 3, 32, ... 160, {status=0x0, info=1}, ) }, 3, 32, ... 160, {status=0x0, info=1}, ) == 0x0
 02687   896   NtQueryVolumeInformationFile  (160, 453588, 8, Device, ... {status=0x0, info=8}, ) == 0x0
 02688   896   NtClose  (160, ... ) == 0x0
 02689   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\c:\ed0e5e2507d6768a972ae1c0794a"}, 3, 16, ... 160, {status=0x0, info=1}, ) }, 3, 16, ... 160, {status=0x0, info=1}, ) == 0x0
 02690   896   NtDeviceIoControlFile  (160, 0, 0x0, 0x0, 0x4d0008, 0x0, 0, 520, ... ) == STATUS_INVALID_PARAMETER
 02691   896   NtClose  (160, ... ) == 0x0
 02692   896   NtQueryInformationFile  (-1, 455228, 4, Ea, ... ) == STATUS_OBJECT_TYPE_MISMATCH
 02693   896   NtCreateFile  (0x100080, {24, 0, 0x40, 0, 455180,  (0x100080, {24, 0, 0x40, 0, 455180, "\??\c:\ed0e5e2507d6768a972ae1c0794a\"}, 0x0, 128, 3, 1, 2113568, 0, 0, ... 160, {status=0x0, info=1}, ) }, 0x0, 128, 3, 1, 2113568, 0, 0, ... 160, {status=0x0, info=1}, ) == 0x0
 02694   896   NtFsControlFile  (160, 0, 0x0, 0x0, 0x900a8, 0x0, 0, 16384, ... ) == 0xc0000275
 02695   896   NtClose  (160, ... ) == 0x0
 02696   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02697   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\C:"}, 3, 16, ... 160, {status=0x0, info=0}, ) }, 3, 16, ... 160, {status=0x0, info=0}, ) == 0x0
 02698   896   NtDeviceIoControlFile  (160, 0, 0x0, 0x0, 0x4d0008, 0x0, 0, 520, ... {status=0x0, info=48},  (160, 0, 0x0, 0x0, 0x4d0008, 0x0, 0, 520, ... {status=0x0, info=48}, ".\0\\0D\0e\0v\0i\0c\0e\0\\0H\0a\0r\0d\0d\0i\0s\0k\0V\0o\0l\0u\0m\0e\01\0", ) , ) == 0x0
 02699   896   NtClose  (160, ... ) == 0x0
 02700   896   NtQueryInformationFile  (-1, 454640, 4, Ea, ... ) == STATUS_OBJECT_TYPE_MISMATCH
 02701   896   NtCreateFile  (0x100080, {24, 0, 0x40, 0, 454592,  (0x100080, {24, 0, 0x40, 0, 454592, "\??\MountPointManager"}, 0x0, 128, 3, 1, 96, 0, 0, ... 160, {status=0x0, info=0}, ) }, 0x0, 128, 3, 1, 96, 0, 0, ... 160, {status=0x0, info=0}, ) == 0x0
 02702   896   NtDeviceIoControlFile  (160, 0, 0x0, 0x0, 0x6d0008,  (160, 0, 0x0, 0x0, 0x6d0008, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\30\0\0\0.\0\0\0\\0D\0e\0v\0i\0c\0e\0\\0H\0a\0r\0d\0d\0i\0s\0k\0V\0o\0l\0u\0m\0e\01\0", 70, 32, ... , 70, 32, ...
 02703   896   NtOpenFile  (0x80, {24, 0, 0x200, 0, 0,  (0x80, {24, 0, 0x200, 0, 0, "\Device\HarddiskVolume1"}, 0, 64, ... -2147481368, {status=0x0, info=0}, ) }, 0, 64, ... -2147481368, {status=0x0, info=0}, ) == 0x0
 02704   896   NtClose  (-2147481368, ... ) == 0x0
 02702   896   NtDeviceIoControlFile  ... ) == STATUS_BUFFER_OVERFLOW
 02705   896   NtDeviceIoControlFile  (160, 0, 0x0, 0x0, 0x6d0008,  (160, 0, 0x0, 0x0, 0x6d0008, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\30\0\0\0.\0\0\0\\0D\0e\0v\0i\0c\0e\0\\0H\0a\0r\0d\0d\0i\0s\0k\0V\0o\0l\0u\0m\0e\01\0", 70, 238, ... , 70, 238, ...
 02706   896   NtOpenFile  (0x80, {24, 0, 0x200, 0, 0,  (0x80, {24, 0, 0x200, 0, 0, "\Device\HarddiskVolume1"}, 0, 64, ... -2147481368, {status=0x0, info=0}, ) }, 0, 64, ... -2147481368, {status=0x0, info=0}, ) == 0x0
 02707   896   NtClose  (-2147481368, ... ) == 0x0
 02705   896   NtDeviceIoControlFile  ... {status=0x0, info=238},  ... {status=0x0, info=238}, "\356\0\0\0\2\0\0\0r\0\0\0`\0\0\08\0\0\0\14\0\0\0D\0\0\0.\0v\0\322\0\0\0\34\0\\08\0\0\0\14\0d\0D\0\0\0.\0k\0\310\24\310\24\0~\0\0\0\0\0\0\\0D\0e\0v\0i\0c\0e\0\\0H\0a\0r\0d\0d\0i\0s\0k\0V\0o\0l\0u\0m\0e\01\0\\0?\0?\0\\0V\0o\0l\0u\0m\0e\0{\0a\0c\05\03\0e\07\0d\03\0-\0b\09\06\0f\0-\01\01\0d\0b\0-\0a\04\08\08\0-\08\00\06\0d\06\01\07\02\06\09\06\0f\0}\0\\0D\0o\0s\0D\0e\0v\0i\0c\0e\0s\0\\0C\0:\0", ) , ) == 0x0
 02708   896   NtClose  (160, ... ) == 0x0
 02709   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02710   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\System\CurrentControlSet\Control\ComputerName"}, ... 160, ) }, ... 160, ) == 0x0
 02711   896   NtOpenKey  (0x20019, {24, 160, 0x40, 0, 0,  (0x20019, {24, 160, 0x40, 0, 0, "ActiveComputerName"}, ... 164, ) }, ... 164, ) == 0x0
 02712   896   NtQueryValueKey  (164,  (164, "ComputerName", Full, 108, ... TitleIdx=0, Type=1, Name="ComputerName", Data="V\0I\0R\0T\0U\0A\0L\0\0\0"}, 60, ) , Full, 108, ... TitleIdx=0, Type=1, Name= (164, "ComputerName", Full, 108, ... TitleIdx=0, Type=1, Name="ComputerName", Data="V\0I\0R\0T\0U\0A\0L\0\0\0"}, 60, ) , Data= (164, "ComputerName", Full, 108, ... TitleIdx=0, Type=1, Name="ComputerName", Data="V\0I\0R\0T\0U\0A\0L\0\0\0"}, 60, ) }, 60, ) == 0x0
 02713   896   NtClose  (164, ... ) == 0x0
 02714   896   NtClose  (160, ... ) == 0x0
 02715   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters"}, ... 160, ) }, ... 160, ) == 0x0
 02716   896   NtQueryValueKey  (160,  (160, "Hostname", Full, 128, ... TitleIdx=0, Type=1, Name="Hostname", Data="v\0i\0r\0t\0u\0a\0l\0\0\0"}, 52, ) , Full, 128, ... TitleIdx=0, Type=1, Name= (160, "Hostname", Full, 128, ... TitleIdx=0, Type=1, Name="Hostname", Data="v\0i\0r\0t\0u\0a\0l\0\0\0"}, 52, ) , Data= (160, "Hostname", Full, 128, ... TitleIdx=0, Type=1, Name="Hostname", Data="v\0i\0r\0t\0u\0a\0l\0\0\0"}, 52, ) }, 52, ) == 0x0
 02717   896   NtClose  (160, ... ) == 0x0
 02718   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\System\DNSclient"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02719   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters"}, ... 160, ) }, ... 160, ) == 0x0
 02720   896   NtQueryValueKey  (160,  (160, "Domain", Full, 128, ... TitleIdx=0, Type=1, Name="Domain", Data="\0\0"}, 34, ) , Full, 128, ... TitleIdx=0, Type=1, Name= (160, "Domain", Full, 128, ... TitleIdx=0, Type=1, Name="Domain", Data="\0\0"}, 34, ) , Data= (160, "Domain", Full, 128, ... TitleIdx=0, Type=1, Name="Domain", Data="\0\0"}, 34, ) }, 34, ) == 0x0
 02721   896   NtClose  (160, ... ) == 0x0
 02722   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 02723   896   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "Software\Microsoft\Rpc\PagedBuffers"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02724   896   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "Software\Microsoft\Rpc"}, ... 160, ) }, ... 160, ) == 0x0
 02725   896   NtQueryValueKey  (160,  (160, "MaxRpcSize", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02726   896   NtClose  (160, ... ) == 0x0
 02727   896   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\packed.exe\RpcThreadPoolThrottle"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02728   896   NtCreateEvent  (0x1f0003, 0x0, 1, 0, ... 160, ) == 0x0
 02729   896   NtCreateEvent  (0x1f0003, 0x0, 1, 0, ... 164, ) == 0x0
 02730   896   NtQuerySystemTime  (... {1421485414, 29929616}, ) == 0x0
 02731   896   NtCreateEvent  (0x1f0003, 0x0, 0, 0, ... 168, ) == 0x0
 02732   896   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "Software\Policies\Microsoft\Windows NT\Rpc"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02733   896   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 0x0, ) == 0x0
 02734   896   NtQueryInformationProcess  (-1, QuotaLimits, 32, ... {process info, class 1, size 32}, 0x0, ) == 0x0
 02735   896   NtQueryInformationProcess  (-1, VmCounters, 44, ... {process info, class 3, size 44}, 0x0, ) == 0x0
 02736   896   NtCreateEvent  (0x1f0003, 0x0, 0, 0, ... 172, ) == 0x0
 02737   896   NtDuplicateObject  (-1, -2, -1, 0x0, 0, 2, ... 176, ) == 0x0
 02738   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\System\CurrentControlSet\Control\ComputerName"}, ... 180, ) }, ... 180, ) == 0x0
 02739   896   NtOpenKey  (0x20019, {24, 180, 0x40, 0, 0,  (0x20019, {24, 180, 0x40, 0, 0, "ActiveComputerName"}, ... 184, ) }, ... 184, ) == 0x0
 02740   896   NtQueryValueKey  (184,  (184, "ComputerName", Full, 108, ... TitleIdx=0, Type=1, Name="ComputerName", Data="V\0I\0R\0T\0U\0A\0L\0\0\0"}, 60, ) , Full, 108, ... TitleIdx=0, Type=1, Name= (184, "ComputerName", Full, 108, ... TitleIdx=0, Type=1, Name="ComputerName", Data="V\0I\0R\0T\0U\0A\0L\0\0\0"}, 60, ) , Data= (184, "ComputerName", Full, 108, ... TitleIdx=0, Type=1, Name="ComputerName", Data="V\0I\0R\0T\0U\0A\0L\0\0\0"}, 60, ) }, 60, ) == 0x0
 02741   896   NtClose  (184, ... ) == 0x0
 02742   896   NtClose  (180, ... ) == 0x0
 02743   896   NtCreateIoCompletion  (0x1f0003, 0x0, 0, ... 180, ) == 0x0
 02744   896   NtCreateIoCompletion  (0x1f0003, 0x0, -1, ... 184, ) == 0x0
 02745   896   NtDuplicateObject  (-1, 180, -1, 0x0, 0, 2, ... 188, ) == 0x0
 02746   896   NtOpenThreadToken  (-2, 0xc, 1, ... ) == STATUS_NO_TOKEN
 02747   896   NtCreateEvent  (0x1f0003, 0x0, 1, 0, ... 192, ) == 0x0
 02748   896   NtOpenThreadToken  (-2, 0xc, 1, ... ) == STATUS_NO_TOKEN
 02749   896   NtSetInformationThread  (-2, ImpersonationToken, {ImpToken=0,}, 4, ... ) == 0x0
 02750   896   NtCreateFile  (0xc0100080, {24, 0, 0x40, 0, 454512,  (0xc0100080, {24, 0, 0x40, 0, 454512, "\??\PIPE\lsarpc"}, 0x0, 0, 3, 1, 64, 0, 0, ... 196, {status=0x0, info=1}, ) }, 0x0, 0, 3, 1, 64, 0, 0, ... 196, {status=0x0, info=1}, ) == 0x0
 02751   896   NtSetInformationFile  (196, 454568, 8, Pipe, ... {status=0x0, info=0}, ) == 0x0
 02752   896   NtSetInformationFile  (196, 454556, 8, Completion, ... {status=0x0, info=0}, ) == 0x0
 02753   896   NtSetInformationThread  (-2, ImpersonationToken, {ImpToken=0,}, 4, ... ) == 0x0
 02754   896   NtWriteFile  (196, 173, 0, 0,  (196, 173, 0, 0, "\5\0\13\3\20\0\0\0H\0\0\0\1\0\0\0\270\20\270\20\0\0\0\0\1\0\0\0\0\0\1\0\210\324\201\306P\330\320\21\214R\0\300O\331\17~\1\0\0\0\4]\210\212\353\34\311\21\237\350\10\0+\20H`\2\0\0\0", 72, {0, 0}, 0, ... {status=0x0, info=72}, ) , 72, {0, 0}, 0, ... {status=0x0, info=72}, ) == 0x0
 02755   896   NtReadFile  (196, 173, 0, 0, 1024, {0, 0}, 0, ... {status=0x0, info=68},  (196, 173, 0, 0, 1024, {0, 0}, 0, ... {status=0x0, info=68}, "\5\0\14\3\20\0\0\0D\0\0\0\1\0\0\0\270\20\270\20k+\0\0\14\0\PIPE\lsass\0\0\0\1\0\0\0\0\0\0\0\4]\210\212\353\34\311\21\237\350\10\0+\20H`\2\0\0\0", ) , ) == 0x0
 02756   896   NtFsControlFile  (196, 173, 0x0, 0x0, 0x11c017,  (196, 173, 0x0, 0x0, 0x11c017, "\5\0\0\3\20\0\0\0l\0\0\0\1\0\0\0T\0\0\0\0\0\5\0!\0\0\0\0\0\0\0!\0\0\0c\0:\0\\0e\0d\00\0e\05\0e\02\05\00\07\0d\06\07\06\08\0a\09\07\02\0a\0e\01\0c\00\07\09\04\0a\0\\0\0\0\0\0\0\0\0\0", 108, 1024, ... {status=0x103, info=68}, "\5\0\14\3\20\0\0\0D\0\0\0\1\0\0\0\270\20\270\20k+\0\0\14\0\PIPE\lsass\0\0\0\1\0\0\0\0\0\0\0\4]\210\212\353\34\311\21\237\350\10\0+\20H`\2\0\0\0", ) , 108, 1024, ... {status=0x103, info=68},  (196, 173, 0x0, 0x0, 0x11c017, "\5\0\0\3\20\0\0\0l\0\0\0\1\0\0\0T\0\0\0\0\0\5\0!\0\0\0\0\0\0\0!\0\0\0c\0:\0\\0e\0d\00\0e\05\0e\02\05\00\07\0d\06\07\06\08\0a\09\07\02\0a\0e\01\0c\00\07\09\04\0a\0\\0\0\0\0\0\0\0\0\0", 108, 1024, ... {status=0x103, info=68}, "\5\0\14\3\20\0\0\0D\0\0\0\1\0\0\0\270\20\270\20k+\0\0\14\0\PIPE\lsass\0\0\0\1\0\0\0\0\0\0\0\4]\210\212\353\34\311\21\237\350\10\0+\20H`\2\0\0\0", ) , ) == 0x103
 02757   896   NtWaitForSingleObject  (173, 0, 0x0, ... ) == 0x0
 02758   896   NtClose  (192, ... ) == 0x0
 02759   896   NtClose  (196, ... ) == 0x0
 02760   896   NtQueryDefaultLocale  (1, 458296, ... ) == 0x0
 02761   896   NtQueryDefaultLocale  (1, 458296, ... ) == 0x0
 02762   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 02763   896   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 02764   896   NtUserMessageCall  (0xc0144, WM_SETTEXT, 0x0, 0x10079e0, 0, 688, 1, ...
 02022  2016   NtUserWaitMessage  ... ) == 0x1
 02765  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 02766  2016   NtUserDefSetText  (786756, 8387700, ... ) == 0x1
 02765  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112e0, {0, 0}}, ) == 0x0
 02767  2016   NtUserWaitMessage  (...
 02764   896   NtUserMessageCall  ... ) == 0x1
 02768   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 02769   896   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 02770   896   NtUserMessageCall  (0xa0132, WM_SETTEXT, 0x0, 0x1007660, 0, 688, 1, ...
 02767  2016   NtUserWaitMessage  ... ) == 0x1
 02771  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 02772  2016   NtUserDefSetText  (655666, 8387704, ... ) == 0x1
 02771  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112e0, {0, 0}}, ) == 0x0
 02773  2016   NtUserWaitMessage  (...
 02770   896   NtUserMessageCall  ... ) == 0x1
 02774   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 02775   896   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 02776   896   NtUserMessageCall  (0xb0116, WM_SETTEXT, 0x0, 0x10078c0, 0, 688, 1, ...
 02773  2016   NtUserWaitMessage  ... ) == 0x1
 02777  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 02778  2016   NtUserDefSetText  (721174, 8387684, ... ) == 0x1
 02777  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112e0, {0, 0}}, ) == 0x0
 02779  2016   NtUserWaitMessage  (...
 02776   896   NtUserMessageCall  ... ) == 0x1
 02780   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 02781   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 02782   896   NtUserMessageCall  (0x100100, WM_USER+0x2, 0x0, 0x0, 0, 688, 1, ...
 02779  2016   NtUserWaitMessage  ... ) == 0x1
 02783  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 02784  2016   NtUserRedrawWindow  (1048832, 0, 0, 261, ... ) == 0x1
 02783  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112e0, {0, 0}}, ) == 0x0
 02785  2016   NtUserWaitMessage  (...
 02782   896   NtUserMessageCall  ... ) == 0xe
 02786   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 02787   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 02788   896   NtUserMessageCall  (0x100100, WM_USER+0x1, 0x0, 0xc0000, 0, 688, 1, ...
 02785  2016   NtUserWaitMessage  ... ) == 0x1
 02789  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 02790  2016   NtUserRedrawWindow  (1048832, 0, 0, 5, ... ) == 0x1
 02789  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112e0, {0, 0}}, ) == 0x0
 02791  2016   NtUserWaitMessage  (...
 02788   896   NtUserMessageCall  ... ) == 0xe0000
 02792   896   NtUserShowWindow  (590128, 5, ...
 02791  2016   NtUserWaitMessage  ... ) == 0x1
 02793  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112e0, {0, 0}}, ) == 0x0
 02794  2016   NtUserWaitMessage  (... ) == 0x1
 02795  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112e0, {0, 0}}, ) == 0x0
 02796  2016   NtUserWaitMessage  (... ) == 0x1
 02797  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0x90130, WM_PAINT, 0x0, 0x0, 0x131139c, {0, 0}}, ) == 0x1
 02798  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 02799  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 02800  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 02801  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 02802  2016   NtUserDispatchMessage  ({0x90130, WM_PAINT, 0x0, 0x0, 0x131139c, {0, 0}}, ...
 02803  2016   NtUserMessageCall  (0x90130, WM_PAINT, 0x0, 0x0, 0, 670, 1, ...
 02804  2016   NtUserInternalGetWindowText  (0x90130, 260, ...  (0x90130, 260, ... "Extracting Files", ) , ) == 0x10
 02805   896   NtUserValidateHandleSecure  (590128, ...
 02806  2016   NtUserGetWindowDC  (590128, ... ) == 0x1010053
 02807  2016   NtGdiGetRandomRgn  (16842835, -922483079, 1, ... ) == 0x0
 02808  2016   NtGdiIntersectClipRect  (16842835, 0, 0, 0, 0, ... ) == 0x3
 02809  2016   NtGdiGetCharSet  (16842835, ... ) == 0x4e4
 02810  2016   NtGdiExtSelectClipRgn  (16842835, 0, 5, ... ) == 0x2
 02811  2016   NtUserCallOneParam  (16842835, 57, ... ) == 0x1
 02805   896   NtUserValidateHandleSecure  ... ) == 0x1
 02812   896   NtUserGetThreadState  (1, ... ) == 0x0
 02813   896   NtUserGetForegroundWindow  (... ) == 0xf0104
 02814   896   NtUserValidateHandleSecure  (983300, ... ) == 0x1
 02815   896   NtUserQueryWindow  (983300, 0, ... ) == 0x2fc
 02816   896   NtUserQueryWindow  (983300, 1, ... ) == 0x544
 02817   896   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ...
 02818  2016   NtUserCalcMenuBar  (590128, 3, 3, 29, 2501400, ... ) == 0x0
 02819  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 8385872, 690, 0, ...
 02820  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 0, 670, 1, ... ) == 0x0
 02819  2016   NtUserMessageCall  ... ) == 0x0
 02821  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 8385872, 690, 0, ...
 02822  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 0, 670, 1, ... ) == 0x0
 02821  2016   NtUserMessageCall  ... ) == 0x0
 02823  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 8385872, 690, 0, ...
 02824  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 0, 670, 1, ...
 02817   896   NtWaitForSingleObject  ... ) == 0x0
 02825   896   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 02826   896   NtUserGetThreadState  (0, ... ) == 0x0
 02827   896   NtUserGetForegroundWindow  (... ) == 0xf0104
 02828   896   NtUserValidateHandleSecure  (983300, ... ) == 0x1
 02829   896   NtUserValidateHandleSecure  (983300, ... ) == 0x1
 02824  2016   NtUserMessageCall  ... ) == 0x0
 02823  2016   NtUserMessageCall  ... ) == 0x0
 02830  2016   NtUserGetTitleBarInfo  (590128, 8386504, ... ) == 0x1
 02831  2016   NtUserGetDCEx  (590128, 0, 66561, ... ) == 0x1010052
 02832  2016   NtGdiExcludeClipRect  (16842834, 3, 29, 333, 127, ... ) == 0x3
 02833  2016   NtGdiDrawStream  (16842834, 96, 8385988, ... ) == 0x1
 02834  2016   NtGdiDrawStream  (16842834, 96, 8385988, ... ) == 0x1
 02835   896   NtUserQueryWindow  (983300, 0, ... ) == 0x2fc
 02836   896   NtUserQueryWindow  (983300, 1, ... ) == 0x544
 02837   896   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ... ) == 0x0
 02838   896   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 02839   896   NtUserCallOneParam  (1348, 40, ... ) == 0x4090409
 02840   896   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ...
 02841  2016   NtGdiDrawStream  (16842834, 96, 8385988, ... ) == 0x1
 02842  2016   NtGdiCreateCompatibleBitmap  (16842834, 336, 29, ... ) == 0x5605062b
 02843  2016   NtGdiCreateCompatibleDC  (16842834, ... ) == 0xb30106d8
 02844  2016   NtGdiSelectBitmap  (-1291778344, 1443169835, ... ) == 0x185000f
 02845  2016   NtGdiDrawStream  (-1291778344, 96, 8385880, ... ) == 0x1
 02846  2016   NtGdiDrawStream  (-1291778344, 96, 8385836, ... ) == 0x1
 02840   896   NtWaitForSingleObject  ... ) == 0x0
 02847   896   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 02848   896   NtUserGetKeyboardLayoutList  (0, 0, ... ) == 0x1
 02849   896   NtUserGetKeyboardLayoutList  (1, 554816, ... ) == 0x1
 02850   896   NtWaitForSingleObject  (88, 0, {-50000000, -1}, ... ) == 0x0
 02851   896   NtOpenSection  (0xf001f, {24, 48, 0x0, 0, 0,  (0xf001f, {24, 48, 0x0, 0, 0, "CTF.AsmListCache.FMPDefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, ... }, ...
 02852  2016   NtGdiDrawStream  (-1291778344, 96, 8385836, ... ) == 0x1
 02853  2016   NtUserInternalGetWindowText  (0x90130, 260, ...  (0x90130, 260, ... "Extracting Files", ) , ) == 0x10
 02854  2016   NtGdiGetRandomRgn  (-1291778344, -905705863, 1, ... ) == 0x0
 02855  2016   NtGdiIntersectClipRect  (-1291778344, 8, 8, 308, 25, ... ) == 0x3
 02856  2016   NtGdiExtSelectClipRgn  (-1291778344, 0, 5, ... ) == 0x2
 02857  2016   NtGdiGetRandomRgn  (-1291778344, -888928647, 1, ... ) == 0x0
 02851   896   NtOpenSection  ... 196, ) == 0x0
 02858   896   NtMapViewOfSection  (196, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 4, ... (0x810000), {0, 0}, 4096, ) == 0x0
 02859   896   NtFlushVirtualMemory  (-1, (0x810000), 8, ... ) == STATUS_NOT_MAPPED_DATA
 02860   896   NtQueryInstallUILanguage  (2089305898, ... ) == 0x0
 02861   896   NtQueryDefaultUILanguage  (455720, ...
 02862   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 02863   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... -2147481368, ) == 0x0
 02864  2016   NtGdiIntersectClipRect  (-1291778344, 7, 7, 307, 25, ... ) == 0x3
 02865  2016   NtGdiExtSelectClipRgn  (-1291778344, 0, 5, ... ) == 0x2
 02866  2016   NtGdiBitBlt  (16842834, 0, 0, 336, 29, -1291778344, 0, 0, 13369376, -1, 0, ... ) == 0x1
 02867  2016   NtGdiSelectBitmap  (-1291778344, 25493519, ... ) == 0x5605062b
 02868  2016   NtGdiDeleteObjectApp  (-1291778344, ... ) == 0x1
 02869  2016   NtGdiDeleteObjectApp  (1443169835, ... ) == 0x1
 02870   896   NtQueryInformationToken  (-2147481368, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 02871   896   NtClose  (-2147481368, ... ) == 0x0
 02872   896   NtOpenKey  (0x2000000, {24, 0, 0x640, 0, 0,  (0x2000000, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... -2147481368, ) }, ... -2147481368, ) == 0x0
 02873   896   NtOpenKey  (0x80000000, {24, -2147481368, 0x240, 0, 0,  (0x80000000, {24, -2147481368, 0x240, 0, 0, "Software\Policies\Microsoft\Control Panel\Desktop"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02874   896   NtOpenKey  (0x80000000, {24, -2147481368, 0x640, 0, 0,  (0x80000000, {24, -2147481368, 0x640, 0, 0, "Control Panel\Desktop"}, ... -2147481452, ) }, ... -2147481452, ) == 0x0
 02875   896   NtQueryValueKey  (-2147481452,  (-2147481452, "MultiUILanguageId", Partial, 256, ... ) , Partial, 256, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02876  2016   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 02877  2016   NtUserFillWindow  (590128, 590128, 16842832, 4, ...
 02878  2016   NtUserGetAncestor  (590128, 1, ... ) == 0x10014
 02879  2016   NtUserValidateHandleSecure  (65556, ... ) == 0x1
 02880  2016   NtUserGetAncestor  (65556, 1, ... ) == 0x0
 02877  2016   NtUserFillWindow  ... ) == 0x1
 02803  2016   NtUserMessageCall  ... ) == 0x0
 02802  2016   NtUserDispatchMessage  ... ) == 0x0
 02881   896   NtClose  (-2147481452, ... ) == 0x0
 02882   896   NtClose  (-2147481368, ... ) == 0x0
 02861   896   NtQueryDefaultUILanguage  ... ) == 0x0
 02883   896   NtReleaseMutant  (88, ... 0x0, ) == 0x0
 02884   896   NtUnmapViewOfSection  (-1, 0x810000, ... ) == 0x0
 02885   896   NtClose  (196, ... ) == 0x0
 02886   896   NtReleaseMutant  (88, ...
 02887  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0xc0144, WM_PAINT, 0x0, 0x0, 0x13113ab, {0, 0}}, ) == 0x1
 02888  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 02889  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 02890  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 02891  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 02892  2016   NtUserDispatchMessage  ({0xc0144, WM_PAINT, 0x0, 0x0, 0x13113ab, {0, 0}}, ...
 02893  2016   NtUserBeginPaint  (0xc0144, 8387804, ...
 02894   896   NtContinue  (-135751860, 0, ...
 02886   896   NtReleaseMutant  ... ) == STATUS_MUTANT_NOT_OWNED
 02895   896   NtUserCallOneParam  (0, 40, ... ) == 0x4090409
 02896   896   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ... ) == 0x0
 02897   896   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 02898   896   NtUserValidateHandleSecure  (0, ... ) == 0x0
 02899   896   NtUserCreateWindowEx  (-2147483648, 457756, 456520, "-2013265920, 0, 0, 0, 0, -3, 0, 1953628160, 0, 1073742848, 0, ...
 02900  2016   NtUserMessageCall  (0xc0144, WM_NCPAINT, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 02893  2016   NtUserBeginPaint  ... ) == 0x1010050
 02901  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 87, 13, ... ) == 0x3
 02902  2016   NtUserGetControlBrush  (0xc0144, 16842832, 312, ... ) == 0x1100056
 02903  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 02904  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 02905  2016   NtUserEndPaint  (0xc0144, 8387804, ...
 02906   896   NtUserSetWindowsHookEx  (1953628160, 455464, 896, 2, 1953694283, 2, ... ) == 0x5b01d7
 02907   896   NtUserSetWindowsHookEx  (1953628160, 455464, 896, 7, 1953693577, 2, ... ) == 0x1e01f1
 02908   896   NtUserMessageCall  (0x70148, WM_NCCREATE, 0x0, 0x6f6a8, 0, 670, 1, ... ) == 0x1
 02909   896   NtUserMessageCall  (0x70148, WM_NCCALCSIZE, 0x0, 0x6f6e8, 0, 670, 1, ... ) == 0x0
 02910   896   NtUserSetProp  (459080, 43288, -1, ... ) == 0x1
 02899   896   NtUserCreateWindowEx  ... ) == 0x70148
 02911   896   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ...
 02905  2016   NtUserEndPaint  ... ) == 0x1
 02892  2016   NtUserDispatchMessage  ... ) == 0x0
 02912  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0xa0132, WM_PAINT, 0x0, 0x0, 0x13113bb, {0, 0}}, ) == 0x1
 02913  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 02914  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 02915  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 02916  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 02911   896   NtWaitForSingleObject  ... ) == 0x0
 02917   896   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 02918   896   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ... ) == 0x0
 02919   896   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 02920   896   NtWaitForSingleObject  (80, 0, {-50000000, -1}, ... ) == 0x0
 02921  2016   NtUserDispatchMessage  ({0xa0132, WM_PAINT, 0x0, 0x0, 0x13113bb, {0, 0}}, ...
 02922  2016   NtUserBeginPaint  (0xa0132, 8387804, ...
 02923  2016   NtUserMessageCall  (0xa0132, WM_NCPAINT, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 02922  2016   NtUserBeginPaint  ... ) == 0x1010050
 02924  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 87, 13, ... ) == 0x3
 02925  2016   NtUserGetControlBrush  (0xa0132, 16842832, 312, ... ) == 0x1100056
 02926  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 02927  2016   NtGdiGetCharSet  (16842832, ...
 02928   896   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ... ) == 0x0
 02929   896   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 02930   896   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ... ) == 0x0
 02931   896   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 02932   896   NtUserPostThreadMessage  (1748, 49314, 0, 0, ... ) == 0x1
 02927  2016   NtGdiGetCharSet  ... ) == 0x4e4
 02933  2016   NtUserEndPaint  (0xa0132, 8387804, ... ) == 0x1
 02921  2016   NtUserDispatchMessage  ... ) == 0x0
 02934  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0xa0142, WM_PAINT, 0x0, 0x0, 0x13113bb, {0, 0}}, ) == 0x1
 02935  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 02936  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 02937  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 02938   896   NtUserPostThreadMessage  (416, 49314, 0, 0, ... ) == 0x1
 02939   896   NtReleaseMutant  (80, ... 0x0, ) == 0x0
 02940   896   NtWaitForSingleObject  (80, 0, {-50000000, -1}, ... ) == 0x0
 02941   896   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ... ) == 0x0
 02942   896   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 02943  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 02944  2016   NtUserDispatchMessage  ({0xa0142, WM_PAINT, 0x0, 0x0, 0x13113bb, {0, 0}}, ...
 02945  2016   NtUserBeginPaint  (0xa0142, 8387804, ...
 02946  2016   NtUserMessageCall  (0xa0142, WM_NCPAINT, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 02945  2016   NtUserBeginPaint  ... ) == 0x1010050
 02947  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 02948  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 02949  2016   NtUserValidateHandleSecure  (590128, ...
 02950   896   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ... ) == 0x0
 02951   896   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 02952   896   NtUserPostThreadMessage  (1748, 49323, 2, 67699721, ... ) == 0x1
 02953   896   NtUserPostThreadMessage  (416, 49323, 2, 67699721, ... ) == 0x1
 02954   896   NtReleaseMutant  (80, ... 0x0, ) == 0x0
 02949  2016   NtUserValidateHandleSecure  ... ) == 0x1
 02955  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 02956  2016   NtUserEndPaint  (0xa0142, 8387804, ... ) == 0x1
 02944  2016   NtUserDispatchMessage  ... ) == 0x0
 02957  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 02958  2016   NtUserInternalGetWindowText  (0x90130, 260, ...  (0x90130, 260, ... "Extracting Files", ) , ) == 0x10
 02959  2016   NtUserGetWindowDC  (590128, ... ) == 0x1010052
 02960  2016   NtGdiGetRandomRgn  (16842834, -872151431, 1, ... ) == 0x0
 02961  2016   NtGdiIntersectClipRect  (16842834, 0, 0, 0, 0, ... ) == 0x3
 02962  2016   NtGdiGetCharSet  (16842834, ... ) == 0x4e4
 02963  2016   NtGdiExtSelectClipRgn  (16842834, 0, 5, ... ) == 0x2
 02964  2016   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 02965  2016   NtUserCalcMenuBar  (590128, 3, 3, 29, 2501400, ... ) == 0x0
 02966  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 8386792, 690, 0, ...
 02967  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 0, 670, 1, ... ) == 0x0
 02966  2016   NtUserMessageCall  ... ) == 0x0
 02968  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 8386792, 690, 0, ...
 02969  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 0, 670, 1, ... ) == 0x0
 02968  2016   NtUserMessageCall  ... ) == 0x0
 02970  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 8386792, 690, 0, ...
 02971  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 02970  2016   NtUserMessageCall  ... ) == 0x0
 02972  2016   NtUserGetTitleBarInfo  (590128, 8387424, ... ) == 0x1
 02973  2016   NtUserBuildHwndList  (0, 590128, 1, 0, 64, ... (0xc0144, 0xa0132, 0xa0142, 0xb0116, 0x100100, 0x1, ), 6, ) == 0x0
 02974  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 02975  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 02976  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 02977  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 02978  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 02979  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 02980  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 02981  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 02982  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 02983  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 02984  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 02985  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 02986  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 02987  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 02988  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 02792   896   NtUserShowWindow  ... ) == 0x0
 02989   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 458272,  (0x80100080, {24, 0, 0x40, 0, 458272, "\??\u:\work\packed.exe"}, 0x0, 0, 3, 1, 100, 0, 0, ... 196, {status=0x0, info=1}, ) }, 0x0, 0, 3, 1, 100, 0, 0, ... 196, {status=0x0, info=1}, ) == 0x0
 02990   896   NtSetInformationFile  (196, 458364, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 02957  2016   NtUserPeekMessage  ... {0xb0116, WM_PAINT, 0x0, 0x0, 0x13113bb, {0, 0}}, ) == 0x1
 02991  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 02992  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 02993  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 02994  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 02995   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 458272,  (0x80100080, {24, 0, 0x40, 0, 458272, "\??\u:\work\packed.exe"}, 0x0, 0, 3, 1, 100, 0, 0, ... 192, {status=0x0, info=1}, ) }, 0x0, 0, 3, 1, 100, 0, 0, ... 192, {status=0x0, info=1}, ) == 0x0
 02996   896   NtSetInformationFile  (192, 458364, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 02997   896   NtReadFile  (196, 0, 0, 0, 36, 0x0, 0, ...
 02998  2016   NtUserDispatchMessage  ({0xb0116, WM_PAINT, 0x0, 0x0, 0x13113bb, {0, 0}}, ...
 02999  2016   NtUserBeginPaint  (0xb0116, 8387804, ...
 03000  2016   NtUserMessageCall  (0xb0116, WM_NCPAINT, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 02999  2016   NtUserBeginPaint  ... ) == 0x1010050
 03001  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03002  2016   NtUserGetControlBrush  (0xb0116, 16842832, 312, ... ) == 0x1100056
 03003  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03004  2016   NtGdiGetCharSet  (16842832, ...
 02997   896   NtReadFile  ... {status=0x0, info=36},  ... {status=0x0, info=36}, "MSCF\0\0\0\0\364\202\15\0\0\0\0\0,\0\0\0\0\0\0\0\3\1\1\0\14\0\0\01?\0\0", ) , ) == 0x0
 03005   896   NtQueryInformationFile  (196, 458368, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03006   896   NtSetInformationFile  (196, 458368, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03007   896   NtSetInformationFile  (196, 458368, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03008   896   NtQueryInformationFile  (196, 458424, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03009   896   NtSetInformationFile  (196, 458424, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03004  2016   NtGdiGetCharSet  ... ) == 0x4e4
 03010  2016   NtUserEndPaint  (0xb0116, 8387804, ... ) == 0x1
 02998  2016   NtUserDispatchMessage  ... ) == 0x0
 03011  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13113bb, {0, 0}}, ) == 0x1
 03012  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03013  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 03014  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03015   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "\35\24\0\0\0\0\0\0\0\0o+q\203 \0", ) , ) == 0x0
 03016   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03017   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03018   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ...
 03019  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03020  2016   NtUserDispatchMessage  ({0x100100, WM_PAINT, 0x0, 0x0, 0x13113bb, {0, 0}}, ...
 03021  2016   NtUserBeginPaint  (0x100100, 8387788, ...
 03022  2016   NtUserMessageCall  (0x100100, WM_NCPAINT, 0x1, 0x0, 0, 670, 0, ... ) == 0x0
 03023  2016   NtUserMessageCall  (0x100100, WM_ERASEBKGND, 0x1010053, 0x0, 0, 670, 0, ... ) == 0x1
 03021  2016   NtUserBeginPaint  ... ) == 0x1010053
 03024  2016   NtUserEndPaint  (0x100100, 8387788, ... ) == 0x1
 03020  2016   NtUserDispatchMessage  ... ) == 0x0
 03025  2016   NtUserWaitMessage  (...
 03018   896   NtReadFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "empty.cat\0\20k\16\0\35\24\0\0\0\0\345.\340Q \0ole32.dll\0\20\231\6\0-\177\16\0\0\0\345.\340Q \0rpcrt4.dll\0\20\341\2\0=\30\25\0\0\0\345.\340Q \0rpcss.dll\0\0\32\0\0M\371\27\0\0\0n.\32f \0spmsg.dll\0\0\\1\0M\23\30\0\0\0n.rf \0spuninst.exe\0;\37\0\0Mo\31\0\0\0\345.lS \0update\kb823980.cat\0\0J\0\0\210\216\31\0\0\0n.rf \0update\spcustom.dll\0\0F\6\0\210\330\31\0\0\0n.\34f`\0update\update.exe\0\207\223\0\0\210\36", ) , ) == 0x0
 03026   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03027   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03028   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03029   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8a97c, 0, 688, 1, ...
 03025  2016   NtUserWaitMessage  ... ) == 0x1
 03030  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03031  2016   NtUserDefSetText  (655682, 8387708, ... ) == 0x1
 03032  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 03033  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03034  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03035  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03036  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03037  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03029   896   NtUserMessageCall  ... ) == 0x1
 03038   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\ed0e5e2507d6768a972ae1c0794a\empty.cat"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 03039   896   NtClose  (-2147481368, ... ) == 0x0
 03038   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 03040   896   NtSetInformationFile  (192, 458372, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03041   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ...
 03030  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13113bb, {0, 0}}, ) == 0x0
 03042  2016   NtUserWaitMessage  (...
 03041   896   NtReadFile  ... {status=0x0, info=8},  ... {status=0x0, info=8}, "\232\1\0\0B\0\3\25", ) , ) == 0x0
 03043   896   NtSetInformationFile  (192, 458372, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03044   896   NtAllocateVirtualMemory  (-1, 655360, 0, 40960, 4096, 4, ... 655360, 40960, ) == 0x0
 03045   896   NtAllocateVirtualMemory  (-1, 696320, 0, 36864, 4096, 4, ... 696320, 36864, ) == 0x0
 03046   896   NtAllocateVirtualMemory  (-1, 0, 0, 2097448, 4096, 4, ... 9764864, 2101248, ) == 0x0
 03047   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\250&\266o\3426\0\200", ) , ) == 0x0
 03048   896   NtReadFile  (192, 0, 0, 0, 14050, 0x0, 0, ... {status=0x0, info=14050},  (192, 0, 0, 0, 14050, 0x0, 0, ... {status=0x0, info=14050}, "[\200\200\215\17 7\377\231\216\0`\6\05!\0`\0\0\375O{\357\336{\336\336{\3333\273\3670\341F\330\236H\270\314f\206\305t\233\234j\330\330\326\346\334\330.$\242\20$I]\270$\4$\251\224\264$I'\225'\311$\311I\222\206k\40#Cg4\0w`\7\372\373\37\245>\337\213Z\363\345\316`M\34nB\263\244\314{\361\324\323^\253\36w\317\276\15\222A\222\316\365n\1\352\216\322\333f\267\321+\275\335\232A\234#\235\357&![\2417\205![V\225\223>\10\244T@9\2514\22\310\344\246Qe\34\302=\206Iu\324\1\307\333O\242`\267\223\3760O+\357\177\352\375\0 4\0D3`DP\6\356\336\373\355\262{\357\372fs\311d$/\226uK\233\313[UrI5PU\3000\11\2(\20\200\20\2\11\2\21?\353\25\377\213\367\22\21\374\252\237\306\251%L\253\3115\14\275\216\2414\266\222\37\215\322\206`|B\251i\213\316\3075\30\361\335\244T\17\242/\325_:s\262\13\5\252\224\215\313\264\224.U?:\320m7\16\276\360S8\235B1\337\372|\25{z\271^uM\350\222\363\231\226B\245\2320\336\177\213\356\325\222\321\275^nW~>D\250\235\2327"\232G\321\324>k}QH\12]\374x8r\206p\34B]\210\327!g\374\2722\24\237\270#\335\32[\10\371 =\45\227H\12\307O{\3029\3368\10D\270\216\304-\361<\10\2237\204]\32[;\215\26\2648\357U\2513\2\2736\236e\236P\310\357\261\226\343\312\6UXV\364\331\371\337\236\217\367!6\370-\263O\307\314\306\237\266\227\253\244k@msmd8\244e\36\245s:\272\236\236\27258\273\322\271\343\226\325\7\3174\24S\277\223PB", ) \232G\321\324>k}QH\12]\374x8r\206p\34B]\210\327!g\374\2722\24\237\270#\335\32[\10\371 =\45\227H\12\307O{\3029\3368\10D\270\216\304-\361<\10\2237\204]\32[;\215\26\2648\357U\2513\2\2736\236e\236P\310\357\261\226\343\312\6UXV\364\331\371\337\236\217\367!6\370-\263O\307\314\306\237\266\227\253\244k@msmd8\244e\36\245s:\272\236\236\27258\273\322\271\343\226\325\7\3174\24S\277\223PB", ) == 0x0
 03049   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "0\202\24\31\6\11*\206H\206\367\15\1\7\2\240\202\24\120\202\24\6\2\1\11\160\14\6\10*\206H\206\367\15\2\5\5\00\201\270\6\11+\6\1\4\1\2027\12\1\240\201\2520\201\2470\14\6\12+\6\1\4\1\2027\14\1\1\4\20q\340\325\17L\247CJ\217\327\12\317-c?{\27\15000526151803Z0\16\6\12+\6\1\4\1\2027\14\1\2\5\0\240f0d0.\6\12+\6\1\4\1\2027\14\2\1\4 0\36\36\14\0S\0p\0A\0t\0t\0r\2\4\20\1\0\1\4\105\01\00\0\0\002\6\12+\6\1\4\1\2027\14\2\1\4$0"\36\14\0O\0S\0A\0t\0t\0r\2\4\20\1\0\1\4\142\0:\05\0.\00\0\0\0\240\202\15w0\202\3\3440\202\3M\240\3\2\1\2\2\21\0\374\244\245\237,\17\300\271\3\2303\33{TT\350\15\6\11*\206H\206\367\15\1\1\4\5\00\201\2361\370\35\6\3U\4\12\23\26VeriSign Trust Network1\270\25\6\3U\4\13\23\16VeriSign, Inc.1,0*\6\3U\4\13\23#VeriSign Time Stamping Service Root1402\6\3U\4\13\23+NO LIABILITY ACCEPTED, (c)97 VeriSign, Inc.0\36\27\15991116000000Z\27\15040106235959Z0\201\2621\270\25\6\3U\4\12\23\16VeriSign, Inc", 5149, 0x0, 0, ... \36\14\0O\0S\0A\0t\0t\0r\2\4\20\1\0\1\4\142\0:\05\0.\00\0\0\0\240\202\15w0\202\3\3440\202\3M\240\3\2\1\2\2\21\0\374\244\245\237,\17\300\271\3\2303\33{TT\350\15\6\11*\206H\206\367\15\1\1\4\5\00\201\2361\370\35\6\3U\4\12\23\26VeriSign Trust Network1\270\25\6\3U\4\13\23\16VeriSign, Inc.1,0*\6\3U\4\13\23#VeriSign Time Stamping Service Root1402\6\3U\4\13\23+NO LIABILITY ACCEPTED, (c)97 VeriSign, Inc.0\36\27\15991116000000Z\27\15040106235959Z0\201\2621\270\25\6\3U\4\12\23\16VeriSign, Inc", 5149, 0x0, 0, ...
 03050   896   NtContinue  (-135750188, 0, ...
 03049   896   NtWriteFile  ... {status=0x0, info=5149}, ) == 0x0
 03051   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 03052   896   NtClose  (200, ... ) == 0x0
 03053   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03054   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03055   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 03042  2016   NtUserWaitMessage  ... ) == 0x1
 03056  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03057  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 03058  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010053
 03059  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 03057  2016   NtUserRedrawWindow  ... ) == 0x1
 03056  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13113bb, {0, 0}}, ) == 0x0
 03060  2016   NtUserWaitMessage  (...
 03055   896   NtUserMessageCall  ... ) == 0x0
 03061   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "\20k\16\0\35\24\0\0\0\0\345.\340Q \0", ) , ) == 0x0
 03062   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03063   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03064   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256},  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "ole32.dll\0\20\231\6\0-\177\16\0\0\0\345.\340Q \0rpcrt4.dll\0\20\341\2\0=\30\25\0\0\0\345.\340Q \0rpcss.dll\0\0\32\0\0M\371\27\0\0\0n.\32f \0spmsg.dll\0\0\\1\0M\23\30\0\0\0n.rf \0spuninst.exe\0;\37\0\0Mo\31\0\0\0\345.lS \0update\kb823980.cat\0\0J\0\0\210\216\31\0\0\0n.rf \0update\spcustom.dll\0\0F\6\0\210\330\31\0\0\0n.\34f`\0update\update.exe\0\207\223\0\0\210\36 \0\0\0\345.\35R \0update\update.in", ) , ) == 0x0
 03065   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03066   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03067   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03068   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8a97c, 0, 688, 1, ...
 03060  2016   NtUserWaitMessage  ... ) == 0x1
 03069  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03070  2016   NtUserDefSetText  (655682, 8387708, ... ) == 0x1
 03071  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 03072  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03073  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03074  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03075  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03076  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03068   896   NtUserMessageCall  ... ) == 0x1
 03077   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\ed0e5e2507d6768a972ae1c0794a\ole32.dll"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 03078   896   NtClose  (-2147481368, ... ) == 0x0
 03077   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 03079   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "MZ\220\0\3\0\0\0\4\0\0\0\377\377\0\0\270\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\310\0\0\0\16\37\272\16\0\264\11\315!\270\1L\315!This program cannot be run in DOS mode.\15\15\12$\0\0\0\0\0\0\0\255\245#\1\351\304MR\351\304MR\351\304MR\351\304LR\341\306MR\345\344CR\350\304MR\351\304MR\252\305MR\260\347^R\347\304MR\277\314KR\350\304MRRich\351\304MR\0\0\0\0\0\0\0\0PE\0\0L\1\5\0\223\7\7?\0\0\0\0\0\0\0\0\340\0\16#\13\1\5\14\0l\15\0\0(\1\0\0\0\0\0P\263\1\0\0\20\0\0\0\200\15\0\0\0\245w\0\20\0\0\0\2\0\0\5\0\0\0\5\0\0\0\4\0\0\0\0\0\0\0\0\300\16\0\0\6\0\0\325\205\16\0\3\0\0\0\0\0\4\0\0\20\0\0\0\0\20\0\0\20\0\0\0\0\0\0\20\0\0\0@\330\14\0\310"\0\0\320\252\14\0\214\0\0\0\0\360\15\0\340\25\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\16\0\364\243\0\0\20\32\0\0\34\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\0\334\7\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0.text\0\0\0\10\353\14\0\0\20\0\0\0\354\14\0\0\6\0\0\0\0\0\0\0\0\0\0\0\0\0\0 \0\0`.orpc\0\0\0\12~\0\0", 27619, 0x0, 0, ... \0\0\320\252\14\0\214\0\0\0\0\360\15\0\340\25\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\16\0\364\243\0\0\20\32\0\0\34\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\0\334\7\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0.text\0\0\0\10\353\14\0\0\20\0\0\0\354\14\0\0\6\0\0\0\0\0\0\0\0\0\0\0\0\0\0 \0\0`.orpc\0\0\0\12~\0\0", 27619, 0x0, 0, ...
 03080   896   NtContinue  (-135750188, 0, ...
 03079   896   NtWriteFile  ... {status=0x0, info=27619}, ) == 0x0
 03081   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ...
 03069  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13113bb, {0, 0}}, ) == 0x0
 03082  2016   NtUserWaitMessage  (...
 03081   896   NtReadFile  ... {status=0x0, info=8},  ... {status=0x0, info=8}, "\260\335\253\24\\32\0\200", ) , ) == 0x0
 03083   896   NtReadFile  (192, 0, 0, 0, 6748, 0x0, 0, ... {status=0x0, info=6748},  (192, 0, 0, 0, 6748, 0x0, 0, ... {status=0x0, info=6748}, "X(\24\15\6.%\12r\1\200\211\241T \260\200\241\220\3153d^:/'\373\251\244\365\262\37\231w\301\302\344L\246|>\322\342\363Q\321T\13\277\23\216c\31\370@D \244\20U\4FG\21\326v\251\255\376x#j\373\301^b\275{k\217\322\327\215\241\5\217\12\304\2\373\365ZLc\316^--!\331\357\214h\334\277\246\10\203\200\306\34\330\20\322\\206\203\310:\300\242\325(\237]Wh\335{X\251\275\1\205\221\362\250\220\357d\270\211\274\244\301\324U3@\3312*B\375\223\271\226\3351\211L\372cDL\363X\324p\214V\330\11\210j\221f,c\363\21\341o\267u\305\243\23\263O\37\37\342a\230\271W(0\261\2058\32+\342\2015\31\246\330>\16(\255\344\323\21fB\12"[Y \342Eb\\345_\234wc\216\24gAP\314m\212\14B\217\336\260\206j5\375\261\17%^\275\255\240\200\261fj\203\337\320\21V\350\261\33r\250\366\226S\340A\13qE\314\212\236\360\346\235:\222\201\17\262\221\23h&\203\340]\354\257\251^\24\346\363\361\374\35\250\20\204jh\307\353\266\331\274\312\271\3044\366\201Zab\337Gc\271\17B1\210h\347\210#\2\2534\364\324\211\201\4l\17x\210\214\307P\303\344\255LEN|\215\321X\365\240\350\212\316\261z\363\5R\37+\256\203\327`\344>\226\34\276\212\2365\376\33\304U\354?\363\275\303y\223\355\202g\33vgK{\21s\274\22\210\257\265m\354>mH\375\237\353\215\2E\354\372\2748\266\206\350\336\300\327\353\241\327\223\210\212P\360\303\3614L\25J"P\327\375\235=\366\302\20\30\303\3765\245k\204]\347\275\240\336uq'\235O\27\235\242\21\236\376\333\272(\327j\221\277\353\322j\265\361\377ip\36w\354\262Q", ) [Y \342Eb\\345_\234wc\216\24gAP\314m\212\14B\217\336\260\206j5\375\261\17%^\275\255\240\200\261fj\203\337\320\21V\350\261\33r\250\366\226S\340A\13qE\314\212\236\360\346\235:\222\201\17\262\221\23h&\203\340]\354\257\251^\24\346\363\361\374\35\250\20\204jh\307\353\266\331\274\312\271\3044\366\201Zab\337Gc\271\17B1\210h\347\210#\2\2534\364\324\211\201\4l\17x\210\214\307P\303\344\255LEN|\215\321X\365\240\350\212\316\261z\363\5R\37+\256\203\327`\344>\226\34\276\212\2365\376\33\304U\354?\363\275\303y\223\355\202g\33vgK{\21s\274\22\210\257\265m\354>mH\375\237\353\215\2E\354\372\2748\266\206\350\336\300\327\353\241\327\223\210\212P\360\303\3614L\25J (192, 0, 0, 0, 6748, 0x0, 0, ... {status=0x0, info=6748}, "X(\24\15\6.%\12r\1\200\211\241T \260\200\241\220\3153d^:/'\373\251\244\365\262\37\231w\301\302\344L\246|>\322\342\363Q\321T\13\277\23\216c\31\370@D \244\20U\4FG\21\326v\251\255\376x#j\373\301^b\275{k\217\322\327\215\241\5\217\12\304\2\373\365ZLc\316^--!\331\357\214h\334\277\246\10\203\200\306\34\330\20\322\\206\203\310:\300\242\325(\237]Wh\335{X\251\275\1\205\221\362\250\220\357d\270\211\274\244\301\324U3@\3312*B\375\223\271\226\3351\211L\372cDL\363X\324p\214V\330\11\210j\221f,c\363\21\341o\267u\305\243\23\263O\37\37\342a\230\271W(0\261\2058\32+\342\2015\31\246\330>\16(\255\344\323\21fB\12"[Y \342Eb\\345_\234wc\216\24gAP\314m\212\14B\217\336\260\206j5\375\261\17%^\275\255\240\200\261fj\203\337\320\21V\350\261\33r\250\366\226S\340A\13qE\314\212\236\360\346\235:\222\201\17\262\221\23h&\203\340]\354\257\251^\24\346\363\361\374\35\250\20\204jh\307\353\266\331\274\312\271\3044\366\201Zab\337Gc\271\17B1\210h\347\210#\2\2534\364\324\211\201\4l\17x\210\214\307P\303\344\255LEN|\215\321X\365\240\350\212\316\261z\363\5R\37+\256\203\327`\344>\226\34\276\212\2365\376\33\304U\354?\363\275\303y\223\355\202g\33vgK{\21s\274\22\210\257\265m\354>mH\375\237\353\215\2E\354\372\2748\266\206\350\336\300\327\353\241\327\223\210\212P\360\303\3614L\25J"P\327\375\235=\366\302\20\30\303\3765\245k\204]\347\275\240\336uq'\235O\27\235\242\21\236\376\333\272(\327j\221\277\353\322j\265\361\377ip\36w\354\262Q", ) , ) == 0x0
 03084   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\1\3@\0\0\10\1\4@\0\0\6\1\5@\0\0\4\1\13@\0\0\2\1\12@\0\0\0\1\6@\0\0\376\0\7@\0\0\374\0\10@\0\0\372\0\15@\0\0\374\0\11@\0\0\14\1\0`\0\0\34\1\14@\0\0"\1\20\0\0\0\2\200\22\0\0\0\6\200\23\0\0\0\10\200\26\0\0\0\10\200\27\0\0\0\10\200\16\0\0\0\6\1\16@\0\0\14\1\20@\0\0\12\1\22@\0\0\10\1\23@\0\0\6\1\26@\0\0\4\1\27@\0\0\2\1\0\0\0\0\0\0\1\0\0\0\0\0\377\377\23\00\375/Z\0\0\0\0\0\0\0\0\300\0\0\0\0\0\0F/Z\0\4\2\0\0\0\0\0\300\0\0\0\0\0\0F\23\20\2\0\23\0\20\2\23\0 \0/Z/\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\33\0\1\0\31\0\4\0\1\0\1[\32\3\20\0\0\0\12\0\10\10L\0\326\3776[\23\0\342\377\23\10\1\\23\10\6\\23\10\10\\23\10\12\\23\10\14\\23\10\6\\23\10\10\\23\0T\374\23\10\14\\23\20\2\0\23\0\242\374\23\20\2\0/Z\0\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\23\20\2\0/Z\0\4\2\0\0\0\0\0\300\0\0\0\0\0\0F\23\20\2\0\23\20\2\0\23\0v\1\23\20\2\0\23\0&\0\25\7\20\0\6\1\18\109\13[\23\0\362\377\23\10\2\\23\10\6\\23\10\10\\23\10\10\\23\10\10\\32\7 \0\0\0\0\0\10\10\6\6\6\6L\0\350\375\[\33\3\4\0\31\0\0\0\1\0K\HI\4\0\0\0\1\0\0\0\0\0\23\0\322\377[\10\[\32\3\10\0\0\0\6\0\106\[\21\0\322\377\33\3\4\0\31\0\0\0\1\0K\HI\4\0\0\0\1\0\0\0\0\0\23\0\376", 32768, 0x0, 0, ... \1\20\0\0\0\2\200\22\0\0\0\6\200\23\0\0\0\10\200\26\0\0\0\10\200\27\0\0\0\10\200\16\0\0\0\6\1\16@\0\0\14\1\20@\0\0\12\1\22@\0\0\10\1\23@\0\0\6\1\26@\0\0\4\1\27@\0\0\2\1\0\0\0\0\0\0\1\0\0\0\0\0\377\377\23\00\375/Z\0\0\0\0\0\0\0\0\300\0\0\0\0\0\0F/Z\0\4\2\0\0\0\0\0\300\0\0\0\0\0\0F\23\20\2\0\23\0\20\2\23\0 \0/Z/\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\33\0\1\0\31\0\4\0\1\0\1[\32\3\20\0\0\0\12\0\10\10L\0\326\3776[\23\0\342\377\23\10\1\\23\10\6\\23\10\10\\23\10\12\\23\10\14\\23\10\6\\23\10\10\\23\0T\374\23\10\14\\23\20\2\0\23\0\242\374\23\20\2\0/Z\0\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\23\20\2\0/Z\0\4\2\0\0\0\0\0\300\0\0\0\0\0\0F\23\20\2\0\23\20\2\0\23\0v\1\23\20\2\0\23\0&\0\25\7\20\0\6\1\18\109\13[\23\0\362\377\23\10\2\\23\10\6\\23\10\10\\23\10\10\\23\10\10\\32\7 \0\0\0\0\0\10\10\6\6\6\6L\0\350\375\[\33\3\4\0\31\0\0\0\1\0K\HI\4\0\0\0\1\0\0\0\0\0\23\0\322\377[\10\[\32\3\10\0\0\0\6\0\106\[\21\0\322\377\33\3\4\0\31\0\0\0\1\0K\HI\4\0\0\0\1\0\0\0\0\0\23\0\376", 32768, 0x0, 0, ...
 03082  2016   NtUserWaitMessage  ... ) == 0x1
 03085  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0x80118, WM_TIMER, 0x1, 0x0, 0x13113f9, {0, 0}}, ) == 0x1
 03086  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03087  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 03088  2016   NtUserValidateHandleSecure  (524568, ... ) == 0x1
 03089  2016   NtUserValidateHandleSecure  (524568, ... ) == 0x1
 03090  2016   NtUserValidateHandleSecure  (524568, ... ) == 0x1
 03091  2016   NtUserValidateHandleSecure  (524568, ...
 03084   896   NtWriteFile  ... {status=0x0, info=32768}, ) == 0x0
 03092   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ...
 03091  2016   NtUserValidateHandleSecure  ... ) == 0x1
 03093  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 03094  2016   NtUserKillTimer  (524568, 1, ... ) == 0x1
 03095  2016   NtUserValidateHandleSecure  (0, ...
 03092   896   NtReadFile  ... {status=0x0, info=8},  ... {status=0x0, info=8}, "\24_\36\355\329\0\200", ) , ) == 0x0
 03096   896   NtReadFile  (192, 0, 0, 0, 14618, 0x0, 0, ...
 03095  2016   NtUserValidateHandleSecure  ... ) == 0x0
 03097  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 03098  2016   NtUserWaitMessage  (...
 03096   896   NtReadFile  ... {status=0x0, info=14618},  ... {status=0x0, info=14618}, "\7\306\345\315\1$\346}\31<\206\331\321\17\255\333\271.'O\36\37\224\274\326\322\360\15\4\263\225\3279\207\35t\207\324\227i\16\372\216\347\377z\257pb\365\377\12\2222\3666\217\15\264xt\245\1\240\13\213\266\2610\254\14\305VUdP\205\307S\363\20\272\3772\3067\374\264\21t\15F]4\230mq\260\31\305\312Uh\26\306\27680\224{C\240\33\306\3335\312u\241\200\32\305\321g\304\312"\302+1\264\205\221C\211\306\207\330\5bm.\360\275\243(\15\5]X\240h\205\305Up<\260\270\215\274^\274\200\7`\32\213\270\2570\330\12E\306\260=\7"\263\351\10Z\263\313\15T\201t9\200\35t\206`pt\22#}\15\20\22\12\315\374\374PZ\217*\364\212\355\7\227\274\251\202\306\3\15\364)\310\370^\201s\263\6v\363\12\376\305O\25D{\373\311\11\201\307!\304\350\260\331\262Z\226-\260#o\237\276\255\215\255\15\375\12\12S\12\202\300\225m\4\303\22\250\237W\365\307\341\233\201\2p\270b\230\255b\304\326\240i\240\250\3224\21`\202WG\25\224\342O\26I?\272\30E\202\352\325\262\336\15I\240\304\24\217\352\233\34\252!\346\7^\343\340\6J\220t\225\2We\204|\323\310G6\352W\206\246E\207\310\213S\350B45\356\245\241TT\30+9\2476\232\2\17\3073T\6~\370\355\230\303Tq\246H\272*\373\21\244\273\217n\362\337\23\214HjwNT0\301\335\260\212?\25\276gw\203\12\260,UT0\233\2435\260P\231C\335H\17\233\10'\351y\27\277\243\324T\272ek\5\7x0C\0\365AT\305w\270"A\24\272\371\217\252\237U.\207\364\2337\16\310>\223\25\34\264\34D\251`\362\216\12\27Y\270\201ih\337F\274\211\346`!", ) \302+1\264\205\221C\211\306\207\330\5bm.\360\275\243(\15\5]X\240h\205\305Up<\260\270\215\274^\274\200\7`\32\213\270\2570\330\12E\306\260=\7 ... {status=0x0, info=14618}, "\7\306\345\315\1$\346}\31<\206\331\321\17\255\333\271.'O\36\37\224\274\326\322\360\15\4\263\225\3279\207\35t\207\324\227i\16\372\216\347\377z\257pb\365\377\12\2222\3666\217\15\264xt\245\1\240\13\213\266\2610\254\14\305VUdP\205\307S\363\20\272\3772\3067\374\264\21t\15F]4\230mq\260\31\305\312Uh\26\306\27680\224{C\240\33\306\3335\312u\241\200\32\305\321g\304\312"\302+1\264\205\221C\211\306\207\330\5bm.\360\275\243(\15\5]X\240h\205\305Up<\260\270\215\274^\274\200\7`\32\213\270\2570\330\12E\306\260=\7"\263\351\10Z\263\313\15T\201t9\200\35t\206`pt\22#}\15\20\22\12\315\374\374PZ\217*\364\212\355\7\227\274\251\202\306\3\15\364)\310\370^\201s\263\6v\363\12\376\305O\25D{\373\311\11\201\307!\304\350\260\331\262Z\226-\260#o\237\276\255\215\255\15\375\12\12S\12\202\300\225m\4\303\22\250\237W\365\307\341\233\201\2p\270b\230\255b\304\326\240i\240\250\3224\21`\202WG\25\224\342O\26I?\272\30E\202\352\325\262\336\15I\240\304\24\217\352\233\34\252!\346\7^\343\340\6J\220t\225\2We\204|\323\310G6\352W\206\246E\207\310\213S\350B45\356\245\241TT\30+9\2476\232\2\17\3073T\6~\370\355\230\303Tq\246H\272*\373\21\244\273\217n\362\337\23\214HjwNT0\301\335\260\212?\25\276gw\203\12\260,UT0\233\2435\260P\231C\335H\17\233\10'\351y\27\277\243\324T\272ek\5\7x0C\0\365AT\305w\270"A\24\272\371\217\252\237U.\207\364\2337\16\310>\223\25\34\264\34D\251`\362\216\12\27Y\270\201ih\337F\274\211\346`!", ) A\24\272\371\217\252\237U.\207\364\2337\16\310>\223\25\34\264\34D\251`\362\216\12\27Y\270\201ih\337F\274\211\346`!", ) == 0x0
 03099   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\375\[\21\0\2\0\25\34\0\10\10\10\10L\0R\351\10L\0M\351[\33\7\10\0)\0\4\0\1\0\13[\33\0\1\0)\0\4\0\1\0\1[\21\00\351\21\0,\351\21\20\2\0/\(\0\34\0\5\0/Z\240X\327\251\27F\317\21\225\374\0\252\0h\15\264\21\14\10\\21\20\2\0/Zp\371\215J\232\215\317\21\210'\0\252\0\265i\365\21\14\10\\21\14\10\\21\14\10\\0\0\0\0\0\0\0\0\370\0\246w\350\0\246w\334\0\246w\314\0\246w\274\0\246w\254\0\246w\234\0\246w\210\0\246wx\0\246wl\0\246w\\0\246wP\0\246w@\0\246w8\0\246w,\0\246w\34\0\246w\20\0\246w\4\0\246w\370\377\245w\354\377\245w\340\377\245w\314\377\245w\274\377\245w\254\377\245w\240\377\245w\214\377\245w\200\377\245wl\377\245wX\377\245w@\377\245w0\377\245w \377\245w\14\377\245w\374\376\245w\350\376\245w\334\376\245w\320\376\245w\304\376\245w\270\376\245w\250\376\245w\240\376\245w\220\376\245w\200\376\245wt\376\245w`\376\245wT\376\245wD\376\245w0\376\245w$\376\245w\14\376\245w\0\376\245w\360\375\245w\324\375\245w\300\375\245w\260\375\245w\240\375\245w\224\375\245w\210\375\245wx\375\245wd\375\245wP\375\245w0\375\245w \375\245w\4\375\245w\354\374\245w\330\374\245w\304\374\245w\260\374\245w\234\374\245w\214\374\245wt\374\245w\\374\245wD\374\245w8\374\245w$\374\245w\4i\245w\24\374\245wXh\245w\4\374\245w\324g\245w\360\373\245w\344\373\245w\320\373\245w\0\0\0\0\340\367\245w0\371\245wh\366\245w\0\0\0\0V\0\262wS\0\6\0\200\372\245w\0\0\0", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03100   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\367\343,q\230B\0\200", ) , ) == 0x0
 03101   896   NtReadFile  (192, 0, 0, 0, 17048, 0x0, 0, ... {status=0x0, info=17048},  (192, 0, 0, 0, 17048, 0x0, 0, ... {status=0x0, info=17048}, "\203B'\312\11\3417\370\250~\317f\244\250\256\373\274\305^j\350\337wDd\352\314\237\206&}\223\3534\176k\236\247\313x\2305e\213~\241.[\364N\324\233$m\305\243c\270\277\14<\320(bU\347.\277+\J+\247\217z\317\3537t\204\236\336-2L\225\330\20\353\233t\255\331\1775v\37\255+7\326b\374"\335T\370\204\13s:\216\376\365\305\227\360\13\6\37\343\16\22\237\234\227\257\215\243\362o\20,\302\214\3\366A\300\34HOV[\216:\234T\347\224\201\261\364{\301\377e,t\252]\30\4\2240\240\236OT!AN\21i\264\307\207}\17$Y\33\337o]\3\27Z\226_\1.g\275\313\247\330\23\27\26\240\364\364\262\357\201\227\215\365\336\253\330\320\205\343I\247\35\244.k_z\35\271\215\300#\245U\264"\313c\365K\2014\257\204\354\241\12 \245\332\227\304\236\2327'\266\246{\307\343\202\342\333\356\230\12OW\347\263\352\0xx?p\275\255q*`\347@6\d\315\373&\215sQ\203\\11\200c\370O\334@\331OR\13\251\347\371\34\341\267\251\24\360\203Xc\30`\256\263G\5\0`\321\277\301\17 B\307\364U&\3w\376>\323\203\277\14e\334\306\326\213\3210\314\272\25\244w\270\234\236;G\272\360\301\311\330\36\253\335\307.\213\24/\244\227B\16\273\252\336B\370\353\2O\21h\315\39]\33+\352(\210|\226\221W\33\375\316\25\360\235\2430;\212\242\273_\21\15\6e\214-\2224\214\324\31\156mj\246\251c\215\262\223\21\2518dj\233\236r\277\217v^\225\341\365\24\254\371\220\4\373b\321\214\254\225\303\252\302\20\247\341oBo,dP\226\247\235\360k\15h\30\\336[_\15\211\367\173]\204\1C\377B\24\276\334[\314\251", ) \335T\370\204\13s:\216\376\365\305\227\360\13\6\37\343\16\22\237\234\227\257\215\243\362o\20,\302\214\3\366A\300\34HOV[\216:\234T\347\224\201\261\364{\301\377e,t\252]\30\4\2240\240\236OT!AN\21i\264\307\207}\17$Y\33\337o]\3\27Z\226_\1.g\275\313\247\330\23\27\26\240\364\364\262\357\201\227\215\365\336\253\330\320\205\343I\247\35\244.k_z\35\271\215\300#\245U\264 (192, 0, 0, 0, 17048, 0x0, 0, ... {status=0x0, info=17048}, "\203B'\312\11\3417\370\250~\317f\244\250\256\373\274\305^j\350\337wDd\352\314\237\206&}\223\3534\176k\236\247\313x\2305e\213~\241.[\364N\324\233$m\305\243c\270\277\14<\320(bU\347.\277+\J+\247\217z\317\3537t\204\236\336-2L\225\330\20\353\233t\255\331\1775v\37\255+7\326b\374"\335T\370\204\13s:\216\376\365\305\227\360\13\6\37\343\16\22\237\234\227\257\215\243\362o\20,\302\214\3\366A\300\34HOV[\216:\234T\347\224\201\261\364{\301\377e,t\252]\30\4\2240\240\236OT!AN\21i\264\307\207}\17$Y\33\337o]\3\27Z\226_\1.g\275\313\247\330\23\27\26\240\364\364\262\357\201\227\215\365\336\253\330\320\205\343I\247\35\244.k_z\35\271\215\300#\245U\264"\313c\365K\2014\257\204\354\241\12 \245\332\227\304\236\2327'\266\246{\307\343\202\342\333\356\230\12OW\347\263\352\0xx?p\275\255q*`\347@6\d\315\373&\215sQ\203\\11\200c\370O\334@\331OR\13\251\347\371\34\341\267\251\24\360\203Xc\30`\256\263G\5\0`\321\277\301\17 B\307\364U&\3w\376>\323\203\277\14e\334\306\326\213\3210\314\272\25\244w\270\234\236;G\272\360\301\311\330\36\253\335\307.\213\24/\244\227B\16\273\252\336B\370\353\2O\21h\315\39]\33+\352(\210|\226\221W\33\375\316\25\360\235\2430;\212\242\273_\21\15\6e\214-\2224\214\324\31\156mj\246\251c\215\262\223\21\2518dj\233\236r\277\217v^\225\341\365\24\254\371\220\4\373b\321\214\254\225\303\252\302\20\247\341oBo,dP\226\247\235\360k\15h\30\\336[_\15\211\367\173]\204\1C\377B\24\276\334[\314\251", ) , ) == 0x0
 03102   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "E\374Pt(\213E\24\213\316\215D8\377P\3505c\0\0\205\300\211E\10\17\214\223\0\0\0\215E\374\213\316PW\350\36c\0\0\353\10W\213\316\350\376\375\377\377\205\300\211E\10|vf;^|t*f\213^x3\322f\205\333v\37\17\267\302\215\4@\213\14\206\215\4\206;\371r\11\213@\10\3\301;\370rVBf;\323r\341\213\316\350\330}\10\0\213]\30\213\310S\377u\24\377u\374\377u\14\377u\20\350\335\373\377\377\205\300\211E\10|!\213\3\213M\20\215\4@\1|\201\364\215D\201\364\213\3\215\4@\215D\201\364\213\316P\350U\373\377\377\213E\10_^[\311\302\24\0\17\267\302\213U\20\213\317\215\4@+\14\206\215\4\206\211:\213p\4\3\361\211r\4\213@\10+\301\211B\10\213E\30\307\0\1\0\0\03\300\353\311\213D$\4SVW\213\371j\273\322Y\367\361\213G\14\213\332\301\343\3\3\303\2130;\360t!\377t$\20\213\7\213\317V\377t$\34\377P\20\205\300u\11\213G\14\2136\3\303\353\337\213\306\353\23\300_^[\302\10\0U\213\354Q\213E\14SV\203\370\377W\213\331t\3\211C\20\213u\103\377;\367u\34\3773W\3775\200\337\262w\377\25\204\257\262w\211;\211{\14\211{\10\351\6\1\0\09;uA\213\306\17\257C\4PW\3775\200\337\262w\377\25\200\257\262w\213\320;\327\211\23u\10\211{\14\211{\10\353\177\213\316\213\372\17\257K\4\213\3213\300\301\351\2\363\253\213\312\203\341\3\363\252\211s\14\353-\213C\14;\360\177.\213{\10;\367~\37\213S\4\213\316+\317\17\257\372\17\257\312\3;\213\3213\300\301\351\2\363\253\213\312\203\341\3\363\252\211s\10\351\214\0\0\0\213K\20\3\301;\360\211E\14|\3", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03103   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "i\202F\32\24>\0\200", ) , ) == 0x0
 03104   896   NtReadFile  (192, 0, 0, 0, 15892, 0x0, 0, ... {status=0x0, info=15892},  (192, 0, 0, 0, 15892, 0x0, 0, ... {status=0x0, info=15892}, ".\351\201\257\17]F\20T\373q4\230\256\307\230'\261N\231^\263\232\U\300\315\261-\372\\205_\365UR(\305\374O\202\326m\363\300\373\264A\377T.\204i\226/4\376j\352\351\361\325\376\263\,&\344Ku*\213\204\225\201P\353\240\222\357\250}\13\355i\20\361}\216&\311[i\215\335\21\27\31\32N\337\200C\307\6\366\15\233\236\271|\213:l\24zF\225\235\225\310\23\0\33\303\2539\240\311\264y\12\306\31w\372K\0m\334\3359b\257*B\31*1\261\215\373\253e\362.\276\207\347k\370F\7\12\271-&2-^\134\322\304\270\361\317\0\236\252\206\12\251\230\221\230\210\200X\226\224\325n\275\213\3071v\15\215\263{\2564\344\36;\224\357c\311\347"`\233\12Y\256\227\267\254g\24Xr\375]\353\275.\264\336\27i]\243o\206\204\227\2321BTB\2621\31'\211\241\7\305\230\17\306\3311\10PI\27\241\211\277oH\341\276\325+\237\336\30\217EH\271dHyZS\343\323a~\324\243\357D\232\233\312\316\0(0\347\212s\37\16\20\274\23vs\\302\311-\250\13Q\361\216\330\266R\272I8\300\360L\5\352\202\26\11\330\351\375\20|]A\203K\6\371c\307\24\274RU\15\253\272\256{\307s\227\273\302\277\245(\253\202\265\322\360O\10s\263`\204\312\301s'i \315Q\31Ml\276\4\325 Z\346\13p(C\367Z\217\201\321\250\223\304\304\232e\366\203\232\211O\3663\250\220\360\253a\340\376\Pk)\271a\2\27\341Y\202\314Y\15&\201\26H\6\33"\334\203\367<\347T\362\353jU!k[\237\205\235\253\37PE\233\333x\361,\202e\232\216"\216\241\367\37\210r\27\227\245\245\2702\277\251\316\252Z\253\223\335J\355\336\335nZ\313\230E", ) `\233\12Y\256\227\267\254g\24Xr\375]\353\275.\264\336\27i]\243o\206\204\227\2321BTB\2621\31'\211\241\7\305\230\17\306\3311\10PI\27\241\211\277oH\341\276\325+\237\336\30\217EH\271dHyZS\343\323a~\324\243\357D\232\233\312\316\0(0\347\212s\37\16\20\274\23vs\\302\311-\250\13Q\361\216\330\266R\272I8\300\360L\5\352\202\26\11\330\351\375\20|]A\203K\6\371c\307\24\274RU\15\253\272\256{\307s\227\273\302\277\245(\253\202\265\322\360O\10s\263`\204\312\301s'i \315Q\31Ml\276\4\325 Z\346\13p(C\367Z\217\201\321\250\223\304\304\232e\366\203\232\211O\3663\250\220\360\253a\340\376\Pk)\271a\2\27\341Y\202\314Y\15&\201\26H\6\33 (192, 0, 0, 0, 15892, 0x0, 0, ... {status=0x0, info=15892}, ".\351\201\257\17]F\20T\373q4\230\256\307\230'\261N\231^\263\232\U\300\315\261-\372\\205_\365UR(\305\374O\202\326m\363\300\373\264A\377T.\204i\226/4\376j\352\351\361\325\376\263\,&\344Ku*\213\204\225\201P\353\240\222\357\250}\13\355i\20\361}\216&\311[i\215\335\21\27\31\32N\337\200C\307\6\366\15\233\236\271|\213:l\24zF\225\235\225\310\23\0\33\303\2539\240\311\264y\12\306\31w\372K\0m\334\3359b\257*B\31*1\261\215\373\253e\362.\276\207\347k\370F\7\12\271-&2-^\134\322\304\270\361\317\0\236\252\206\12\251\230\221\230\210\200X\226\224\325n\275\213\3071v\15\215\263{\2564\344\36;\224\357c\311\347"`\233\12Y\256\227\267\254g\24Xr\375]\353\275.\264\336\27i]\243o\206\204\227\2321BTB\2621\31'\211\241\7\305\230\17\306\3311\10PI\27\241\211\277oH\341\276\325+\237\336\30\217EH\271dHyZS\343\323a~\324\243\357D\232\233\312\316\0(0\347\212s\37\16\20\274\23vs\\302\311-\250\13Q\361\216\330\266R\272I8\300\360L\5\352\202\26\11\330\351\375\20|]A\203K\6\371c\307\24\274RU\15\253\272\256{\307s\227\273\302\277\245(\253\202\265\322\360O\10s\263`\204\312\301s'i \315Q\31Ml\276\4\325 Z\346\13p(C\367Z\217\201\321\250\223\304\304\232e\366\203\232\211O\3663\250\220\360\253a\340\376\Pk)\271a\2\27\341Y\202\314Y\15&\201\26H\6\33"\334\203\367<\347T\362\353jU!k[\237\205\235\253\37PE\233\333x\361,\202e\232\216"\216\241\367\37\210r\27\227\245\245\2702\277\251\316\252Z\253\223\335J\355\336\335nZ\313\230E", ) \216\241\367\37\210r\27\227\245\245\2702\277\251\316\252Z\253\223\335J\355\336\335nZ\313\230E", ) == 0x0
 03105   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\0\213\200\200\17\0\0\213\10\3N\34\353\23\311\350\336w\7\0_^[\311\303U\213\354\213U\10\213B\10\205\300u\15\241\270\340\262wP\213\10\377Q \353iWV\213r\143\311\3\360S\203\300\20;\306s;\203x\4\0t1\213z\10\205\311u\10\213\310+\317\211\17\353 \213\331\211E\10)}\10+\337\3\31\213}\10;\337u\12\213\0\3\1\211\1\213\301\353\3\211y\10\213\310\3\0\353\301\205\311t\6\203a\10\0\353\6\213B\10\203 \0\213R\10[^_\307B\10\1\0\0\0]\302\4\0\213D$\10\213L$\14;H\10u\33WV\213t$\14\213x\143\300\17\267\16\215L\11\4\363\246^_\17\224\300\353\23\300\302\14\0U\213\354V\213u\10Wj\20Y\277\220-\246w3\300\363\246u\15\377u\20\377u\14h\210\260\262w\353:\213u\10j\20Y\2770-\246w3\300\363\246u\15\377u\20\377u\14h\230\260\262w\353\34\213u\10j\20Y\277\300,\246w3\300\363\246u\22\377u\20\377u\14h\220\260\262w\350\206\35\0\0\353\5\270\21\1\4\200_^]\302\14\0\213\1\203\300\4\303U\213\354SVW\213}\10\215w`V\211u\10\377\25l\22\245w\213]\14j\4S\377\25\20\22\245w\205\300t\16V\377\25h\22\245w\270W\0\7\200\353>f\213G6f\205\300t\5\17\267\360\353\6\17\267w4\321\346\366G<\1u\7\17\267G4\2154F\215O$\350\235\377\377\377\377u\10\203c\4\0\215D04\211\3\377\25h\22\245w3\300_^[]\302\10\0U\213\354QSVW\213}\10\215_`S\211]\374\377\25l\22\245w\213u\24j\4V\377\25\20\22\245w\205\300u \377u\14!\6\350[m\377\377\205\300t\22\203}\20", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03106   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\267\0\17\346N;\0\200", ) , ) == 0x0
 03107   896   NtReadFile  (192, 0, 0, 0, 15182, 0x0, 0, ... {status=0x0, info=15182},  (192, 0, 0, 0, 15182, 0x0, 0, ... {status=0x0, info=15182}, "B*\362\21\271\10\354\355\312\224\201\221Mq\16(@<\255}\207\244G^+^\376\355\246\216? \15f7\27\362Z\22\0g?\345\301\326&t\37\353*\233\376\330\307\322\275\2210\326\236C\356\244\13\261-\207E\356:I\214\312\302\336P_1\274\225Y\302\232\311Q\255\234\267\310\266*\353&CjQ\2Q\267\347\273\301\360\331\341*\261\365-\0S\352\375\331\331!\26\250\276\310>G\271R\260\366g>\13\265\320\11\314\261\316L8xH\272);\372C\300\244j\213zE\221\307\34\265\234h\253z\33\.;\233ucL\243C]^\34D\214\330\3553k\263\35\373\305q>\17\315$\313\253\356)\7\272v\267Q\17\255\204{$\262\311\220M\301*Y\237\254\376\33\3654\202\223p\264\34-A\33\270\300\24p+8\2\307\301\3618a\34\113\26\312\202mp\6\347\354\341;\357\263\217\356\274\316^\351\363\235}M\345f\250\244f\2\206\255\5f3\242\256v\7\240)\353w\1s\346Z\276\351\247r\256\356\232c\216\373\271\350c\272f_j,^\310\304\2558~\333\253\277|W\356KZwx\317\1\364\7\357\20\354\264\203"\322\5\210\15D\341ug\35\350\233\252\16\223\234\211x< O\257r\253>0\354-\273\332X\255_\277?C\272\320\2144\275\316\236f\11sif\224X\261~z\3503\322\321\320;\237R<\323\260\256\337\204\224\356@O"\322\276\316\231\226_7c\366\256\16n\320\221\244\203L\366\251\315\365\332\245\267b\356\0\220,B\223\313\302\14t\224\10\211\237\226\370\326\275\300\246R\15z\362\231|\7\267v}(\25\331:\262+{)\224r\231\310,\222\265n\357V\206\320\264 \2629\255\315V5\323V\364C\307\34\26r\264pP\256\202\254\359c\267\376\14", ) \322\5\210\15D\341ug\35\350\233\252\16\223\234\211x< O\257r\253>0\354-\273\332X\255_\277?C\272\320\2144\275\316\236f\11sif\224X\261~z\3503\322\321\320;\237R<\323\260\256\337\204\224\356@O (192, 0, 0, 0, 15182, 0x0, 0, ... {status=0x0, info=15182}, "B*\362\21\271\10\354\355\312\224\201\221Mq\16(@<\255}\207\244G^+^\376\355\246\216? \15f7\27\362Z\22\0g?\345\301\326&t\37\353*\233\376\330\307\322\275\2210\326\236C\356\244\13\261-\207E\356:I\214\312\302\336P_1\274\225Y\302\232\311Q\255\234\267\310\266*\353&CjQ\2Q\267\347\273\301\360\331\341*\261\365-\0S\352\375\331\331!\26\250\276\310>G\271R\260\366g>\13\265\320\11\314\261\316L8xH\272);\372C\300\244j\213zE\221\307\34\265\234h\253z\33\.;\233ucL\243C]^\34D\214\330\3553k\263\35\373\305q>\17\315$\313\253\356)\7\272v\267Q\17\255\204{$\262\311\220M\301*Y\237\254\376\33\3654\202\223p\264\34-A\33\270\300\24p+8\2\307\301\3618a\34\113\26\312\202mp\6\347\354\341;\357\263\217\356\274\316^\351\363\235}M\345f\250\244f\2\206\255\5f3\242\256v\7\240)\353w\1s\346Z\276\351\247r\256\356\232c\216\373\271\350c\272f_j,^\310\304\2558~\333\253\277|W\356KZwx\317\1\364\7\357\20\354\264\203"\322\5\210\15D\341ug\35\350\233\252\16\223\234\211x< O\257r\253>0\354-\273\332X\255_\277?C\272\320\2144\275\316\236f\11sif\224X\261~z\3503\322\321\320;\237R<\323\260\256\337\204\224\356@O"\322\276\316\231\226_7c\366\256\16n\320\221\244\203L\366\251\315\365\332\245\267b\356\0\220,B\223\313\302\14t\224\10\211\237\226\370\326\275\300\246R\15z\362\231|\7\267v}(\25\331:\262+{)\224r\231\310,\222\265n\357V\206\320\264 \2629\255\315V5\323V\364C\307\34\26r\264pP\256\202\254\359c\267\376\14", ) , ) == 0x0
 03108   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "u\24\203}\10\0t\30hx'\245w\350.\15\1\0\205\300u\12\270W\0\7\200\351\372\0\0\0d\241\30\0\0\0\213\200\200\17\0\0\205\300\211E\14t\43\300\353\10\215M\14\350b\375\377\377\205\300}\12\270\6@\0\200\351\315\0\0\0\350\237\373\1\0\205\300u7\213M\14\213A\14\366\304\20t\25\200\343\2\366\333\33\333\201\343\5\1\1\200C\213\303\351\244\0\0\0\213\323\203\342\2\211U\10t\5\366\304\1u\10\205\322u\16\250\200t\12\270\6\1\1\200\351\203\0\0\0j\1\366\303\10Xt\5\243\10\274\262w\203\301\30\377\19\1uX\205\322u\20\271\310\260\262w\350e\334\376\377\377\5\10\261\262w\271\250\260\262w\350U\334\376\377\215E\14SP\350\313\2\0\0\2135h\22\245wh\260\260\262w\213\370\377\326\205\377}\6\213E\14\377H\30\203}\10\0u\15\377\15\10\261\262wh\320\260\262w\377\326\213\307\353\25\213M\14\366A\15\200t\14\211A\30\213E\14\200`\15\1773\300_^[]\302\10\0U\213\354\203\354,S3\333f9\35\\315\262wV\306E\377\1\17\205\347\0\0\0hP\7\246w\377\25\314\23\245wf\243\\315\262w\241\\315\262w\215H\1f\211\15`\315\262w\215H\2f\211\15d\315\262w\215H\3f\211\15h\315\262w\215H\4f\211\15l\315\262w\215H\5f\211\15p\315\262w\215H\6f\211\15t\315\262w\215H\7f\211\15x\315\262w\215H\10f\211\15|\315\262w\215H\11f\211\15\200\315\262w\215H\12f\211\15P\315\262w\215H\13f\211\15\204\315\262w\215H\14f\211\15\210\315\262w\215H\15f\211\15\214\315\262w\215H\16f\211\15\220\315\262w\215H\17f\211\15\224\315\262w\215H\20f\211\15\230\315\262w\215H", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03109   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "G\234J\34\330?\0\200", ) , ) == 0x0
 03110   896   NtReadFile  (192, 0, 0, 0, 16344, 0x0, 0, ... {status=0x0, info=16344},  (192, 0, 0, 0, 16344, 0x0, 0, ... {status=0x0, info=16344}, ")`\301>\276\222l\226\34\216\11mB\26\207\321\2258\15\363\20q\303\344u\34~]ob\327\215\206\313:\347\240p\323\343bN\257\15\333kbv\322\372M\300\354:\265I\304+\342\17!=\265\333X0Cn\26\234\323\247`E\11\21R\27X\243\204O-s\343\206\321w\346\315I\221\375\17)u\27\247\212\256\24n\274\220\234\225u\375\257\377\336\225\274C\276\356\32\205\262\263\360\214\377\365TH\300Z\316\36OT\200\226\213\272\21\216I\30\253Q\327\264\256\201T\363bC"\357\204@\16|\331357\204211\364!\316\356\316J\262\242\356[\30\22aK\223 'eV\3420%\315vQ#\221\25\4t\26\343 \327s\277E^\315\2619j\2776\266KL\243G\315u\342\1\362\331\360\364\252\376ub\305H9!@cVR\234\320!B\234\376s\16\223\262\251`\252\4\200A\21v\306\340\264\327\360\5R\315\17\34\212hr\223\16@\221\222\201p.\325\205\2648\345\360P\271-\37\376\303\341.\342\205\241^\204wo# \256\30BUp\344\17\326\334\341q\267+\15q:\24\307o\371\3651\33\271!J\342\306\3\35\210p.:\250\224V\264;}\211\267\334\212K\333c\262\334\340\352\35\277\212b\244\237R\0\376\16\333#\225\242j\232\204!x\324C\224\330#\231\365\261\304\20\1v\24R\346\302\14\216!\21<\220\312\204\366f\356\2134\233\27?\11\237`\250V;W\344\277\316>@\16|\331302\275\251\273\232\37\343\17\367\241L,8jI[\273n\260\303\211\271C\24'\336\302\3069\365\20\256^\331\336\16}\255t*)\234\225\254\3041\271Nl\333\203C\207p\177o\335+t\367\331n\230\361\356WVB\356\36\335\334[y\11\364`\344\356\307\375R~E\366L(", ) == 0x0
 03111   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\307t#\377u\10\213\310\377u\20S\350\374s\5\0;\307u\5\377E\10\353\3\211E\14\213NP\215E\374P\353\3249}\14u\14\377u\20\215N\370S\350qi\5\0\366FM\2t!WWW\215E\370WPS\350\361\205\0\0\205\300u\17\213E\370W$\367PWWS\350\6<\5\0\377u\10S\350\225K\0\09}\14u\27\203NL\29}\20\213FLt\5\200\314\1\353\3\200\344\376\211FL\213E\14_^[\311\302\14\0U\213\354\203\354\14SV\213u\10W\215N \350\213\313\376\377\205\300u\12\270\16\1\1\200\351\267\0\0\0\213}\143\333;\373t\24W\350\212n\376\377\205\300u\31\270W\0\7\200\351\232\0\0\09^hu\12\270\5\0\4\200\351\213\0\0\0;\373t\5\211}\14\353\6\213Fh\211E\14\213FT\213@\20;\303tp\205\300\211]\370\211]\10vL\211E\374\213NT\215E\370P\350\360o\5\0\213\370\215E\364P\213\317\377u\20\377u\14\350\225v\5\0\205\300u\27\377E\10\203fP\3769E\364\213\177\30t\22\205\373u\16\13\337\353\12=q\1\4\0u\3\377E\10\377M\374u\267\205\333t\11S\215N\374\350\207i\5\0\203}\10\0u\7\270p\1\4\200\353\23\300_^[\311\302\20\0S\213\331\213K$U\215C$VWP\377Q\24\213l$\24\205\300t \213\313\350s\271\377\377\205\300t\25\213CPUP\213\10\377Q\14\205\300u\7\215{l\213\365\353C\215Clj\20Y\277\10B\246w\213\3603\322\363\246\211D$\24t\4\213\360\353&\366C|@u\35\213\203\240\0\0\0\205\300t\23UP\350\211\300\376\377\205\300u\10\213|$\24\213\365\353\5\215s\\213\375\245\245\245\245_^]3\300[\302\4", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03112   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "A\10n\226@@\0\200", ) , ) == 0x0
 03113   896   NtReadFile  (192, 0, 0, 0, 16448, 0x0, 0, ... {status=0x0, info=16448},  (192, 0, 0, 0, 16448, 0x0, 0, ... {status=0x0, info=16448}, "\13\217\276\273\362D_\357XN\347\276\242\305\210\34\17\362\4\327\202C\240\210\272\222\13\304\366\X\336`\35\26\3\202\206=L\252pmx\326i-\324\374\361\31\221\325\201\335tN\233\2\32,\343\315\326\5q\211\5^dm\30\275\270\177\0\337\223\364t\357\257\3359\314R~\16\325\346\31\255@\244\255\304\220\332\356\5\20?\233c_\255k\35\373\363\22\212Fn\217\343\352\\340\1]-b\0vOY\265\256n\277\257w\5\313o\200\361\306\371\356\363\235VS\30H\212\35pc/\376vb\267]\357\25\235\200\16n\177\354\376\213\2216\306\253'\35\267\17P%\353R\255\17\223_\311>\34v\217A\3xn\366\15R2\241\347\3279\213\254\20Q\233\205\273~A\335\311ser]^9\4\250\357\363\300z\212\224\311\344\332\226$\325\265\227b\237\210R\26a\224U\255-cJe\255\350/\317n{\206\240W\15\343\275\250\252\6\179l\0\333\234Ff\217\316\356K\230\366\217\215w\13\232\376\37uib\243L(\302\326[\370[\34(e~\351Z\267\366\362\271\230\213\235\321\2652\266g\274O\200Q{\225\337W\327\0\17Q\325\345\245+K\230\32e5:\255|i$C2\3573\253\3354\14\5FRx\374_kG\350\231\231\270\230:\227{\313\207\300v3H\323I\306\250m\36%\354\32?\272\244\32\364^"\370>\235~\13\211\12\203b|\1_\346\231I\234\366\24.V\372\17\333\221\274IKi\254\225\250\207\35F\324\345\352\355\27)\354\361\221+\10"?,\300<\250\324CXn\13\311\373s\347\243\346\357\304t\12uq]\\37&\345\33j\232\303\355O\304\366)\265\273v\207u\315|O\267S\230\275\235G\216w\324.\240\3777\\262\240g\213>\362\232GF\27\226\20\14", ) \370>\235~\13\211\12\203b|\1_\346\231I\234\366\24.V\372\17\333\221\274IKi\254\225\250\207\35F\324\345\352\355\27)\354\361\221+\10 (192, 0, 0, 0, 16448, 0x0, 0, ... {status=0x0, info=16448}, "\13\217\276\273\362D_\357XN\347\276\242\305\210\34\17\362\4\327\202C\240\210\272\222\13\304\366\X\336`\35\26\3\202\206=L\252pmx\326i-\324\374\361\31\221\325\201\335tN\233\2\32,\343\315\326\5q\211\5^dm\30\275\270\177\0\337\223\364t\357\257\3359\314R~\16\325\346\31\255@\244\255\304\220\332\356\5\20?\233c_\255k\35\373\363\22\212Fn\217\343\352\\340\1]-b\0vOY\265\256n\277\257w\5\313o\200\361\306\371\356\363\235VS\30H\212\35pc/\376vb\267]\357\25\235\200\16n\177\354\376\213\2216\306\253'\35\267\17P%\353R\255\17\223_\311>\34v\217A\3xn\366\15R2\241\347\3279\213\254\20Q\233\205\273~A\335\311ser]^9\4\250\357\363\300z\212\224\311\344\332\226$\325\265\227b\237\210R\26a\224U\255-cJe\255\350/\317n{\206\240W\15\343\275\250\252\6\179l\0\333\234Ff\217\316\356K\230\366\217\215w\13\232\376\37uib\243L(\302\326[\370[\34(e~\351Z\267\366\362\271\230\213\235\321\2652\266g\274O\200Q{\225\337W\327\0\17Q\325\345\245+K\230\32e5:\255|i$C2\3573\253\3354\14\5FRx\374_kG\350\231\231\270\230:\227{\313\207\300v3H\323I\306\250m\36%\354\32?\272\244\32\364^"\370>\235~\13\211\12\203b|\1_\346\231I\234\366\24.V\372\17\333\221\274IKi\254\225\250\207\35F\324\345\352\355\27)\354\361\221+\10"?,\300<\250\324CXn\13\311\373s\347\243\346\357\304t\12uq]\\37&\345\33j\232\303\355O\304\366)\265\273v\207u\315|O\267S\230\275\235G\216w\324.\240\3777\\262\240g\213>\362\232GF\27\226\20\14", ) , ) == 0x0
 03114   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\350\202{\2\0\213\307_^[\311\302\14\0\213D$\4V\205\300t\11\201x8EXSTt\43\300\353\14\215p, 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03115   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\337\366\351\25\3745\0\200", ) , ) == 0x0
 03116   896   NtReadFile  (192, 0, 0, 0, 13820, 0x0, 0, ... {status=0x0, info=13820},  (192, 0, 0, 0, 13820, 0x0, 0, ... {status=0x0, info=13820}, "\255\377\362C\307\222\340\374\21\316\360\7\302}\215\277\1\210[\351\303\376\247\3\241\3425\317\2\326\377\241D\245\320*\266gMC\332\311Z8\264\216\253\270\341\362E\226\207\261~\227\205\360\300#'\354\375])\354;=\5R\365N\374\230\313\327A\6\272\331\252\301$\256s\324\330GRM._\343Q\321\270\2234%\315u\211\273\343\342F\271w\337$\17\26\220\231\231\2\301\3118\322l\335V\206%/'\376i\232[\273\217\347\361\215\316\247\270g\246\351\250\202J=>\254\26\273\2\363\244\177\353K\31\27\233\35\374Hr\243R\262<\363\347%`=\20\271z\255.L\311\13\212\331\177\371\331\7zf\357G\277\243\217\354\20.A\3520\212|\351ZS\334\264\351\205\23\32\13eR\271\5\2139i\252\23]\231\20JD\211\374\342\31ru"c\236$\221w\275\330>8\26\317\11\253ZG\237!\3\343\325\302\16(*\21\250@/\306\234\10QHZp\220\362&l\336\333\342\306\306i\1\23\366+\30\272\240![!\272+\2668l\21`]\7\232K\272\333\334\17\14\206*\30\306\341\353[K\302\15\307\245\230\372$a\370\372.;I\345\213\322\367\201\17\315\351 $\367\354\373=m\326\14%\316\301\20$\337<\340\353\25\17m\16\210\34\334\246\224\267L\314\209\303\330\272\344\310\223x/\377\330l\220R\203\353\225\225\236\347Q\252\20$\37{w2\266gg\207\246e\353M\267_"\213|_\341-.S5\367G\257?\303B\357"\30\27\213\267\32\342!Y\216(\21343v\2479\327B\216\244\327\\235\271\361\360~\340\355i\1\363\225\37:+!\225\313!\362\344o\11Io\311\30\11", ) '\354\375])\354;=\5R\365N\374\230\313\327A\6\272\331\252\301$\256s\324\330GRM._\343Q\321\270\2234%\315u\211\273\343\342F\271w\337$\17\26\220\231\231\2\301\3118\322l\335V\206%/'\376i\232[\273\217\347\361\215\316\247\270g\246\351\250\202J=>\254\26\273\2\363\244\177\353K\31\27\233\35\374Hr\243R\262<\363\347%`=\20\271z\255.L\311\13\212\331\177\371\331\7zf\357G\277\243\217\354\20.A\3520\212|\351ZS\334\264\351\205\23\32\13eR\271\5\2139i\252\23]\231\20JD\211\374\342\31ru (192, 0, 0, 0, 13820, 0x0, 0, ... {status=0x0, info=13820}, "\255\377\362C\307\222\340\374\21\316\360\7\302}\215\277\1\210[\351\303\376\247\3\241\3425\317\2\326\377\241D\245\320*\266gMC\332\311Z8\264\216\253\270\341\362E\226\207\261~\227\205\360\300#'\354\375])\354;=\5R\365N\374\230\313\327A\6\272\331\252\301$\256s\324\330GRM._\343Q\321\270\2234%\315u\211\273\343\342F\271w\337$\17\26\220\231\231\2\301\3118\322l\335V\206%/'\376i\232[\273\217\347\361\215\316\247\270g\246\351\250\202J=>\254\26\273\2\363\244\177\353K\31\27\233\35\374Hr\243R\262<\363\347%`=\20\271z\255.L\311\13\212\331\177\371\331\7zf\357G\277\243\217\354\20.A\3520\212|\351ZS\334\264\351\205\23\32\13eR\271\5\2139i\252\23]\231\20JD\211\374\342\31ru"c\236$\221w\275\330>8\26\317\11\253ZG\237!\3\343\325\302\16(*\21\250@/\306\234\10QHZp\220\362&l\336\333\342\306\306i\1\23\366+\30\272\240![!\272+\2668l\21`]\7\232K\272\333\334\17\14\206*\30\306\341\353[K\302\15\307\245\230\372$a\370\372.;I\345\213\322\367\201\17\315\351 $\367\354\373=m\326\14%\316\301\20$\337<\340\353\25\17m\16\210\34\334\246\224\267L\314\209\303\330\272\344\310\223x/\377\330l\220R\203\353\225\225\236\347Q\252\20$\37{w2\266gg\207\246e\353M\267_"\213|_\341-.S5\367G\257?\303B\357"\30\27\213\267\32\342!Y\216(\21343v\2479\327B\216\244\327\\235\271\361\360~\340\355i\1\363\225\37:+!\225\313!\362\344o\11Io\311\30\11", ) \213|_\341-.S5\367G\257?\303B\357 (192, 0, 0, 0, 13820, 0x0, 0, ... {status=0x0, info=13820}, "\255\377\362C\307\222\340\374\21\316\360\7\302}\215\277\1\210[\351\303\376\247\3\241\3425\317\2\326\377\241D\245\320*\266gMC\332\311Z8\264\216\253\270\341\362E\226\207\261~\227\205\360\300#'\354\375])\354;=\5R\365N\374\230\313\327A\6\272\331\252\301$\256s\324\330GRM._\343Q\321\270\2234%\315u\211\273\343\342F\271w\337$\17\26\220\231\231\2\301\3118\322l\335V\206%/'\376i\232[\273\217\347\361\215\316\247\270g\246\351\250\202J=>\254\26\273\2\363\244\177\353K\31\27\233\35\374Hr\243R\262<\363\347%`=\20\271z\255.L\311\13\212\331\177\371\331\7zf\357G\277\243\217\354\20.A\3520\212|\351ZS\334\264\351\205\23\32\13eR\271\5\2139i\252\23]\231\20JD\211\374\342\31ru"c\236$\221w\275\330>8\26\317\11\253ZG\237!\3\343\325\302\16(*\21\250@/\306\234\10QHZp\220\362&l\336\333\342\306\306i\1\23\366+\30\272\240![!\272+\2668l\21`]\7\232K\272\333\334\17\14\206*\30\306\341\353[K\302\15\307\245\230\372$a\370\372.;I\345\213\322\367\201\17\315\351 $\367\354\373=m\326\14%\316\301\20$\337<\340\353\25\17m\16\210\34\334\246\224\267L\314\209\303\330\272\344\310\223x/\377\330l\220R\203\353\225\225\236\347Q\252\20$\37{w2\266gg\207\246e\353M\267_"\213|_\341-.S5\367G\257?\303B\357"\30\27\213\267\32\342!Y\216(\21343v\2479\327B\216\244\327\\235\271\361\360~\340\355i\1\363\225\37:+!\225\313!\362\344o\11Io\311\30\11", ) , ) == 0x0
 03117   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "fffR\211E\364\213E\10\215U\340\211u\370\213\10RP\211u\374\377Q\14;\306t\7\270\11\0\4\200\353N\213E\370W3\311V\21383\322VQRP\377W\24\213\370;\376u!\377u\14hX_\245w\377u\370\350\316\15\0\0\213\370;\376u\13\377u\20\377u\370\350[\360\377\377\215E\364P\350\337=\376\377\213\307_\367\330\33\300%\11\0\4\200^\311\302\14\0U\213\354QS\213]\14VWS\350\300n\375\377\205\300t$\213u\203\377;\367t\12V\350\255n\375\377\205\300t\219}\24t\26\377u\24\350\234n\375\377\205\300u\12\270W\0\7\200\351\253\0\0\0;\367\211}\14\211}\374u?9}\24\213u\10t!\377u\24\213\6V\377P4\213\370\205\377tn\377u\24\213\6V\377P4\205\300t\5j\1_\353\\213\3\215M\374QS\377P \213E\374VP\213\10\377Q\24\353D\213\6WWSV\377P<\213\370\205\377u7\213\6\215M\14Qh\30d\245wWSV\377P \213\370\205\377u \377u\14\213\3S\377P\14\213\370\205\377u\21\213U\10\213E\14\377r\24\213\10P\377Q \213\370\213E\14\205\300t\6\213\10P\377Q\10\213E\374\205\300t\6\213\10P\377Q\10\213\307_^[\311\302\20\0U\213\354\213E\24SV\276\16\0\7\200\377u\10\203 \0\377\25\10\22\245w\215L\0\2\215Y\20;]\20w4\213E\14W\276\220-\246w\213\370\245\245\245\245\213u\10\203\300\20\213\321\213\370\301\351\2\363\245\213\312P\203\341\3\363\244\377\258\27\245w\213E\243\366_\211\30\213\306^[]\302\20\0\203|$\14\0t\7\270\342\1\4\200\353\21\377t$\20\377t$\14\377t$\14\350\210[\377\377\302\20\0SVWj\14", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03118   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\24\260\216\354\16;\0\200", ) , ) == 0x0
 03119   896   NtReadFile  (192, 0, 0, 0, 15118, 0x0, 0, ... {status=0x0, info=15118},  (192, 0, 0, 0, 15118, 0x0, 0, ... {status=0x0, info=15118}, "\10}\337\261\260\375\366"{)w\217V\346h\37u\356\205\373\305m\357u\17\372\241\224_\237\265\261\223\35\250\306P\237\1r\373\200\313\340\324/\317X\27\371\300\22v\225\221\210\223-\5\357\231\215\325\346S\223\257\371X%w\17\304\17\262/yD\251\370j\330`y\264\316\211S\233Tu\237w\366\366\304\236\2537\205\254\367\236o\323\202\217\321~\240\13\232\367(y\324V \213YIP\257\366\17x\13\31\344T\3647\207\301\237\236w\212\273\1lE\343\2619\353x6\334\325\204\224\251\247\324\322\32\216\2538l\267\12\312\252%\361;\226\342/\275o(W\215q\377Z\237\3273\21\366\223\253\341*\311S\364\361K\300}\317\355\351~C \370\217\346\216\30\277~_\317_\15\106\\25o\372\341P&\7\1J3"\244\17\323gct|x\203Ch\261]m\6\7\356|v\236B\221\2726[\346\342\303\263\256qa\230\265\6\250\377\37\310\7\343\315\332\303\237\20\234\12\306\302"\3431|\242\210\315|T\373d\367S\310\277Z\11pDf]\274\350\372;@\330\270\22713\323\361(\12\225\351\210L\261\350\227\223^\377\177\317\202\362\360{\211\223\365\234\266\216\343\16}\35tX\306\224\146\244Z\6$\275X\347H\240\16\353%\7k';\365\332\344/\300\20\321]\1\346\266\374\373\364\313\366Ao3pA\314\206\361\261\21\335\273y\354\257e\371\3700\350\313\303\36]\237\256\262\30\246K+\340\335\377\35\23\13/qw\27\2316\3\27"8n"Gf\2610\10\272\265\243>"\327\257hC+\335O\256$\352\15#\343g\354\325u\231\366\353\35%\230p\27\213\241`\13\7]\354j\12\332\332\354\2258\265c\305\322\246j\6\216\257\311\276\264, ) {)w\217V\346h\37u\356\205\373\305m\357u\17\372\241\224_\237\265\261\223\35\250\306P\237\1r\373\200\313\340\324/\317X\27\371\300\22v\225\221\210\223-\5\357\231\215\325\346S\223\257\371X%w\17\304\17\262/yD\251\370j\330`y\264\316\211S\233Tu\237w\366\366\304\236\2537\205\254\367\236o\323\202\217\321~\240\13\232\367(y\324V \213YIP\257\366\17x\13\31\344T\3647\207\301\237\236w\212\273\1lE\343\2619\353x6\334\325\204\224\251\247\324\322\32\216\2538l\267\12\312\252%\361;\226\342/\275o(W\215q\377Z\237\3273\21\366\223\253\341*\311S\364\361K\300}\317\355\351~C \370\217\346\216\30\277~_\317_\15\106\\25o\372\341P&\7\1J3 (192, 0, 0, 0, 15118, 0x0, 0, ... {status=0x0, info=15118}, "\10}\337\261\260\375\366"{)w\217V\346h\37u\356\205\373\305m\357u\17\372\241\224_\237\265\261\223\35\250\306P\237\1r\373\200\313\340\324/\317X\27\371\300\22v\225\221\210\223-\5\357\231\215\325\346S\223\257\371X%w\17\304\17\262/yD\251\370j\330`y\264\316\211S\233Tu\237w\366\366\304\236\2537\205\254\367\236o\323\202\217\321~\240\13\232\367(y\324V \213YIP\257\366\17x\13\31\344T\3647\207\301\237\236w\212\273\1lE\343\2619\353x6\334\325\204\224\251\247\324\322\32\216\2538l\267\12\312\252%\361;\226\342/\275o(W\215q\377Z\237\3273\21\366\223\253\341*\311S\364\361K\300}\317\355\351~C \370\217\346\216\30\277~_\317_\15\106\\25o\372\341P&\7\1J3"\244\17\323gct|x\203Ch\261]m\6\7\356|v\236B\221\2726[\346\342\303\263\256qa\230\265\6\250\377\37\310\7\343\315\332\303\237\20\234\12\306\302"\3431|\242\210\315|T\373d\367S\310\277Z\11pDf]\274\350\372;@\330\270\22713\323\361(\12\225\351\210L\261\350\227\223^\377\177\317\202\362\360{\211\223\365\234\266\216\343\16}\35tX\306\224\146\244Z\6$\275X\347H\240\16\353%\7k';\365\332\344/\300\20\321]\1\346\266\374\373\364\313\366Ao3pA\314\206\361\261\21\335\273y\354\257e\371\3700\350\313\303\36]\237\256\262\30\246K+\340\335\377\35\23\13/qw\27\2316\3\27"8n"Gf\2610\10\272\265\243>"\327\257hC+\335O\256$\352\15#\343g\354\325u\231\366\353\35%\230p\27\213\241`\13\7]\354j\12\332\332\354\2258\265c\305\322\246j\6\216\257\311\276\264, ) \3431|\242\210\315|T\373d\367S\310\277Z\11pDf]\274\350\372;@\330\270\22713\323\361(\12\225\351\210L\261\350\227\223^\377\177\317\202\362\360{\211\223\365\234\266\216\343\16}\35tX\306\224\146\244Z\6$\275X\347H\240\16\353%\7k';\365\332\344/\300\20\321]\1\346\266\374\373\364\313\366Ao3pA\314\206\361\261\21\335\273y\354\257e\371\3700\350\313\303\36]\237\256\262\30\246K+\340\335\377\35\23\13/qw\27\2316\3\27 (192, 0, 0, 0, 15118, 0x0, 0, ... {status=0x0, info=15118}, "\10}\337\261\260\375\366"{)w\217V\346h\37u\356\205\373\305m\357u\17\372\241\224_\237\265\261\223\35\250\306P\237\1r\373\200\313\340\324/\317X\27\371\300\22v\225\221\210\223-\5\357\231\215\325\346S\223\257\371X%w\17\304\17\262/yD\251\370j\330`y\264\316\211S\233Tu\237w\366\366\304\236\2537\205\254\367\236o\323\202\217\321~\240\13\232\367(y\324V \213YIP\257\366\17x\13\31\344T\3647\207\301\237\236w\212\273\1lE\343\2619\353x6\334\325\204\224\251\247\324\322\32\216\2538l\267\12\312\252%\361;\226\342/\275o(W\215q\377Z\237\3273\21\366\223\253\341*\311S\364\361K\300}\317\355\351~C \370\217\346\216\30\277~_\317_\15\106\\25o\372\341P&\7\1J3"\244\17\323gct|x\203Ch\261]m\6\7\356|v\236B\221\2726[\346\342\303\263\256qa\230\265\6\250\377\37\310\7\343\315\332\303\237\20\234\12\306\302"\3431|\242\210\315|T\373d\367S\310\277Z\11pDf]\274\350\372;@\330\270\22713\323\361(\12\225\351\210L\261\350\227\223^\377\177\317\202\362\360{\211\223\365\234\266\216\343\16}\35tX\306\224\146\244Z\6$\275X\347H\240\16\353%\7k';\365\332\344/\300\20\321]\1\346\266\374\373\364\313\366Ao3pA\314\206\361\261\21\335\273y\354\257e\371\3700\350\313\303\36]\237\256\262\30\246K+\340\335\377\35\23\13/qw\27\2316\3\27"8n"Gf\2610\10\272\265\243>"\327\257hC+\335O\256$\352\15#\343g\354\325u\231\366\353\35%\230p\27\213\241`\13\7]\354j\12\332\332\354\2258\265c\305\322\246j\6\216\257\311\276\264, ) Gf\2610\10\272\265\243> (192, 0, 0, 0, 15118, 0x0, 0, ... {status=0x0, info=15118}, "\10}\337\261\260\375\366"{)w\217V\346h\37u\356\205\373\305m\357u\17\372\241\224_\237\265\261\223\35\250\306P\237\1r\373\200\313\340\324/\317X\27\371\300\22v\225\221\210\223-\5\357\231\215\325\346S\223\257\371X%w\17\304\17\262/yD\251\370j\330`y\264\316\211S\233Tu\237w\366\366\304\236\2537\205\254\367\236o\323\202\217\321~\240\13\232\367(y\324V \213YIP\257\366\17x\13\31\344T\3647\207\301\237\236w\212\273\1lE\343\2619\353x6\334\325\204\224\251\247\324\322\32\216\2538l\267\12\312\252%\361;\226\342/\275o(W\215q\377Z\237\3273\21\366\223\253\341*\311S\364\361K\300}\317\355\351~C \370\217\346\216\30\277~_\317_\15\106\\25o\372\341P&\7\1J3"\244\17\323gct|x\203Ch\261]m\6\7\356|v\236B\221\2726[\346\342\303\263\256qa\230\265\6\250\377\37\310\7\343\315\332\303\237\20\234\12\306\302"\3431|\242\210\315|T\373d\367S\310\277Z\11pDf]\274\350\372;@\330\270\22713\323\361(\12\225\351\210L\261\350\227\223^\377\177\317\202\362\360{\211\223\365\234\266\216\343\16}\35tX\306\224\146\244Z\6$\275X\347H\240\16\353%\7k';\365\332\344/\300\20\321]\1\346\266\374\373\364\313\366Ao3pA\314\206\361\261\21\335\273y\354\257e\371\3700\350\313\303\36]\237\256\262\30\246K+\340\335\377\35\23\13/qw\27\2316\3\27"8n"Gf\2610\10\272\265\243>"\327\257hC+\335O\256$\352\15#\343g\354\325u\231\366\353\35%\230p\27\213\241`\13\7]\354j\12\332\332\354\2258\265c\305\322\246j\6\216\257\311\276\264, ) , ) == 0x0
 03120   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\350\205\353\377\377\213\360\211u\320\205\366t\25\213\6S\215M\330QV\377\20\211E\324\213\6V\377P\10\353 \307E\324\16\0\7\200\353\27\307E\324\20\1\4\200\353\16j\1X\303\213e\350\307E\324W\0\7\200\203M\374\377\213E\324\213M\360d\211\15\0\0\0\0_^[\311\302\20\0U\213\354j\377hP%\245whH\245\260wd\241\0\0\0\0Pd\211%\0\0\0\0QQ\203\3544SVW\211e\3503\3333\366\211]\344\213}\20\211]\374\213E\24\211\30\213E\30\211\30\307E\314\20\0\0\0\213E\14\213\10\215U\314RP\377Q\34j:Zj\2Yf\213\7f;\303t\14f;\302t\7\3\371\211}\340\353\354f9\27\17\205\346\0\0\0\3\371\211}\340\211}\300f\213\7f;\303t\15f;\302t\10F\211u\274\3\371\353\350f9\27\17\205\300\0\0\0\3\371\211}\300\215\346\211]\304\215C\2\203\300\3$\374\350\226\373\6\0\211e\350\213\304\211E\334\205\300\17\204\314\0\0\0\213\313\213u\340\213\370\213\321\301\351\2\363\245\213\312\203\341\3\363\2443\377f\211<\30P\350\207\350\377\377\213\330\211]\270;\337tQj W\3775\200\337\262w\377\25\200\257\262w\211E\264;\307t\12W\213\310\350|\351\377\377\353\23\300\213\360\211u\344;\367t\31\213\6SV\377P\24\211E\310;\307}\22\213\6V\377P\10\211}\344\353\7\307E\310\16\0\7\200\213\3S\377P\10\213}\300\203}\310\0|-+}\20\321\377\213E\24\2118\213E\30\213M\344\211\10\353\31\203M\374\377\270\344\1\4\200\353\25j\1X\303\213e\350\307E\310W\0\7\200\203M\374\377\213E\310\215e\250\213M\360d\211\15\0\0\0\0_^[\311\302\24\0\307E\310\16\0\7\200\353\251", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03121   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\33\216}l\200?\0\200", ) , ) == 0x0
 03122   896   NtReadFile  (192, 0, 0, 0, 16256, 0x0, 0, ... {status=0x0, info=16256},  (192, 0, 0, 0, 16256, 0x0, 0, ... {status=0x0, info=16256}, "A\260Y]\361\34*/\261\220\231>\317\336\240\225Y\252"\226\253\226\344\314\3736\202\302JJ\177g\261\272\341\310\235\16\366\N\211O\334\374\225\334\272\202k\3302\357A^]\243\2705\325:tD1\2254\237dIa\207\361\201\365\277\353\227\236\223f\345\343P?')\322\330R|\16\350Z\305l\3164\322B\236i\222S0I\357\370\224@\253Z\223\324\215\36/\35\3559\207\27\373S9\264\26\35\330\273\256^\263\236\257O\7r\356\3358\13\313a\236\15h\243\270\375\150E\341\351Dkz\13\200\2\234\231H\22Fe\250T\177;\252\240\177z\3008\337\212\37\206\205|\323\246\320r~\230\373\225\352<\374FHG\371\30\=#+\227z\330\365\233f\4\311\244\237\37\360\2461\214\212\25\373\320\203q\277\251\214\357\212\252v\225\326z7\35[av\276FU66f\363\374;\251Zb\12[k\322Pv\331\323\307\325\313p\13\371E\202\26\227\341T3z\252\220[}\357\376\364B\341\14\372\324h\331\336\226\3603\274\336\12\200\261\23\254\254\371\357o\370\246\301\373x<\36o\306j\364\272\15\270\363\236\362\327\216R\35\360l\257v\340u\327\365#\203=\241\230\20\274\253b\21\249\373S\276\354z\312\13WH\221\365\357?\247\340\325g\15\330Z\264\255\273#O\261\305K\0`\215}\25\207\246\206@\300\234\346\302\241Yl\273U\350\315\1\6k;\306\326i\212\31361V\355\2624"uPk\330|\5\25z\216\331\34\27r\231!\200\346\325l'\3462\311bgF\270\22\375*\373\305\21\221\360\14\356?7q\3\3w\337\224\336\342~\227y\16@0\3353`\365.\323l9\340A\373\217\305\316\320\252\307\354\300d\341\375\312Wim\337\12\13\211\241\243|"\306\17v\324\252{0", ) \226\253\226\344\314\3736\202\302JJ\177g\261\272\341\310\235\16\366\N\211O\334\374\225\334\272\202k\3302\357A^]\243\2705\325:tD1\2254\237dIa\207\361\201\365\277\353\227\236\223f\345\343P?')\322\330R|\16\350Z\305l\3164\322B\236i\222S0I\357\370\224@\253Z\223\324\215\36/\35\3559\207\27\373S9\264\26\35\330\273\256^\263\236\257O\7r\356\3358\13\313a\236\15h\243\270\375\150E\341\351Dkz\13\200\2\234\231H\22Fe\250T\177;\252\240\177z\3008\337\212\37\206\205|\323\246\320r~\230\373\225\352<\374FHG\371\30\=#+\227z\330\365\233f\4\311\244\237\37\360\2461\214\212\25\373\320\203q\277\251\214\357\212\252v\225\326z7\35[av\276FU66f\363\374;\251Zb\12[k\322Pv\331\323\307\325\313p\13\371E\202\26\227\341T3z\252\220[}\357\376\364B\341\14\372\324h\331\336\226\3603\274\336\12\200\261\23\254\254\371\357o\370\246\301\373x<\36o\306j\364\272\15\270\363\236\362\327\216R\35\360l\257v\340u\327\365#\203=\241\230\20\274\253b\21\249\373S\276\354z\312\13WH\221\365\357?\247\340\325g\15\330Z\264\255\273#O\261\305K\0`\215}\25\207\246\206@\300\234\346\302\241Yl\273U\350\315\1\6k;\306\326i\212\31361V\355\2624 (192, 0, 0, 0, 16256, 0x0, 0, ... {status=0x0, info=16256}, "A\260Y]\361\34*/\261\220\231>\317\336\240\225Y\252"\226\253\226\344\314\3736\202\302JJ\177g\261\272\341\310\235\16\366\N\211O\334\374\225\334\272\202k\3302\357A^]\243\2705\325:tD1\2254\237dIa\207\361\201\365\277\353\227\236\223f\345\343P?')\322\330R|\16\350Z\305l\3164\322B\236i\222S0I\357\370\224@\253Z\223\324\215\36/\35\3559\207\27\373S9\264\26\35\330\273\256^\263\236\257O\7r\356\3358\13\313a\236\15h\243\270\375\150E\341\351Dkz\13\200\2\234\231H\22Fe\250T\177;\252\240\177z\3008\337\212\37\206\205|\323\246\320r~\230\373\225\352<\374FHG\371\30\=#+\227z\330\365\233f\4\311\244\237\37\360\2461\214\212\25\373\320\203q\277\251\214\357\212\252v\225\326z7\35[av\276FU66f\363\374;\251Zb\12[k\322Pv\331\323\307\325\313p\13\371E\202\26\227\341T3z\252\220[}\357\376\364B\341\14\372\324h\331\336\226\3603\274\336\12\200\261\23\254\254\371\357o\370\246\301\373x<\36o\306j\364\272\15\270\363\236\362\327\216R\35\360l\257v\340u\327\365#\203=\241\230\20\274\253b\21\249\373S\276\354z\312\13WH\221\365\357?\247\340\325g\15\330Z\264\255\273#O\261\305K\0`\215}\25\207\246\206@\300\234\346\302\241Yl\273U\350\315\1\6k;\306\326i\212\31361V\355\2624"uPk\330|\5\25z\216\331\34\27r\231!\200\346\325l'\3462\311bgF\270\22\375*\373\305\21\221\360\14\356?7q\3\3w\337\224\336\342~\227y\16@0\3353`\365.\323l9\340A\373\217\305\316\320\252\307\354\300d\341\375\312Wim\337\12\13\211\241\243|"\306\17v\324\252{0", ) \306\17v\324\252{0", ) == 0x0
 03123   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\374\215U\370RhH_\245w\213\10P\377\21\213\370\205\377|\17\213E\370\215U\344RP\213\10\377Q\24\213\370\213E\370\205\300t\6\213\10P\377Q\10\205\377|\27\3776j\0\3775\200\337\262w\377\25\204\257\262w\213E\374\211\6\353\15\213E\374\205\300t\6\213\10P\377Q\10\213\307_^\311\302\10\0\213L$\4VW\213|$\20\213\1f\201`\2\377\177\213\1\203`\14\0\213\1\213P\20\205\322t!\203\377\34rF\215w\370;\326w?\3\320\211P\20\213\1\213P\20\17\267R\2\203\302\24;\327w*\213P\10\205\322t#\215r\14;\367w\34\213p\4\205\366t\25\203\306\14;\367w\16\3\320\211P\10\213\11\1I\43\300\353\5\270S\1\4\200_^\302\10\0U\213\354\201\354\200\4\0\0\213E\14\203e\374\0SV\366\0\10W\307E\370\1\0\0\0td\213E\10\213\0\205\300t[\215M\240jPQP\350\70\375\377\205\300tf\215\205\210\375\377\377h\206\245wP\377\250\22\245wj\23\215u\240Y\215\275\224\375\377\377\363\245\215E\374\273\31\0\2\0P\215\205\210\375\377\377SPf\245\350\10:\2\0\213E\10\277`\301\262w\2130\245\245\245\245\351\4\1\0\0\277\4\1\0\0\215\205\200\373\377\377WPj\0\377\25\334\22\245w\213\360;\367r\12\270\377\377\1\200\351\247\1\0\0\215~\377\205\377v%\215\204}\200\373\377\377f\213\10f\203\371/t\23f\203\371\t\15f\203\371:t\7OHH\205\377w\344\205\377t\1G\215\205\210\375\377\377h\206\245wP\377\250\22\245w+\367\273\31\0\2\0\215L6\2\215\264}\200\373\377\377\213\301\215\275\224\375\377\377\301\351\2\363\245\213\310\215E\374P\203\341\3\215\205\210\375\377\377S\363\244P\350X", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03124   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\1\13\244\223p?\0\200", ) , ) == 0x0
 03125   896   NtReadFile  (192, 0, 0, 0, 16240, 0x0, 0, ... {status=0x0, info=16240},  (192, 0, 0, 0, 16240, 0x0, 0, ... {status=0x0, info=16240}, "\3354"\206+>\316\344\341\331\237\364R\210\10~\267V\5\273\345e"\236\251\\274\31\206\275\373\224\373%\6Elz6%qnJfK\307\344\234\255@o\361\370M\360\14\200\222Zn\323\371\350\30\276\301)VMj\223n\22\35+\7\373\335]y\325\251\373\321\312\220{&\202\307\367IzM\377\223\331\317~\4\274 \10\361\323b/\257@\310\354\241'\374=\337\360a\237\352\315W!&\245V\200w\306\337b\301\214\353\357\321\265k\2603>?\30\362\3315\226-\31v,s\314\370\377\270cw3\25\12\16m\12\2249r\274QB\16\310\346\372\306-\262KZ\270\30\304\250\310\306x\362\23\27\342\222\270\326K\267\210\272\373\10\20\367\232\203\7\256i>@3\3\305kY\331\365\304\210X\230%E\347&t)i\343tU\321\3533\251\322\235W\360H8J \356F\16\216\271\325_\212'\223G\377l\277\331>R\375{t\254\240\356f\245K5\1\220\372\257\365\241\216\262\270'\32D\345V\352T!\13\224C\226\225D\314\212\270\220\257\30-\3044\32-\264\233\232\240t\231\346\302\204O\320(\177k\347\375Y\1P\266E\246\37\237b\325\371;\237\240\262\24\345(\203j \316\21\323\236\222\2\231\177\254O\265\223\347\260f\367]\266\330\371\2724\260\357%_c?\22\313j\15)\376,\353\252\361\223\224a\353B\345\26\367\367\211azk\357\32\304\254\255$\335\256M, ) \206+>\316\344\341\331\237\364R\210\10~\267V\5\273\345e (192, 0, 0, 0, 16240, 0x0, 0, ... {status=0x0, info=16240}, "\3354"\206+>\316\344\341\331\237\364R\210\10~\267V\5\273\345e"\236\251\\274\31\206\275\373\224\373%\6Elz6%qnJfK\307\344\234\255@o\361\370M\360\14\200\222Zn\323\371\350\30\276\301)VMj\223n\22\35+\7\373\335]y\325\251\373\321\312\220{&\202\307\367IzM\377\223\331\317~\4\274 \10\361\323b/\257@\310\354\241'\374=\337\360a\237\352\315W!&\245V\200w\306\337b\301\214\353\357\321\265k\2603>?\30\362\3315\226-\31v,s\314\370\377\270cw3\25\12\16m\12\2249r\274QB\16\310\346\372\306-\262KZ\270\30\304\250\310\306x\362\23\27\342\222\270\326K\267\210\272\373\10\20\367\232\203\7\256i>@3\3\305kY\331\365\304\210X\230%E\347&t)i\343tU\321\3533\251\322\235W\360H8J \356F\16\216\271\325_\212'\223G\377l\277\331>R\375{t\254\240\356f\245K5\1\220\372\257\365\241\216\262\270'\32D\345V\352T!\13\224C\226\225D\314\212\270\220\257\30-\3044\32-\264\233\232\240t\231\346\302\204O\320(\177k\347\375Y\1P\266E\246\37\237b\325\371;\237\240\262\24\345(\203j \316\21\323\236\222\2\231\177\254O\265\223\347\260f\367]\266\330\371\2724\260\357%_c?\22\313j\15)\376,\353\252\361\223\224a\353B\345\26\367\367\211azk\357\32\304\254\255$\335\256M, ) , ) == 0x0
 03126   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\20\213u\20\245\245\213E\10\245\245\213M\370\211H\14\213M\14\211H\10\213S(\203 \0\211P\4\203{$\0t\7\213S(\211\2\353\3\211C$\366\301\20\211C(t\4\200K\15@\366\301\21t\4\200K\16\1\367\301\210\0\300\0t\4\200K\16\2\367\301@\0 \0t\4\200K\15\200\366\301"t\4\200K\16\4\367\301D\00\0t\4\200K\16\10\377C\24\307E\364\1\0\0\0\353\7\307E\374\16\0\7\200\203}\364\0u\15\213E\370\205\300t\6\213\10P\377Q\10\213E\374_^[\311\302\20\0V\213q$\205\366t\15\213F\14P\213\10\377Q4\2136\353\357^\303U\213\354\203\354\34\213U\20V3\366\366B\6\1\211u\354\17\205'\1\0\0W3\3779q\24S\213]\10\307E\344 \0\0\0\211}\360\211u\374\211u\370u\119rH\17\204\316\0\0\0\213E\14\213q$Ht0HHuB\366A\15\200t \213C\34\307E\370\1\0\0\0\307E\10@\0\0\0\2018\5\1\1\200u\7\307E\10@\0 \0\203e\350\0\353\26\366A\15@j\1Xt\12\211E\370\307E\10\20\0\0\0\211E\350\205\366tl\213}\20\203}\370\0t`\213E\10\205F\10tR\213E\14Ht\24HHu#\213F\14\215U\364RS\213\10P\377Q(\353\16\213F\14\215U\364RS\213\10P\377Q\34\213U\20\213\370\205\377|\27\213E\364\205\300v\32\203\300\7$\370\1E\374\377E\360\211E\364\353\12\213\3WS\377P\20\213U\20\2136\205\366u\232\213}\360\205\377t\11\215G\1\301\340\5\211E\3443\366\213C\349u\350\213\0u\59u\374u\3\211E\354\213E\374;\306w\59rHt\209u\354|\13\213M\344\211z,\3\301\211B0\200", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) t\4\200K\16\4\367\301D\00\0t\4\200K\16\10\377C\24\307E\364\1\0\0\0\353\7\307E\374\16\0\7\200\203}\364\0u\15\213E\370\205\300t\6\213\10P\377Q\10\213E\374_^[\311\302\20\0V\213q$\205\366t\15\213F\14P\213\10\377Q4\2136\353\357^\303U\213\354\203\354\34\213U\20V3\366\366B\6\1\211u\354\17\205'\1\0\0W3\3779q\24S\213]\10\307E\344 \0\0\0\211}\360\211u\374\211u\370u\119rH\17\204\316\0\0\0\213E\14\213q$Ht0HHuB\366A\15\200t \213C\34\307E\370\1\0\0\0\307E\10@\0\0\0\2018\5\1\1\200u\7\307E\10@\0 \0\203e\350\0\353\26\366A\15@j\1Xt\12\211E\370\307E\10\20\0\0\0\211E\350\205\366tl\213}\20\203}\370\0t`\213E\10\205F\10tR\213E\14Ht\24HHu#\213F\14\215U\364RS\213\10P\377Q(\353\16\213F\14\215U\364RS\213\10P\377Q\34\213U\20\213\370\205\377|\27\213E\364\205\300v\32\203\300\7$\370\1E\374\377E\360\211E\364\353\12\213\3WS\377P\20\213U\20\2136\205\366u\232\213}\360\205\377t\11\215G\1\301\340\5\211E\3443\366\213C\349u\350\213\0u\59u\374u\3\211E\354\213E\374;\306w\59rHt\209u\354|\13\213M\344\211z,\3\301\211B0\200", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03127   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\341\203=\350\336=\0\200", ) , ) == 0x0
 03128   896   NtReadFile  (192, 0, 0, 0, 15838, 0x0, 0, ... {status=0x0, info=15838},  (192, 0, 0, 0, 15838, 0x0, 0, ... {status=0x0, info=15838}, "\236H\313\272\262\34|*\0\253{ \230\7\267\214\14-\)\10r,\352\314s\326\352\264\250)\265\225 Bb\352!\22[K\14dp\327\270\32\235\365\2KYK\12\256\2676+\16\203\270%\341%\205\226\334\313F\365\330bA\20bK7\26k\253\250CKAV\273U\311\352\260n\32\364\251\344J\305{\265_\322E\375\27NU\36\307.\316\312\177\354v\323\275B~\321\203\35u\232\243E\231\315Rf\33\264B\224\252\37\240\234\265\275_!\216\1ZG\363\256\274N\253\264k\312>\27\334\353\264\2443\244=\237pm\234\221\214\376\202c\320h\305\27\277\20\2X7\272K\314\7o\24\2\345\317\366\344\232\257-\320\254/\201\34\104\177Z\214r\255\273\2225\204R\276oF\23:\327\305}\5*i\215\26-\255\34q\251\323T-I\371\316?$~\14\15\247\366\10\235^\357\2328\327\336W\36\261|\276\362\306r\302\263hX\315\4\231\274\223\270 7N\201\250\260\355\3\335\16|,\26\255\312\307Y\215\235\32\271t\371\343Z\375\353\361\K\361\323\334+\332\277\276s>\332\265\270\177\277\37R\337\303\252\377\325Q\363\7\242\274Y\15\20\12\355\302\352\225ipS\367\3318~\35"o\226\17g\342\355\371\254\271\232S\177@s\205!]\177\233i\11\17q\254\360\14\177\216E\351\364\256En{\13\236\316\243\367\205f\262L\370\204\363*\345\301\2715\254\265\372\204\261\342\327\300\324\225%\\255\225%e\251\367\350\354\324 \210\306\350:B/S\334\311\3523\255\262\205"\314w\252\265\262\4)\265e\11\375k&a\260+\322\217\314\334\355*\257\205_\265Y\351\177\257\215M\373\245:\320\253\345\362\322-\11\205\2749\356\341"\37/\251\364\261c\254\326@2`\253\335\5\343\35\36\273\367\362", ) o\226\17g\342\355\371\254\271\232S\177@s\205!]\177\233i\11\17q\254\360\14\177\216E\351\364\256En{\13\236\316\243\367\205f\262L\370\204\363*\345\301\2715\254\265\372\204\261\342\327\300\324\225%\\255\225%e\251\367\350\354\324 \210\306\350:B/S\334\311\3523\255\262\205 (192, 0, 0, 0, 15838, 0x0, 0, ... {status=0x0, info=15838}, "\236H\313\272\262\34|*\0\253{ \230\7\267\214\14-\)\10r,\352\314s\326\352\264\250)\265\225 Bb\352!\22[K\14dp\327\270\32\235\365\2KYK\12\256\2676+\16\203\270%\341%\205\226\334\313F\365\330bA\20bK7\26k\253\250CKAV\273U\311\352\260n\32\364\251\344J\305{\265_\322E\375\27NU\36\307.\316\312\177\354v\323\275B~\321\203\35u\232\243E\231\315Rf\33\264B\224\252\37\240\234\265\275_!\216\1ZG\363\256\274N\253\264k\312>\27\334\353\264\2443\244=\237pm\234\221\214\376\202c\320h\305\27\277\20\2X7\272K\314\7o\24\2\345\317\366\344\232\257-\320\254/\201\34\104\177Z\214r\255\273\2225\204R\276oF\23:\327\305}\5*i\215\26-\255\34q\251\323T-I\371\316?$~\14\15\247\366\10\235^\357\2328\327\336W\36\261|\276\362\306r\302\263hX\315\4\231\274\223\270 7N\201\250\260\355\3\335\16|,\26\255\312\307Y\215\235\32\271t\371\343Z\375\353\361\K\361\323\334+\332\277\276s>\332\265\270\177\277\37R\337\303\252\377\325Q\363\7\242\274Y\15\20\12\355\302\352\225ipS\367\3318~\35"o\226\17g\342\355\371\254\271\232S\177@s\205!]\177\233i\11\17q\254\360\14\177\216E\351\364\256En{\13\236\316\243\367\205f\262L\370\204\363*\345\301\2715\254\265\372\204\261\342\327\300\324\225%\\255\225%e\251\367\350\354\324 \210\306\350:B/S\334\311\3523\255\262\205"\314w\252\265\262\4)\265e\11\375k&a\260+\322\217\314\334\355*\257\205_\265Y\351\177\257\215M\373\245:\320\253\345\362\322-\11\205\2749\356\341"\37/\251\364\261c\254\326@2`\253\335\5\343\35\36\273\367\362", ) \37/\251\364\261c\254\326@2`\253\335\5\343\35\36\273\367\362", ) == 0x0
 03129   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "9Q\4\215q\4\17\205y\4\0\0\213\1\215y\10\211\27\213\20;\25(^\245wu(\213P\4;\25,^\245wu\35\213P\10;\250^\245wu\22\213@\14;\54^\245wu\7\213\305\215M\4\353]\213\1\213\10;\15X^\245wu!\213H\4;\15\^\245wu\26\213H\10;\15`^\245wu\13\213H\14;\15d^\245wt+\213\10;\15h^\245wu3\213H\4;\15l^\245wu(\213H\10;\15p^\245wu\35\213H\14;\15t^\245wu\22\213\303\215K\4\367\330\33\300#\301\211\6\351\23\2\0\0\213\10;\15@.\246wu!\213H\4;\15D.\246wu\26\213H\10;\15H.\246wu\13\213H\14;\15L.\246wt+\213\10;\15\370A\246wu(\213H\4;\15\374A\246wu\35\213H\10;\15\0B\246wu\22\213H\14;\15\4B\246wu\7\211\36\351\266\1\0\0\213\10;\15\350e\245wu8\213H\4;\15\354e\245wu-\213H\10;\15\360e\245wu"\213@\14;\5\364e\245wu\27WVh\10g\245w\215K\4\350\5n\374\377\205\300\17\205t\1\0\0\213D$ WV\215K\4\3770\350\355m\374\377\205\300\17\205\\1\0\0\366\203\230\0\0\0\20\17\204O\1\0\0\213D$ \213\0\213\10;\15\330^\245wu+\213H\4;\15\334^\245wu \213H\10;\15\340^\245wu\25\213H\14;\15\344^\245wu\12\203'\0\211.\351\24\1\0\0\213\10;\15\270^\245wu%\213H\4;\15\274^\245wu\32\213H\10;\15\300^\245wu\17\213H\14;\15\304^\245w\17\204\337\0\0\0\213\10;\15\210a\245wu%\213H\4;\15\214a\245wu\32\213H", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \213@\14;\5\364e\245wu\27WVh\10g\245w\215K\4\350\5n\374\377\205\300\17\205t\1\0\0\213D$ WV\215K\4\3770\350\355m\374\377\205\300\17\205\\1\0\0\366\203\230\0\0\0\20\17\204O\1\0\0\213D$ \213\0\213\10;\15\330^\245wu+\213H\4;\15\334^\245wu \213H\10;\15\340^\245wu\25\213H\14;\15\344^\245wu\12\203'\0\211.\351\24\1\0\0\213\10;\15\270^\245wu%\213H\4;\15\274^\245wu\32\213H\10;\15\300^\245wu\17\213H\14;\15\304^\245w\17\204\337\0\0\0\213\10;\15\210a\245wu%\213H\4;\15\214a\245wu\32\213H", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03130   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\272\371\230\332\304>\0\200", ) , ) == 0x0
 03131   896   NtReadFile  (192, 0, 0, 0, 16068, 0x0, 0, ... {status=0x0, info=16068},  (192, 0, 0, 0, 16068, 0x0, 0, ... {status=0x0, info=16068}, "\307\3\377\276\220\12\244\14\331\237K+\343#\302|e\357.1E\265\2577\10\212\6 A'\320\213\267\243\353b:2N\210\323X}40\315w\252\316\2127\331\220\202#\3407\235\222\362@^\375c3\25)\275\27\317\30\215d\375\274\232\334\370#%r\247\221O:\276\360\274Bs\336A\340\361\25cWz\365\310f?\343\223~2\2217\245K\204h\4\372\251\350>\235\213?\24\11~\21v\3\31\236\330\242\326\340'\337\257ap\367\212\337\211\364y\251R_\310\347\261\32\354\311)t\340`\354\14E\361\355+.\12\256\3549\265\304&V1\215\256U\2354n\202A\324\3578\314\354\202\357x\15\233y\302\333\236\350\326\220\256\346\302\11u+\2658\320xn\256E\336\250\230\224\0\251\327j\22}}`\241\315*q\243\376\7\240\372:\207J\202\360\231\36\14\274\340}\377\36\203d\4\16\344\214\25\23\214\306}\272!\23\353\337\305\205\21\263\324\351\202\300R\277Dg\306\217:\27\306\325oK]\2010o9[\313"\255\14\240\212~`\336I\354\3629>0~\206w\337l\16Pr\352mk?\22z\276\307\322\323\325\36\354% \311\364sOB0\22\324\1\250\252\370o\373:\251\377a\366\33\311\\302\242,\240~\365\215\27\355\222\226\312\251\337\256\267Uw\35\375y\2671\217\345\245\242\f\245iB\262\213;\371\264+A5\350.\343\307\377{5\260T\33\204\254\321\354X\324\344", ) \255\14\240\212~`\336I\354\3629>0~\206w\337l\16Pr\352mk?\22z\276\307\322\323\325\36\354% \311\364sOB0\22\324\1\250\252\370o\373:\251\377a\366\33\311\\302\242,\240~\365\215\27\355\222\226\312\251\337\256\267Uw\35\375y\2671\217\345\245\242\f\245iB\262\213;\371\264+A5\350.\343\307\377{5\260T\33\204\254\321\354X\324\344", ) == 0x0
 03132   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\205\377u\15\213\316\350\307\374\377\377V\350\207\367\372\377\213\307_^\302\4\0SVW\350?\2\0\0\213t$\20\215^\10S\377\25l\22\245w\213F4\205\300t\6P\350]\367\372\377\377t$\30\377\25\10\22\245w\215D\0\2P\350\277\334\372\377\205\300\211F4u\7\270\16\0\7\200\353\37\377t$\30P\377\250\22\245w\215~$\213t$\24\245\245\245S\245\377\25h\22\245w3\300_^[\302\14\0U\213\354SV\213u\10\215E\10WP\213\316\350"\376\377\377\213\330\205\333|.\213E\10P\213\10\377Q\20\213\330\213E\10P\213\10\377Q\10\215~\10W\377\25l\22\245w\213\6\213\316\377P W\377\25h\22\245w\353\12\201\373\5@\0\200u\23\333_\213\303^[]\302\4\0U\213\354\203=\264\300\262w\0u\5j\1X\353-\213M\10\215E\10VP\350\275\375\377\377\205\300|\26\213E\10P\213\10\377Q\24\213\360\213E\10P\213\10\377Q\10\353\3j\1^\213\306^]\302\4\0U\213\354\213M\10\215E\10VP\350\211\375\377\377\213\360\205\366|.\377u(\213E\10\377u$\213\10\377u \377u\34\377u\30\377u\24\377u\20\377u\14P\377Q\30\213\360\213E\10P\213\10\377Q\10\353\12\201\376\5@\0\200u\23\366\213\306^]\302$\0U\213\354V\213u\14Wj\20Y\277(^\245w3\300\363\246t\36\213u\14j\20Y\277H^\245w3\300\363\246t\15\213E\20\203 \0\270\2@\0\200\353\12\213M\20\213E\10\211\13\300_^]\302\14\0U\213\354\203}\14\0VWt\15\213E\24\203 \0\270\20\1\4\200\353Nj@\3507\333\372\377\205\300t\12\307\0\340F\245w\213\360\353\23\366\205\366u\14\213E\24!0\270\16\0\7", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \376\377\377\213\330\205\333|.\213E\10P\213\10\377Q\20\213\330\213E\10P\213\10\377Q\10\215~\10W\377\25l\22\245w\213\6\213\316\377P W\377\25h\22\245w\353\12\201\373\5@\0\200u\23\333_\213\303^[]\302\4\0U\213\354\203=\264\300\262w\0u\5j\1X\353-\213M\10\215E\10VP\350\275\375\377\377\205\300|\26\213E\10P\213\10\377Q\24\213\360\213E\10P\213\10\377Q\10\353\3j\1^\213\306^]\302\4\0U\213\354\213M\10\215E\10VP\350\211\375\377\377\213\360\205\366|.\377u(\213E\10\377u$\213\10\377u \377u\34\377u\30\377u\24\377u\20\377u\14P\377Q\30\213\360\213E\10P\213\10\377Q\10\353\12\201\376\5@\0\200u\23\366\213\306^]\302$\0U\213\354V\213u\14Wj\20Y\277(^\245w3\300\363\246t\36\213u\14j\20Y\277H^\245w3\300\363\246t\15\213E\20\203 \0\270\2@\0\200\353\12\213M\20\213E\10\211\13\300_^]\302\14\0U\213\354\203}\14\0VWt\15\213E\24\203 \0\270\20\1\4\200\353Nj@\3507\333\372\377\205\300t\12\307\0\340F\245w\213\360\353\23\366\205\366u\14\213E\24!0\270\16\0\7", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03133   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\20>\320\220\27\0\200", ) , ) == 0x0
 03134   896   NtReadFile  (192, 0, 0, 0, 14082, 0x0, 0, ... {status=0x0, info=14082},  (192, 0, 0, 0, 14082, 0x0, 0, ... {status=0x0, info=14082}, "\226\366\300\35\250\262oO\320\270[Q\270\336\334S\204\367\336\35\25\305\217S\1\360\267\3021pV\244\12\277\36N\360-\21\201\252'\334\274\363f@\332\363\270e\24O\23h6\340\16\15\255kW\264'K\304\371N\27\0\242FO3\304"\360#:\*\237\0m\254v=\276\10\1%\362h\347w\324$j&\267;D\300\337\355p\252;|\366?\354Q:t\332\212\211\264\366\376{\246\323\342=;\10(\253\320\207\270\357\213<\201\210\36N\305U\230*P\315\3674\2353(\316\307\373\357\341wp\262\326\201\256\24;IG\371\17\337\2\214_wI\355\245%l\211[\20n\304\206I\355\\334\35=izH\211\340\355\4\21\331}\303\255\306aU\305\276\313\373$\273\236\230\200~{jl\335(\224p\246\237\244v\360\210\262\366<\315lBd\272\7\366\253\16\342k\233\35\352b4#\227 \37\344\264\204\365\215O\206\213\252-\200p(\333\265G\245\324\222?\316`.I\30\254\345BHB\3031Xpde\234q\264K\261:\316x\242\261l\264X\14J\334\23d\341\35\236x\253l\322\12%X$x\212v\347\355\213\333\212\5\266H\337\317\352\271\203tQ/f\355,,\11\225\222\301wz9\336\36L\256O\25I\275\11\354\22(\3h\344\222\312\25\224\325\17\300Vm|-D\360\373\316\326\22\374\245N\0\341\237\320%\35J\364))Go\223\376\350~\37\14\310\225$]\3678\354\376\225\328\252)\235f=\201\270w\204\30\304\204\277^\273\274\216?\233_\202\374\237\347\341", ) \360#:\*\237\0m\254v=\276\10\1%\362h\347w\324$j&\267;D\300\337\355p\252;|\366?\354Q:t\332\212\211\264\366\376{\246\323\342=;\10(\253\320\207\270\357\213<\201\210\36N\305U\230*P\315\3674\2353(\316\307\373\357\341wp\262\326\201\256\24;IG\371\17\337\2\214_wI\355\245%l\211[\20n\304\206I\355\\334\35=izH\211\340\355\4\21\331}\303\255\306aU\305\276\313\373$\273\236\230\200~{jl\335(\224p\246\237\244v\360\210\262\366<\315lBd\272\7\366\253\16\342k\233\35\352b4#\227 \37\344\264\204\365\215O\206\213\252-\200p(\333\265G\245\324\222?\316`.I\30\254\345BHB\3031Xpde\234q\264K\261:\316x\242\261l\264X\14J\334\23d\341\35\236x\253l\322\12%X$x\212v\347\355\213362\271\22\26\313e\177\340mx\34\252C\360S\324\366\367\26\342g\260t\200x\246\33\257\20\205~\220u\364\244\21\337\316JU\10]Q\24\322\246\16\216\200\33G\332\10c\246\?|k\304\331\26>\333\212\5\266H\337\317\352\271\203tQ/f\355,,\11\225\222\301wz9\336\36L\256O\25I\275\11\354\22(\3h\344\222\312\25\224\325\17\300Vm|-D\360\373\316\326\22\374\245N\0\341\237\320%\35J\364))Go\223\376\350~\37\14\310\225$]\3678\354\376\225\328\252)\235f=\201\270w\204\30\304\204\277^\273\274\216?\233_\202\374\237\347\341", ) == 0x0
 03135   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\333h ,\246wP\211]\370\377\21\213E\370Sj\5\215\210\264\1\0\0\367\330\33\300#\301P\213\10\377Q\14;\303\17\214\262\1\0\0\213M\370\350\350\366\377\377\377u\20\213\360\213E\24V\211\30\213\6\377P\24\213\370;\373\17\214\216\1\0\0\213E\209\30\17\205\203\1\0\0j\1\215M\364X\211]\14\211E\364\211E\374\213\6QV\377P$\213\370;\373\17\214c\1\0\09]\364t \215E\14\213\316P\350y\13\5\0\213\370;\373\17\214I\1\0\0\377u\14\350\314\4\0\0\211E\3749]\374t8\215E\374\211]\374Ph\0.\246w\350\216u\376\377\213\370;\373\17\214\36\1\0\0\213M\374\350\303n\376\377\205\300u\11\213E\20\307\0\1\0\0\0\213M\374\350\246V\376\377\213E\209\30\17\205\245\0\0\0\213E\14P\213\10\377Q\34\213\370;\373\17\214\343\0\0\0\271H\267\262w\350\35\\372\377\377u\14\350(t\376\377hP\267\262w\213\360\377\25h\22\245w;\363te\213M\14\350]V\376\377\213M\370\215E\374P\211u\14\211]\374\350\346\365\377\377\213\310\350\361\11\5\0\213\370;\373\17\214\225\0\0\09]\374t?;u\374u&\215E\360Ph\0.\246w\350\343t\376\377\213M\360\213\370;M\374u\11\213E\20\307\0\1\0\0\0\350\12V\376\377\213M\374\350\2V\376\377\353\12\377u\14\350dt\376\377\213\370;\373|M\213E\209\30u:\213E\370\215U\20R\213\200\330\1\0\0\211]\20P\213\10\377Q4\213\370;\373|\249]\20t\17\213M\14\350\302U\376\377\277$@\0\200\353\26\213M\24\213E\14\211\1\353\14\213M\14;\313t\5\350\245U\376\377\213\307_^[\311\302\20\0U\213\354QSVWj \307E\374\5@\0", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03136   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\214\335\36=\0<\0\200", ) , ) == 0x0
 03137   896   NtReadFile  (192, 0, 0, 0, 15360, 0x0, 0, ... {status=0x0, info=15360},  (192, 0, 0, 0, 15360, 0x0, 0, ... {status=0x0, info=15360}, "i\347\365\370I\334\201\11\217\365\206\333\312\13+\347O \371\373\3\240\310\370|X?\211\316\6`\304\323\245Xd\200\330\362\6fSn) k\232G\177\301\327\372MTGs\206\255\277q\251\12\364\355\225\25\26\2606\343II\5\211\8\324ul\264t\21\244\355\370i\24|\227\272]\263\353\202ux\301\251\303\274\332\205\21'\205\313\221\361\330CY\360\250y}\330\3255\345Ct\177\225\237 \4\214Q>\31\314\360\325q\332\246\212\230\266\215\13N\14\234Y\375\372\302l\333\261\376\303\177\276\340J\30\1\360VT\345>5\277\234T\235\364{e\273z\\267,\275\22\337\235\306[\305oH\321\215\313\240\222\227\206Q\34@\322\331\343v\345\241z\323\301y\256|\262R\377\4\13\221\230\27\314'\235\364\304\354<\365\354\336\244(\205\3218\270\375/\246Y\364\15, ) , ) == 0x0
 03138   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\33\300\203\300\3\211A\34\353\7\307A\34\1\0\0\03\300]\302\4\0U\213\354V\213\361W\215F\30\215~\24\215N\20PWQ\213\316\350\351\12\0\0\205\300|X\213F\14S\213]\20\213\10S\377u\14\377u\10P\377Q\14\211E\20\213\3\205\300\211F$v \203}\20\0|\32\377u\14\213\316\350\211\11\0\0\213\7\377v \213\10P\377Q\14\211E\20\353\24\215F\30\213\316P\215F\20WP\215F,P\350\23\11\0\0\213E\20[_^]\302\14\0U\213\354QS\213\331\200e\377\0V\213C\30Wj\377j\0\213\10P\377Q\14\213\370\205\377\17\214\212\0\0\0\213\313\350$\13\0\0\213\370\205\377|g\213C\24\215s$V\377s,\213\10P\377Q\20\213M\14\213\370\213\69E\14r\2\213\310\213E\20\205\377\211\10|:\203>\0v5\213s,\213}\10\363\245\213\10\213S,\377u\14\215\14\212\211K4\213K$+\10\211K0\213\313\350\331\10\0\0\213C\24\377s \213\10P\377Q\14\213\370\353\22\306E\377\1\353\14j\0\213\313\377s\20\350z\12\0\0\205\377|\6\200}\377\0t\27\215C\30\213\313P\215C\24P\215C\20P\215C,P\350D\10\0\0\213\307_^[\311\302\14\0\213\301S\213L$\14V\213\321\213p4\301\342\2\213\312W\213|$\20\213\331\301\351\2\363\245\213\313\203\341\3\363\244\213L$\24\1P4)H0_^3\300[\302\14\0U\213\354\203\354\14S\213U\10\213\331VW\213\372\213K0\213s4\301\341\2\213\301\301\351\2\363\245\213\310\203\341\3\363\244\213C0\213u\14+\3603\377\215\4\202\211{0\211E\364\213C\30\211{4W\213\10WP\377Q\14;\307\211E\374\271\25\1\1\200\17\214\276\0\0\0;\301\17\204", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03139   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\271\\266 V<\0\200", ) , ) == 0x0
 03140   896   NtReadFile  (192, 0, 0, 0, 15446, 0x0, 0, ... {status=0x0, info=15446},  (192, 0, 0, 0, 15446, 0x0, 0, ... {status=0x0, info=15446}, "\343^\316\353\317\353uc\242\374\262\200%\2\336\274#\6\333\1b\373_\341L\240\366\35\315\337\7\201\33\1\373`\27i\372@\214\222\214\362\37\12\337\250!\276\224\277\2716J\377\242\2320\340.\305\3q~\4\21\263\31\222H\351\350\375\3026]/\227\10\365I\237\214\356&\203\240\201\344\247v\303B_\203\4h:S\224k\321\266\234W\304[\20p\316Z\262\267\15\17\\235\3073z\366\376\206&\24\376\327bCK\316@z\304\244\206\336l\227_\337\366\265\351\267\357\257\277\271\337_\341\3276\177\302]j\255\222\270cIvu\301\217l\37\256\217H\261\247\24\264\323\275\324\25\247\33hJ\277+J\270\374Nqh\35\374/\17\272&l\264\260'_\33\33\207\212\271\331\243p\341\363\267\306]\26\225\243\316\32\15\37\303\200\231C1Q\321\214\311\333\333\227\354\224Kk8\331\255\375\314\244\350<\311`\371\252\264G\217rq\14\25kn\302>\16SF\350\261C\3604\317\206\366*\21\206\314\373\360\321\301P+\211\354E\255\256\325\275\32J<\225s+Nh\247\320\257r]\\332\0]X\27\345\274{\264+%o7_\370\340?\252\222_N\216\245s^\362\322\232\353\341\222*\203\13Y<\36\335\5\230\227C\375\266k\220\14\356\17T\245\357Q\3203g\221QD\226t\222\222-\235J\337lk;\240L\312A\37\332k\275\317?\257\261\355\37\0\202g;!\355\341t#\202#\26\254\240\205h\224\13q+{\222\303OvE\302p\255\242\236\33o\354kh\362\306\345C`T\253\33\216\302\210\35\336\25\355\230\211\23\34J1\256*)\227\30\335!vY\362\242\366\233\242\305C:\333{\337\222\261\32\324%km\374d\24\313\327Mi\273&\2"\323\374e\326\202\261s\351\20\36-\353\177\301\246", ) \323\374e\326\202\261s\351\20\36-\353\177\301\246", ) == 0x0
 03141   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "}\364\211u\370\350P\373\377\377\205\300\17\204\10\2\0\0=\0\1\1\200u\7\270\0@\0\0\353\23\300\17\267\317\17\267\300Q\276\344\3\0\0PV\350\362\255\3\0PSV\211E\24\377u\20\350\346\14\0\0\205\300\17\205\317\1\0\0\377u\24\351\231\0\0\0\377u\10\350\361\354\377\377\213\330j\0S\377\25\314\26\245w\213}\24\377u\20\213\360\301\357\20\350\355\14\0\0\205\300tx\203\276\244\0\0\0\0uo\213E\20\211]\340\211E\350\215E\334P\307E\344\343\3\0\0f\211}\364\211u\370\350\267\372\377\377\205\300\17\204o\1\0\0|\7\307E\374\0\200\0\0=\12\1\1\200u\4\200M\375@\17\267\307P\276\344\3\0\0\17\267E\374PV\350T\255\3\0PSV\211E\24\377u\20\350H\14\0\0\205\300\17\2051\1\0\0\377u\24V\350;\255\3\0f\205\377\17\204\37\1\0\0W\377\25\260\23\245w\351\23\1\0\0\377u\10\350=\354\377\377\213\370SW\377\25\314\26\245w\377u\24\276\342\3\0\0\213\330V\350\12\255\3\0\377u\24\211E\10V\350\35\255\3\0\377u\20\211E\24\350#\14\0\0\205\300tv\203\273\244\0\0\0\0um\213E\20\211u\344\213u\24\211E\350\213E\10\211}\340\211E\360\215E\334Pf\211u\364\211]\370\350\350\371\377\377\205\300\17\204\240\0\0\0|\7\307E\374\0\200\0\0=\12\1\1\200u\4\200M\375@\17\267\306P\276\344\3\0\0\17\267E\374PV\350\205\254\3\0\213\330SWV\377u\20\350z\13\0\0\205\300ugSV\350s\254\3\0\377u\10\377\25\244\23\245w\353U\377u\10\350\177\353\377\377SP\211E\10\377\25\314\26\245w\213\3609\236\244\0\0\0t\5\211^\30\3533\213F\34\377\216\254\0\0\0P\213\10\377", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03142   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\210\365\253\262\328\0\200", ) , ) == 0x0
 03143   896   NtReadFile  (192, 0, 0, 0, 14362, 0x0, 0, ... {status=0x0, info=14362},  (192, 0, 0, 0, 14362, 0x0, 0, ... {status=0x0, info=14362}, "\37\264@.VIye0\207X\33\305\321\35e\331!\270\264a\21\311\203\224\31~y\31\306\24\366\32\351:\245\334\300\200$YGJ1\15\21\302\22p\215]\341\245\341\256N\316\245\31L\256\5P\220\26]dc\226N.\326\234\200\301\10@\2\210\33\3656\246l\215\301G\223pW\27\322[7\333x\11\302.\315\12A\223\304>\240.\364Jv&\325\205R\246*\2470\34\301\53\4%4\232R\30\2@\3\201\221\2OX\6\255&\1"\11D\25H\276\7\211\2\315\276\212\323`%\325\211\2\3427\335\20\253\335\365\242\373T\332H\241\351\331j \3402\230\237&A\205w\263\362\217\35+L.L\376\1^\355\331\214\252X\300H\230\2211\321\221\325D\0N\2\234\4@\11\200\228%R\354\tw$\371\374)+\371\210\0\211\234\311\313\24\3729<\20\363'b\267\306L\2270'\372)/\5\324\0"\4\371\277\312\237x\J\353a09V\306\246Y\16\244b\223\205\3219\26\350k\276\332;_\255\232j\251\304\342\16%p\252\251C\367\300!\241K\367\12\377d\5\5g,n\310\2133!\31\37+N\351\2\16f`d\230RYI\332\255\266\3\26\341\213M[\33\17\246,\225\21F\266\264\211\205\13\210?\342\357\376%\2z\17*\261h\305\320ctW-\252\254Bs\205!!\301\345\377\346\212\7\335\264-\216A\1\3343\373.M)\246\12\22\376\331\20a\251\274\214\357\227~T$\32w\206'\260a6\340\313\353\270\233\235\331\252|\233s&6\221v\240\227\336zv\370z\177\12}\21\330E\274\3\373u-\3173\242Eg\263\354\310o\260\362\10\344~\226\0t\270\367O\322H`\275\227[\227\333i\34g\204\36V\357\200f\271\361\340+^.\350\15\222\257\13\315", ) \11D\25H\276\7\211\2\315\276\212\323`%\325\211\2\3427\335\20\253\335\365\242\373T\332H\241\351\331j \3402\230\237&A\205w\263\362\217\35+L.L\376\1^\355\331\214\252X\300H\230\2211\321\221\325D\0N\2\234\4@\11\200\228%R\354\tw$\371\374)+\371\210\0\211\234\311\313\24\3729<\20\363'b\267\306L\2270'\372)/\5\324\0 (192, 0, 0, 0, 14362, 0x0, 0, ... {status=0x0, info=14362}, "\37\264@.VIye0\207X\33\305\321\35e\331!\270\264a\21\311\203\224\31~y\31\306\24\366\32\351:\245\334\300\200$YGJ1\15\21\302\22p\215]\341\245\341\256N\316\245\31L\256\5P\220\26]dc\226N.\326\234\200\301\10@\2\210\33\3656\246l\215\301G\223pW\27\322[7\333x\11\302.\315\12A\223\304>\240.\364Jv&\325\205R\246*\2470\34\301\53\4%4\232R\30\2@\3\201\221\2OX\6\255&\1"\11D\25H\276\7\211\2\315\276\212\323`%\325\211\2\3427\335\20\253\335\365\242\373T\332H\241\351\331j \3402\230\237&A\205w\263\362\217\35+L.L\376\1^\355\331\214\252X\300H\230\2211\321\221\325D\0N\2\234\4@\11\200\228%R\354\tw$\371\374)+\371\210\0\211\234\311\313\24\3729<\20\363'b\267\306L\2270'\372)/\5\324\0"\4\371\277\312\237x\J\353a09V\306\246Y\16\244b\223\205\3219\26\350k\276\332;_\255\232j\251\304\342\16%p\252\251C\367\300!\241K\367\12\377d\5\5g,n\310\2133!\31\37+N\351\2\16f`d\230RYI\332\255\266\3\26\341\213M[\33\17\246,\225\21F\266\264\211\205\13\210?\342\357\376%\2z\17*\261h\305\320ctW-\252\254Bs\205!!\301\345\377\346\212\7\335\264-\216A\1\3343\373.M)\246\12\22\376\331\20a\251\274\214\357\227~T$\32w\206'\260a6\340\313\353\270\233\235\331\252|\233s&6\221v\240\227\336zv\370z\177\12}\21\330E\274\3\373u-\3173\242Eg\263\354\310o\260\362\10\344~\226\0t\270\367O\322H`\275\227[\227\333i\34g\204\36V\357\200f\271\361\340+^.\350\15\222\257\13\315", ) , ) == 0x0
 03144   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "F09M\14\211E\354\213F$\211E\360t\5\213F<\353\3\213F@Q\215M\324\211E\364\213\3j$QS\377P\20\213\370\205\377u\23\213v\24\205\366t\14\213\3W\3776VS\377P\20\213\370\213\307_^[\311\302\10\0U\213\354\203\354(VW\213}\10\215E\374P\213\361W\350H<\373\377\205\300\17\205\305\0\0\0\213\7\215M\10Q\215M\330j$QW\377P\14\203}\10$\17\205\246\0\0\0\203}\330\0t?\377u\330\350}\334\370\377\205\300\211F\24t)\213\17\215U\10R\377u\330PW\377Q\14\213M\10;M\330t\36\377v\24\350\342\366\370\377\203f\24\0\270\5@\0\200\353\13\270\16\0\7\200\353\4\203f\24\0\205\300u^f\213M\374f\211N\20\213M\334\211N\30\213M\340\211N\34\213M\344\211N \213M\350\211N(\213M\354\211N,\213M\364\211N$\213M\370\211N<\213M\360\203\341\376\203\311\2\213\321\211N0\367\322\366\302\10t\27\203\311\20\211N0\213M\14\213\21\211V8\377\1\353\5\270\5@\0\200_^\311\302\10\0VW\213|$\14\213\361;\367tp\3507\361\377\377\215F\20P\215G\20P\350\13\257\372\377\205\300u\4\203N0 \213G$\211F$\213G(\211F(\213G,\211F,\213G0\211F0\213G4\211F4\213G8\211F8\213G<\211F<\213GH\205\300\211FHt\6\213\10P\377Q\4\213GL\205\300\211FLt\6\213\10P\377Q\4\213GP\211FP\213GT\211FT\213\306_^\302\4\0U\213\354\203\354\24S\213]\10V\213u\14\213\3W\377u\20VS\377P\14\205\300tof\203>\10u0j\5\215}\354Y\213\3\363\245j\20\215M\354^f\307E\354\2\0\377u\20\211", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03145   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\270s8\311\214:\0\200", ) , ) == 0x0
 03146   896   NtReadFile  (192, 0, 0, 0, 14988, 0x0, 0, ... {status=0x0, info=14988},  (192, 0, 0, 0, 14988, 0x0, 0, ... {status=0x0, info=14988}, "\326\352\375G\3773\214\177\200\325\201\35\331\367*\1\374\270c\35\25\244\340\343\310\274\344\237\224\330~\24\373\0K\3@\364 7\245B\212\\216\370\265fQ\235\260U\15\254T\3269\20;N\326\27\27\276\360?\367\1V\24\337\344\211@\212\263*\226\261\357(\205\3026xH\226z\210G\311U\242Q^\346\361|ulB'\263#hE\263\337\202\367\202\300\352\223Wcb\257\239\26\210[\13|\337\6\234\0s\301\27y\261\374\321\354\277\303\330\237\230\222\377m\367\323)\214v\307\336T\354TSPEkS?@\274\253\214\17\177sV\13U\250\261\365\252\213\227\15\355\375b]x\307Q\3449f!\377$\223lG4ro\231\33\351S\232\275\273\36\273\247\321y\201\364\304\25Xx\252\257+\364z\321\250\334W\221\366\264\362h\345\260c;6?\30;\245\2567&\327\377S\200+3\10~\2\271\335L\210\305\341\346;r5\277\241\256R\215\317\221\342\362\261.\352G\373\252Z\326\241o\227\336:\6pM2c\113\340\222\374&u\31*\217\177\210y\266\311\336\302\312/l/\346Wk\\11\324\340\204#\332\2424\261\345B\26\23\317\7\3239\302\365J\26\37\241\354\340i\335\253\275\266\330\322\245\273\26\353\20\321\2319g\11\213\302o\356\2349\327\337R\320\345\307C\35\36\241\227\12\21\270\370\367\354\274\68d\244\214\312\232$B\373\342\311\313\221\236\15\357\340\354\207\3605L,,\253R\262\377\330\334\241{\210\236sX\300\245\220\213\276:\200\366\374\352Y\254\343\375@\364C\3247\306\245\334\340\220t\203\253\243\15S\335\266\277\343\262\231\2732\365\263r\223H#\11\303(,\275]\347\340\346\230\331\267\373W\330\242/td6\222\227\20\255!\226\27\12s\25\215qd\227$\304\2208", ) , ) == 0x0
 03147   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\10;\307u\17\213\316\350p\377\377\377;\307\17\204\211\0\0\0\213F\10;\307u\7\213\316\350Z\377\377\377\213\35\4\21\245wWWP\211E\10\377\323\213\370\205\377u\5j\1X\353g\270\377\377\0\0;\370v\2\213\370\215\4\275\4\0\0\0P\350\273\\370\377\205\300\211F\30u\11\307F\24\16\0\7\200\3536f\307\0\0\3\213F\30f\211x\2\213F\30\203\300\4PW\377u\10\377\323;\370t\21\377v\30\350\20w\370\377\203f\30\0\203\310\377\353\21\213M\24\213F\30\211\13\300\353\5\270\7\0\4\200_^[]\302\20\0\213D$\10V\213t$\10\205F$u\7\270k\0\4\200\353"\213\6V\377P,\205\300t\7\270\7\0\4\200\353\21\213D$\20\213N,\211\10\213N0\211H\43\300^\302\14\0S\213\$\14UVW\213|$\34\203'\0\3773j\0\377\25\254\23\245w\213\350\205\355u\12\270\16\0\7\200\351\262\0\0\0\3773U\377t$\34\350\204\305\370\377\213\360\205\366}\14U\377\25\244\23\245w\351\222\0\0\0j\0\377\25\10\21\245w\205\300\211D$\34u\16U\377\25\244\23\245w\270\5@\0\200\353vj\0PU\3773\377\25\324\21\245w\211\7\377t$\34\377\25\340\21\245wU\377\25\244\23\245w\203?\0\213-4\22\245wu\34\377\325\205\300\177\6\377\325\213\360\353\20\377\325\213\360\201\346\377\377\0\0\201\316\0\0\7\200j\0j\0\3777\377\25\30\21\245w\205\300\211\3u\34\377\325\205\300\177\6\377\325\213\360\353\20\377\325\213\360\201\346\377\377\0\0\201\316\0\0\7\200\213\306_^][\302\14\0U\213\354SVW3\3779}\10u\12\270\7\0\4\200\351\265\0\0\0\213u\14VW\3775\200\337\262w\377\25\200\257\262w\213\330;\337u\12", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \213\6V\377P,\205\300t\7\270\7\0\4\200\353\21\213D$\20\213N,\211\10\213N0\211H\43\300^\302\14\0S\213\$\14UVW\213|$\34\203'\0\3773j\0\377\25\254\23\245w\213\350\205\355u\12\270\16\0\7\200\351\262\0\0\0\3773U\377t$\34\350\204\305\370\377\213\360\205\366}\14U\377\25\244\23\245w\351\222\0\0\0j\0\377\25\10\21\245w\205\300\211D$\34u\16U\377\25\244\23\245w\270\5@\0\200\353vj\0PU\3773\377\25\324\21\245w\211\7\377t$\34\377\25\340\21\245wU\377\25\244\23\245w\203?\0\213-4\22\245wu\34\377\325\205\300\177\6\377\325\213\360\353\20\377\325\213\360\201\346\377\377\0\0\201\316\0\0\7\200j\0j\0\3777\377\25\30\21\245w\205\300\211\3u\34\377\325\205\300\177\6\377\325\213\360\353\20\377\325\213\360\201\346\377\377\0\0\201\316\0\0\7\200\213\306_^][\302\14\0U\213\354SVW3\3779}\10u\12\270\7\0\4\200\351\265\0\0\0\213u\14VW\3775\200\337\262w\377\25\200\257\262w\213\330;\337u\12", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03148   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "!\213\301\275\2721\0\200", ) , ) == 0x0
 03149   896   NtReadFile  (192, 0, 0, 0, 12730, 0x0, 0, ... {status=0x0, info=12730},  (192, 0, 0, 0, 12730, 0x0, 0, ... {status=0x0, info=12730}, "Y\1\10i\270$\330bZg\367\16\377\3232\367q>\355\274#\312\207Z\221\271/\263\324\260\31f\336q\332\13/\201X\246\2e\273X\272\14\355\256\254)\200\5\342\5\227\312\222s~\205\222\326\353\316\24\12l\35>\337~\244\201\370\0J\305.n|\256\251\316gj0\227x\215\21]?\227\235\363\35\22\352\203?\226\315\224\3369\320B\323\351\21\275\26\351\2\26\7\251\246\11\220\212fP\374|fR\327\20\214\203\334\350-\250\37\235\355\262\223\217,\323\2327\272H\15.\221Y\354\202\367\272\32\257+\305+\347\374\256\2715\343\355\177\313{\210{\335+\253\\227B@\263\177\247\262\343\16\357\274\33\313\303\77\333{cI\227nvy\21I\363\377Zd1\202\335u%\222\321u\211\10V)\277\227\317P\306 TDUg\352(\364\272\253u\314\370\361\352zQ\320',\270\373\2564\260A\16\210\257\222H\31\241fV\277\251\342\357\227\3574ay<\3\252y\363\375k\352\226\4x_\251\310Q\305c\340y\0d$\356\2150\2\301&\376~\265\231$\255q`o\306\205<)r\310\241*\22\7\237^\317\377\303\374["z6\216<\347\234\367\223Lv\25q\366\216\10v\2\351x{\337\0H\12\320@\23$\256\200Z`\212\345\234\301V\321a\243vt$m\213PP\225\237\23\333:\337/\37\331\303\207\355\14Y\273\365s\233\237B\233\26)\225J\\372g\303\34\235g\2\342au\3\231$\251\224\363\26\364\343\242@\21\23\335<\317\340\371}P\230\240=\226\206P\300\334=\271\21\253\316a^m\6[\254\220jq\240L\262\350\253\323:\15\310\275\274\250\350?\1\263O\22\212\216\10\232\217jmH_\302\13\334\235\274\202\275\332H\315\373\222\341\242\233\231q\37p^\212\303\7\324\300", ) z6\216<\347\234\367\223Lv\25q\366\216\10v\2\351x{\337\0H\12\320@\23$\256\200Z`\212\345\234\301V\321a\243vt$m\213PP\225\237\23\333:\337/\37\331\303\207\355\14Y\273\365s\233\237B\233\26)\225J\\372g\303\34\235g\2\342au\3\231$\251\224\363\26\364\343\242@\21\23\335<\317\340\371}P\230\240=\226\206P\300\334=\271\21\253\316a^m\6[\254\220jq\240L\262\350\253\323:\15\310\275\274\250\350?\1\263O\22\212\216\10\232\217jmH_\302\13\334\235\274\202\275\332H\315\373\222\341\242\233\231q\37p^\212\303\7\324\300", ) == 0x0
 03150   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\377\3269]\370t\5\377u\370\377\326\213E\374_^[\311\302\20\0U\213\354\201\354\224\0\0\0SVW\215\205l\377\377\377j@P\377u\103\333\211]\374\211]\364\211]\370\350\324\260\370\377\213\370;\373u\14\307E\374\377\377\0\200\351c\1\0\0\215E\364GPj\3S\211}\354\377u\20\377u\14\377\25\210\20\245w;\303t\14\307E\374R\1\4\200\351<\1\0\0\215E\10\2135(\20\245wP\215E\360SPS\211]\10\377u\24\377u\364\377\326;\303t7\215|?\2\307E\10\2\0\0\0W\211}\20\350\23\367\367\377\213\360Y;\363\211u\370tB\213\3173\300\213\321\213\376\301\351\2\363\253\213\312\203\341\3\363\252\351\206\0\0\0\203}\360\7t\14\307E\374S\1\4\200\351\324\0\0\0\213E\10\215, 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03151   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\210J@\374b?\0\200", ) , ) == 0x0
 03152   896   NtReadFile  (192, 0, 0, 0, 16226, 0x0, 0, ... {status=0x0, info=16226},  (192, 0, 0, 0, 16226, 0x0, 0, ... {status=0x0, info=16226}, "\34!\6\316\203!\377a\304\220"\333\3325\340\273<'\363V[qE\275\331\300?MF*Ts\35\312\23_ \256I\201\235\16g\314)\336\303\347V"<\222\231O\3\234tL9\236\226\10\311Kz\362\347/\277-\21K\207\254\366\351pK\17\227^&\13\357}\335i\253\22\366\14Xri\15D\325g\30\232i\205S\256\370x\321\6Q2\222U\12\226i,4\315?I\236g5\247df\330\361\361}'<\335\333\333\352^\353\271'\270\225\342\220Z\276\333\307$\263\16MZ\233dx\361\10\246\334R\36k\220\17\255\317\302\346\316\22\221\~\7\10\250\263\221\377l\13\214\2141\223\352\236\273\351\217T\270\15\221\311e\217\246HE\227v}\25{\207+\244\336"\14\372\345\311\225JKc\277\244\317&\21T\264*B\205\272E\40P\2653  \325\3KC\275\362\344\357\12\376\334\277fN\215J\235\34\334(%\26]\303\343$%\325^L\373&X\20\34\212\320\153\213\236&\33\203&\214\33C\2102\350\317X\2255KH\347\233\234iG\343!\221<9\257!\342\263Fz(\210\325Lys\251\330g\205\23\5q$&X\223\362`\353\222u\315t\224\2655\202k\223z\377J\307\321\2\355Q\217u\3519\215\275/\212EKr\340i\340\251\231\32XGs\351\316#W\306\224\211\232N\224\365Pgfe\241\224(PD\243", ) \333\3325\340\273<'\363V[qE\275\331\300?MF*Ts\35\312\23_ \256I\201\235\16g\314)\336\303\347V (192, 0, 0, 0, 16226, 0x0, 0, ... {status=0x0, info=16226}, "\34!\6\316\203!\377a\304\220"\333\3325\340\273<'\363V[qE\275\331\300?MF*Ts\35\312\23_ \256I\201\235\16g\314)\336\303\347V"<\222\231O\3\234tL9\236\226\10\311Kz\362\347/\277-\21K\207\254\366\351pK\17\227^&\13\357}\335i\253\22\366\14Xri\15D\325g\30\232i\205S\256\370x\321\6Q2\222U\12\226i,4\315?I\236g5\247df\330\361\361}'<\335\333\333\352^\353\271'\270\225\342\220Z\276\333\307$\263\16MZ\233dx\361\10\246\334R\36k\220\17\255\317\302\346\316\22\221\~\7\10\250\263\221\377l\13\214\2141\223\352\236\273\351\217T\270\15\221\311e\217\246HE\227v}\25{\207+\244\336"\14\372\345\311\225JKc\277\244\317&\21T\264*B\205\272E\40P\2653  \325\3KC\275\362\344\357\12\376\334\277fN\215J\235\34\334(%\26]\303\343$%\325^L\373&X\20\34\212\320\153\213\236&\33\203&\214\33C\2102\350\317X\2255KH\347\233\234iG\343!\221<9\257!\342\263Fz(\210\325Lys\251\330g\205\23\5q$&X\223\362`\353\222u\315t\224\2655\202k\223z\377J\307\321\2\355Q\217u\3519\215\275/\212EKr\340i\340\251\231\32XGs\351\316#W\306\224\211\232N\224\365Pgfe\241\224(PD\243", ) \14\372\345\311\225JKc\277\244\317&\21T\264*B\205\272E\40P\2653  \325\3KC\275\362\344\357\12\376\334\277fN\215J\235\34\334(%\26]\303\343$%\325^L\373&X\20\34\212\320\153\213\236&\33\203&\214\33C\2102\350\317X\2255KH\347\233\234iG\343!\221<9\257!\342\263Fz(\210\325Lys\251\330g\205\23\5q$&X\223\362`\353\222u\315t\224\2655\202k\223z\377J\307\321\2\355Q\217u\3519\215\275/\212EKr\340i\340\251\231\32XGs\351\316#W\306\224\211\232N\224\365Pgfe\241\224(PD\243", ) == 0x0
 03153   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\0\0\213\0\3A\24\353\23\3009<0\215\140t\22d\241\30\0\0\0\213\200\200\17\0\0\213\0\3\1\353\23\300\377H\34\353$99t\22d\241\30\0\0\0\213\200\200\17\0\0\213\0\3\1\353\23\300S\377q\4Q\213\310\350y\21\0\0_^[]\302\4\0U\213\354QQSVW\213\3713\3339_ \211]\374t\23d\241\30\0\0\0\213\200\200\17\0\0\213\0\3G \353\23\3009]\10\213pLv.\215E\370\213\317PVj\0S\350v`\367\377\205\300\211E\374|\35\17\267G\34\213M\370S\2134\201\213\317\350\331\376\377\377C;]\10r\322\213E\14\2110\213E\374_^[\311\302\10\0U\213\354\203\354\14SVW\213}\10\205\377\213\361t\22d\241\30\0\0\0\213\210\200\17\0\0\213\307+\1\353\23\300\211F f\213\207\300\4\0\0f\213\3203\333f\301\350\2f\301\352\2f\211F\36H\211U\10\211E\370f\211F\343\311\353\3\213U\10\215\4\31\211]\364\3E\14\17\267\322\211U\374\3\3023\322\367u\374\211M\374\213\330\203\373ms\43\311\353\16\17\267M\370\215C\2233\322\367\361\213\310A;M\374u\306;]\364u\301\211N$QW\213\316\350M\26\370\377\205\300\211E\10|{\213F$j\1\211GPX\211\207\10\2\0\0\203~$\0vf\213]\14\211\207\10\2\0\0\211_L3\3779~$vS\215E\14\213\316Pj\376j\2W\350n_\367\377=\377\2\3\0\211E\10u\15f\213F\36\213M\14P\350\30\1\370\377\213E\10\205\300\211E\10|"SW\213\316\350#\0\0\0\17\267F\34\213M\14CW\211\34\201\213\316\350\255\375\377\377G;~$r\255\213E\10_^[\311\302\10\0U\213\354QVW\213\361", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) SW\213\316\350#\0\0\0\17\267F\34\213M\14CW\211\34\201\213\316\350\255\375\377\377G;~$r\255\213E\10_^[\311\302\10\0U\213\354QVW\213\361", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03154   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\215\246\212\355.<\0\200", ) , ) == 0x0
 03155   896   NtReadFile  (192, 0, 0, 0, 15406, 0x0, 0, ... {status=0x0, info=15406},  (192, 0, 0, 0, 15406, 0x0, 0, ... {status=0x0, info=15406}, "D\351\23S\211O\25\203\261u^\304\13\227HN\72\322l\355s%\364=nr\305\12\357\357W\35+\205\263\16Qbw\212KZ\256\3356\365\301,\23\326*\242\355\335E]\12\377\177\242\316f\246{\257\0B\231nn\372Oe\331\226\272\226ldEB\302Y+\12\23\210\1\5\302mj_\225\31\36A\377\276\266\3247Upo$\221w\375\206\231\275J\304G\226\331P\301\264+g\3731\271\0g\331%\277\237"\1\343\234\17\253BE\306\350,\233\310\270\13\354\337\222\2500O\231B\360J\361;\314:\270.>,\371@\363\273\214\177F\257\360\37\276xS\233\303B\244\201n\234+#LP\27\361\255If\301\352\0Bj2\351Q\324]\270K\6\232\3\265\275kj\361\337\334s\234\252WV\202\330\267\344\367\253\34\221\221p\376\303tj\216\274M\343\337i4\213\341-\257\253\325\322\236'\263\347Z\357\344\276\13\236XQ\1\323_\304\313\274\203g\300\272\342\216)\13\36-\242H\273k\2530o\261\250\224\221c\264@\32\20\377M=\204=\31\354\225\322J\325H\360\5\0\303\201n\251/$\201\310 \17c\11H\274y\14\206:H\372Z\207\11XL\230a\266\200\273v\207\313\366\370\35\375Y\377\200\365 W\276\261iNl\210\262\257]\270K\240\301,\352\230\2327\355\300\10+\334\273I\367\3fR$\307\241\370CxO\255'h\37 \343P\277bd\20\244\15#\321C1/v\337\317\16\24ES\4\370n\334\267\321\302"\16\376\263*\3607hh\267C^\317~\244\34\323\305\222\235\273k\321\223\343X\377\13\317\274\320\17\270\313c\350\212\3645W \357\304a7\3un\223t\4\326\17{\10\371\17\122\311\215\324\361bE\331\31\261\304\244\204+\276\305u\302\353U\366d\16", ) \1\343\234\17\253BE\306\350,\233\310\270\13\354\337\222\2500O\231B\360J\361;\314:\270.>,\371@\363\273\214\177F\257\360\37\276xS\233\303B\244\201n\234+#LP\27\361\255If\301\352\0Bj2\351Q\324]\270K\6\232\3\265\275kj\361\337\334s\234\252WV\202\330\267\344\367\253\34\221\221p\376\303tj\216\274M\343\337i4\213\341-\257\253\325\322\236'\263\347Z\357\344\276\13\236XQ\1\323_\304\313\274\203g\300\272\342\216)\13\36-\242H\273k\2530o\261\250\224\221c\264@\32\20\377M=\204=\31\354\225\322J\325H\360\5\0\303\201n\251/$\201\310 \17c\11H\274y\14\206:H\372Z\207\11XL\230a\266\200\273v\207\313\366\370\35\375Y\377\200\365 W\276\261iNl\210\262\257]\270K\240\301,\352\230\2327\355\300\10+\334\273I\367\3fR$\307\241\370CxO\255'h\37 \343P\277bd\20\244\15#\321C1/v\337\317\16\24ES\4\370n\334\267\321\302 (192, 0, 0, 0, 15406, 0x0, 0, ... {status=0x0, info=15406}, "D\351\23S\211O\25\203\261u^\304\13\227HN\72\322l\355s%\364=nr\305\12\357\357W\35+\205\263\16Qbw\212KZ\256\3356\365\301,\23\326*\242\355\335E]\12\377\177\242\316f\246{\257\0B\231nn\372Oe\331\226\272\226ldEB\302Y+\12\23\210\1\5\302mj_\225\31\36A\377\276\266\3247Upo$\221w\375\206\231\275J\304G\226\331P\301\264+g\3731\271\0g\331%\277\237"\1\343\234\17\253BE\306\350,\233\310\270\13\354\337\222\2500O\231B\360J\361;\314:\270.>,\371@\363\273\214\177F\257\360\37\276xS\233\303B\244\201n\234+#LP\27\361\255If\301\352\0Bj2\351Q\324]\270K\6\232\3\265\275kj\361\337\334s\234\252WV\202\330\267\344\367\253\34\221\221p\376\303tj\216\274M\343\337i4\213\341-\257\253\325\322\236'\263\347Z\357\344\276\13\236XQ\1\323_\304\313\274\203g\300\272\342\216)\13\36-\242H\273k\2530o\261\250\224\221c\264@\32\20\377M=\204=\31\354\225\322J\325H\360\5\0\303\201n\251/$\201\310 \17c\11H\274y\14\206:H\372Z\207\11XL\230a\266\200\273v\207\313\366\370\35\375Y\377\200\365 W\276\261iNl\210\262\257]\270K\240\301,\352\230\2327\355\300\10+\334\273I\367\3fR$\307\241\370CxO\255'h\37 \343P\277bd\20\244\15#\321C1/v\337\317\16\24ES\4\370n\334\267\321\302"\16\376\263*\3607hh\267C^\317~\244\34\323\305\222\235\273k\321\223\343X\377\13\317\274\320\17\270\313c\350\212\3645W \357\304a7\3un\223t\4\326\17{\10\371\17\122\311\215\324\361bE\331\31\261\304\244\204+\276\305u\302\353U\366d\16", ) , ) == 0x0
 03156   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\213\360;\367|j\203\13\3779}\10\215E\364PWt\33\213E\374\377u\14\213\310\203\300\4\367\331\33\311#\310Q\350\227Z\371\377\213\360\353(\213E\374W\377u\14\213\310\203\300\4\367\331\33\311W#\310Q\350\302\361\376\377\213\360\201\376P\0\3\200u\5\276\373\0\3\200;\367|\26\377u\30\213E\364\377u\24\213\10P\377\21\213\360;\367|\23\366\215E\374P\350\320\1\0\0\215E\364P\350\307\1\0\0\215E\370P\350\276\1\0\0\213\306_^[\311\302\24\0U\213\354\203\354PSVW3\300\215}\344\2135\370\22\245w\253\253\253\203M\374\3773\333\253\253j\2S\215E\374SP\211]\370\377\326P\377u\24\377\326P\377\25\360\22\245w\205\300u+\21354\22\245w\377\326\205\300\177\6\377\326\213\360\353\20\377\326\213\360\201\346\377\377\0\0\201\316\0\0\7\200\203M\374\377\351\15\1\0\0SSj\1_WS\377\25@\22\245w;\303\211E\364u*\21354\22\245w\377\326\205\300\177\11\377\326\213\360\351\344\0\0\0\377\326\213\360\201\346\377\377\0\0\201\316\0\0\7\200\351\317\0\0\0SSS\377u\374\377\25\\23\245w\215E\344P\377u\374\350Q\374\376\377\213\360\201\376\1\0\7\200u\31\215E\260P\377u\374\377\250\24\245w\205\300t\10\366E\260\20t\2\213\367;\363\17\214\214\0\0\0u\3\211}\370\213E\10\213M\20;\303t\11\203\371\5t\15;\313t\11;\303u09]\370t';\303u\16\203\371\4t\11\203\371\5t\4;\313uT\377u\34\215M\374\377u\30Q\377u\14P\350\272\375\377\377\3535;\303t\11\203\371\3t\11;\303u29]\370u-;\303u\12\203\371\4t\5\203\371\3u\37\377u\34\215M\374\377u\30Qj\3\377u\14", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03157   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "Y#\361\241\36A\0\200", ) , ) == 0x0
 03158   896   NtReadFile  (192, 0, 0, 0, 16670, 0x0, 0, ... {status=0x0, info=16670},  (192, 0, 0, 0, 16670, 0x0, 0, ... {status=0x0, info=16670}, "\277\264\276\343\255\253}\364\364\331\265\211{\315Bf\2100\3204bW\266 @\35\26\31e\25\345*o-\324\221/$\267\21\234\370!\35\343\0\3"\257\341q\361\360\347\316Y\34E\373n\320\350\225@\200t\32\224\255"\373\247^\325\228\220\3244\342C\4\11\223a'sP\216\230\351\204gw?\360\257\23;\6-\237T?D\261\260Ff\370\201\366a\255\373P\16\376\376NyN\300]\265K\4y?\7\24=d\266m\357m\220\337\251c"\203\347\313\335\34+e\245\335fw\25\335\36ov\235\31\5\246\216;\34@\300L\234\246)DN\25\207\307_\234\277\22\346C\251\0f\32>8k\205\313\243\314geH|L\303a^7\365F\246\341F\341A\330\314\273:Qf\234\264\22\310\2153\343$0ju\342?i\3627(J[\3.[\370w\371\277Raj\352,\261\36\309\242\307\363\312\325\371\275\32\31\221\367-\253B\202Z\273ff\200VwZ\16\203\200'\204t\3315&\221\245r\230OP\244\36\317(rp(\366\35\334\6\221>''\265#\356\15\231\306\26\247\300\347\36z\13\243\3233%g\252>\212\30\252\301\210\16`\332~\227\321W\253Y\3\15\322\25S4J\305i\2173\300\373\350=\370\36n\12.\367#\376{\207b\314\256\214\22404\370])\324=\32\254{\375\215\316\351\377\373l#\363v\311YH\36\344\316C\343%\261\357\233\307M\344\263\236\255#\332>.\246\245PN\254\346\253\36>\25\276\314\357\252A"H\362gJ\5\350Rh\204\10\233Ar\3\10\2539m\227&$\241r\273\3\340J\207\146\371T\211\362\257rN@\320\2346Y\332\366n\372G\3\344\366v\254 \337`E\214]\212\36\204\25\315fb\327\17\302\\6", ) \257\341q\361\360\347\316Y\34E\373n\320\350\225@\200t\32\224\255 (192, 0, 0, 0, 16670, 0x0, 0, ... {status=0x0, info=16670}, "\277\264\276\343\255\253}\364\364\331\265\211{\315Bf\2100\3204bW\266 @\35\26\31e\25\345*o-\324\221/$\267\21\234\370!\35\343\0\3"\257\341q\361\360\347\316Y\34E\373n\320\350\225@\200t\32\224\255"\373\247^\325\228\220\3244\342C\4\11\223a'sP\216\230\351\204gw?\360\257\23;\6-\237T?D\261\260Ff\370\201\366a\255\373P\16\376\376NyN\300]\265K\4y?\7\24=d\266m\357m\220\337\251c"\203\347\313\335\34+e\245\335fw\25\335\36ov\235\31\5\246\216;\34@\300L\234\246)DN\25\207\307_\234\277\22\346C\251\0f\32>8k\205\313\243\314geH|L\303a^7\365F\246\341F\341A\330\314\273:Qf\234\264\22\310\2153\343$0ju\342?i\3627(J[\3.[\370w\371\277Raj\352,\261\36\309\242\307\363\312\325\371\275\32\31\221\367-\253B\202Z\273ff\200VwZ\16\203\200'\204t\3315&\221\245r\230OP\244\36\317(rp(\366\35\334\6\221>''\265#\356\15\231\306\26\247\300\347\36z\13\243\3233%g\252>\212\30\252\301\210\16`\332~\227\321W\253Y\3\15\322\25S4J\305i\2173\300\373\350=\370\36n\12.\367#\376{\207b\314\256\214\22404\370])\324=\32\254{\375\215\316\351\377\373l#\363v\311YH\36\344\316C\343%\261\357\233\307M\344\263\236\255#\332>.\246\245PN\254\346\253\36>\25\276\314\357\252A"H\362gJ\5\350Rh\204\10\233Ar\3\10\2539m\227&$\241r\273\3\340J\207\146\371T\211\362\257rN@\320\2346Y\332\366n\372G\3\344\366v\254 \337`E\214]\212\36\204\25\315fb\327\17\302\\6", ) \203\347\313\335\34+e\245\335fw\25\335\36ov\235\31\5\246\216;\34@\300L\234\246)DN\25\207\307_\234\277\22\346C\251\0f\32>8k\205\313\243\314geH|L\303a^7\365F\246\341F\341A\330\314\273:Qf\234\264\22\310\2153\343$0ju\342?i\3627(J[\3.[\370w\371\277Raj\352,\261\36\309\242\307\363\312\325\371\275\32\31\221\367-\253B\202Z\273ff\200VwZ\16\203\200'\204t\3315&\221\245r\230OP\244\36\317(rp(\366\35\334\6\221>''\265#\356\15\231\306\26\247\300\347\36z\13\243\3233%g\252>\212\30\252\301\210\16`\332~\227\321W\253Y\3\15\322\25S4J\305i\2173\300\373\350=\370\36n\12.\367#\376{\207b\314\256\214\22404\370])\324=\32\254{\375\215\316\351\377\373l#\363v\311YH\36\344\316C\343%\261\357\233\307M\344\263\236\255#\332>.\246\245PN\254\346\253\36>\25\276\314\357\252A (192, 0, 0, 0, 16670, 0x0, 0, ... {status=0x0, info=16670}, "\277\264\276\343\255\253}\364\364\331\265\211{\315Bf\2100\3204bW\266 @\35\26\31e\25\345*o-\324\221/$\267\21\234\370!\35\343\0\3"\257\341q\361\360\347\316Y\34E\373n\320\350\225@\200t\32\224\255"\373\247^\325\228\220\3244\342C\4\11\223a'sP\216\230\351\204gw?\360\257\23;\6-\237T?D\261\260Ff\370\201\366a\255\373P\16\376\376NyN\300]\265K\4y?\7\24=d\266m\357m\220\337\251c"\203\347\313\335\34+e\245\335fw\25\335\36ov\235\31\5\246\216;\34@\300L\234\246)DN\25\207\307_\234\277\22\346C\251\0f\32>8k\205\313\243\314geH|L\303a^7\365F\246\341F\341A\330\314\273:Qf\234\264\22\310\2153\343$0ju\342?i\3627(J[\3.[\370w\371\277Raj\352,\261\36\309\242\307\363\312\325\371\275\32\31\221\367-\253B\202Z\273ff\200VwZ\16\203\200'\204t\3315&\221\245r\230OP\244\36\317(rp(\366\35\334\6\221>''\265#\356\15\231\306\26\247\300\347\36z\13\243\3233%g\252>\212\30\252\301\210\16`\332~\227\321W\253Y\3\15\322\25S4J\305i\2173\300\373\350=\370\36n\12.\367#\376{\207b\314\256\214\22404\370])\324=\32\254{\375\215\316\351\377\373l#\363v\311YH\36\344\316C\343%\261\357\233\307M\344\263\236\255#\332>.\246\245PN\254\346\253\36>\25\276\314\357\252A"H\362gJ\5\350Rh\204\10\233Ar\3\10\2539m\227&$\241r\273\3\340J\207\146\371T\211\362\257rN@\320\2346Y\332\366n\372G\3\344\366v\254 \337`E\214]\212\36\204\25\315fb\327\17\302\\6", ) , ) == 0x0
 03159   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "u\14\377u\24\377u\20\350\305\374\377\377\213\330;\337|?\213F\14\215V\20\203ND\1R\213VH\213\10\201\342\237\357\376\377W\203\312\20RWh\220$\246wP\377Q\20\213\330;\337|\24u\16WW\377u\14\213\316\350F\343\377\377\213\330;\337}\34\213F\14P\213\10\377Q\10\213F\20\211~\14;\307t\11\213\10P\377Q\10\211~\20\213\316\350\355\373\377\377_\213\303^[\311\302\20\0V\213\361W\203~\34\1u\27\213F\20\215V\30Rh\200$\246w\213\10P\377\21\213\370\205\377}(j$3\377\350\25w\366\377\205\300Yt\14\377v\20\213\310\35020\0\0\353\23\300\205\300\211F\30u\5\277\16\0\7\200\213\307_^\303V\213\361\213F\30\205\300t\6\213\10P\377Q\10\203f\30\0^\303SVW3\3333\3779\$\20v"\213t$\24f\213\6P\350\35\0\0\0\205\300t\14G\203\306\20;|$\20r\351\353\5\2732\0\7\200_\213\303^[\302\10\0V\213t$\10f\367\306\0\200u\16f\367\306\0 t\13f\367\306\0\20t\43\300\353$V\350L\216\377\377\205\300u\27V\350\341\216\377\377\205\300u\15f\203\376It\7f\201\376\20\20u\3j\1X^\302\4\0U\213\354QS\213]\10V\213\363\301\346\3W\213=\14\22\245wV\307E\374W\0\7\200\377u\14\377\327\205\300u8\205\333v&\213E\14\3\360\213F\370\205\300u\15j\2\377v\374\377\327\205\300u\35\353\5\203\370\1u\14K\203\356\10\205\333w\337\203e\374\0\213E\374_^[\311\302\10\0\307E\374W\0\7\200\353\355\213AH\250\3t\5j\1X\353\31\205\300u\23\366A8\2u\159D$\4u\7\350\206\372\377\377\353\23\300\302\4\0U\213\354Q\213A", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \213t$\24f\213\6P\350\35\0\0\0\205\300t\14G\203\306\20;|$\20r\351\353\5\2732\0\7\200_\213\303^[\302\10\0V\213t$\10f\367\306\0\200u\16f\367\306\0 t\13f\367\306\0\20t\43\300\353$V\350L\216\377\377\205\300u\27V\350\341\216\377\377\205\300u\15f\203\376It\7f\201\376\20\20u\3j\1X^\302\4\0U\213\354QS\213]\10V\213\363\301\346\3W\213=\14\22\245wV\307E\374W\0\7\200\377u\14\377\327\205\300u8\205\333v&\213E\14\3\360\213F\370\205\300u\15j\2\377v\374\377\327\205\300u\35\353\5\203\370\1u\14K\203\356\10\205\333w\337\203e\374\0\213E\374_^[\311\302\10\0\307E\374W\0\7\200\353\355\213AH\250\3t\5j\1X\353\31\205\300u\23\366A8\2u\159D$\4u\7\350\206\372\377\377\353\23\300\302\4\0U\213\354Q\213A", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03160   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\37rH%\169\0\200", ) , ) == 0x0
 03161   896   NtReadFile  (192, 0, 0, 0, 14606, 0x0, 0, ... {status=0x0, info=14606},  (192, 0, 0, 0, 14606, 0x0, 0, ... {status=0x0, info=14606}, "q\267\372wY\364\251\3659~\3413\242[\262\335\272\255\327)\375\365\237\222\223\277\261\333\276j19\312\334\210\355p\327\351\204\337Q\31\224\306\365\232/\11\376\2406\224-.\212&=\346\325\376\13\341\350\322\262\242\231\371\343\230Q\275\236\360\263J\371\373\236h\352\325\347z\214_\34d\201 x\2619N\314\205\271m\\346\206%J\345\361\300\352\364_\330\271\261\25\217\242\37\356\323F\366\304\1\316\3038\312\357\300\3623S\227}\\250\216\22'X\372\333,4\215\222=X:\24o\266\323\222Z\265%\317\314\6\2643\367N\264\230tI\332N\332`\354Ll\223\20in\271\324\342\217\216'\345\313\221\345\234\323p\263\245\315Iw\310p~\0BG\344\15y-\255\360u\205\311\276\375Y,\265^xU\363\360\321\221\346'\260\276\214L\177\323{\251\7\303\205$p\264\222/\347\222\306\344\322\3\314\33(C\260\374\333\216c\6\264\271\320j'\372n\311\242\302\264~\2620\356\227\346\252nP\244\333\307\350D\242\367\24\371\213\316\33\357\267\25\231"~CZ\326k\256'%\315\320&uh%c}\330\24\261\251\273\204\20\306j\216ziv:RO\220P\217Y\231rH\264\12\217\216\275=\302\344\266\14\302\360r\354Cp\247YL\354J\264o&\253\345\302\352%\375\265\24\304\201KI\247\314\325\354\225\35\272?x\3618\274@l\23\16[\231-\362\15\362\270\337\314\202\226K\313\2602\256\0\4\3069\230\351"\317\352\235j\355\10\314-\27G\270\267N\343\360S\247\317J\270\215Sgy\243\365\201\373\263 \5:u\26^\323'\356\367\200\202\352#W\212w|\334\211\26\362]\36\3265\271\21\305b5\32\311Y\314\376\^\366\355\374<\241\227m>\367\16\224\330\37/\376\376\353\346\215h\213|\334c", ) ~CZ\326k\256'%\315\320&uh%c}\330\24\261\251\273\204\20\306j\216ziv:RO\220P\217Y\231rH\264\12\217\216\275=\302\344\266\14\302\360r\354Cp\247YL\354J\264o&\253\345\302\352%\375\265\24\304\201KI\247\314\325\354\225\35\272?x\3618\274@l\23\16[\231-\362\15\362\270\337\314\202\226K\313\2602\256\0\4\3069\230\351 (192, 0, 0, 0, 14606, 0x0, 0, ... {status=0x0, info=14606}, "q\267\372wY\364\251\3659~\3413\242[\262\335\272\255\327)\375\365\237\222\223\277\261\333\276j19\312\334\210\355p\327\351\204\337Q\31\224\306\365\232/\11\376\2406\224-.\212&=\346\325\376\13\341\350\322\262\242\231\371\343\230Q\275\236\360\263J\371\373\236h\352\325\347z\214_\34d\201 x\2619N\314\205\271m\\346\206%J\345\361\300\352\364_\330\271\261\25\217\242\37\356\323F\366\304\1\316\3038\312\357\300\3623S\227}\\250\216\22'X\372\333,4\215\222=X:\24o\266\323\222Z\265%\317\314\6\2643\367N\264\230tI\332N\332`\354Ll\223\20in\271\324\342\217\216'\345\313\221\345\234\323p\263\245\315Iw\310p~\0BG\344\15y-\255\360u\205\311\276\375Y,\265^xU\363\360\321\221\346'\260\276\214L\177\323{\251\7\303\205$p\264\222/\347\222\306\344\322\3\314\33(C\260\374\333\216c\6\264\271\320j'\372n\311\242\302\264~\2620\356\227\346\252nP\244\333\307\350D\242\367\24\371\213\316\33\357\267\25\231"~CZ\326k\256'%\315\320&uh%c}\330\24\261\251\273\204\20\306j\216ziv:RO\220P\217Y\231rH\264\12\217\216\275=\302\344\266\14\302\360r\354Cp\247YL\354J\264o&\253\345\302\352%\375\265\24\304\201KI\247\314\325\354\225\35\272?x\3618\274@l\23\16[\231-\362\15\362\270\337\314\202\226K\313\2602\256\0\4\3069\230\351"\317\352\235j\355\10\314-\27G\270\267N\343\360S\247\317J\270\215Sgy\243\365\201\373\263 \5:u\26^\323'\356\367\200\202\352#W\212w|\334\211\26\362]\36\3265\271\21\305b5\32\311Y\314\376\^\366\355\374<\241\227m>\367\16\224\330\37/\376\376\353\346\215h\213|\334c", ) , ) == 0x0
 03162   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\215E\370PVh\6\0\2\0VSVh,&\245w\377u\374\377\25\344\20\245w\205\300t\13\377u\374\377\25 \20\245w\353S\215E\320P\377\25\10\22\245w\215D\0\2P\215E\320Pj\1VS\377u\370\377\327\205\300t\13\377u\370\2135 \20\245w\353!j\12h\374&\245wj\1Vh\334&\245w\377u\370\377\327\377u\370\2135 \20\245w\205\300t\16\377\326\377u\374\377\326\270\377\377\0\200\353\12\377\326\377u\374\377\326\213E\350_^[\311\303\213D$\4V\213\3613\311;\301\307\6`0\246w\307F\480\246w\211N,\211N\10\211N\14\211N\20\211F0t\12\215F\24P\377\25`\22\245w\213\306^\302\4\0V\213\361j\10\350\347\366\365\377\205\300Yt\12V\213\310\350\330\0\0\0\353\23\300\205\300\211F\10u\7\270\16\0\7\200\353\22\213L$\10\205\311t\5\211N\14\353\3\211F\143\300^\302\4\0V\213\361\213F\10\307\6`0\246w\205\300\307F\480\246wt\7P\350\202\366\365\377Y\203~0\0t\12\215F\24P\377\25d\22\245w\213v\20\205\366t\6\213\6V\377P\10^\303V\213t$\10j4V\377\25\20\22\245w\205\300t\7\270\3@\0\200\353\20\377t$\20\213F\14\377t$\20\213\10P\377\21^\302\14\0V\213t$\10j4V\377\25\20\22\245w\205\300t\43\300\353\11\213F\14P\213\10\377Q\4^\302\4\0V\213t$\10j4V\377\25\20\22\245w\205\300t\43\300\353\11\213F\14P\213\10\377Q\10^\302\4\0\213\301\213L$\4\307\0\2100\246w\211H\4\302\4\0U\213\354S\213]\10VWj\10S\377\25\20\22\245w\205\300t\7\270\3@\0\200\353|\213u\14j\20Y\277(^\245", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03163   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\244K\326N\2704\0\200", ) , ) == 0x0
 03164   896   NtReadFile  (192, 0, 0, 0, 13496, 0x0, 0, ... {status=0x0, info=13496},  (192, 0, 0, 0, 13496, 0x0, 0, ... {status=0x0, info=13496}, "\206\313kwm\353]\240\245\26\342d#\236.\200b\34\242\342F\347\235$\304\370\263V\250\311\324tq\323\2\316\253s\22\343\356B~u];B(\254#hW$c)\267v\325\10N\10\375\35\242\340f\305\254*e\3516\276M\325A\257\340\220\346%\366L\374\274\241\244\6\216\341N'\265\5\17k\254\244\374\216\262\343\73\332\17\3103\36\305i\367\347\301\6\35"b\263\225\250$N"\367\264`W\356L\2e\334\215\315\5\7\203\250\263\210`\376N\212\335N\271\253\304\362\33\272+\200u\252\233r5\220K\302\270\220\247\235\307\316\363K\247\177\4K-p\231F\250Y\2\275~o\26\250\227\367\2108\27675)\360\256\234\310\203F\311\332\347+[G\247=XM'\226\277\365\36\376\372\250\373\263\353!\1773\333m`\255\202\377$\342Q\0o\300\265[U\24\377\343\216\221\360\5\215\225[\315\5D\0\357U\272\220b\301\255\1TC\217\271\307-\350\264\10\225\272\330g\201\324o\204\177\347`\273\344M\363B\240\206\376\206\22\201\36\260\254\243\254\5\340\373zT\253\300\322\335d\271\375L\303g\2\2338HS\217\355[\246\37\14\270z\345+\312\3501?\20w\230l\224\220*\20\371\353\226\354}l;\375\26\2530\246\15L\233\266t\262\323\\10\344\356c\367u`\13\36\3372XM\237\354\2445\7\361h\346\313~zC\236\361\312\312Y}\277/qr\332-\20>\337\376\275.\265\211m\225\14\\314\315\360\7\37b\210v"\5\312>\307\256\376\300\307J\324\202\212J\267'\203\241\321\322\336\362\203\302\13\370?d\344e\225\213\267y\34\25\5Rdr\213\14[\225\37\255\7E\310Q\263\35|\207\345\212\355\1\373nO\211n\347\2339m\271\330p\233\375\210R\16\37b\307\256\335-\205", ) b\263\225\250$N (192, 0, 0, 0, 13496, 0x0, 0, ... {status=0x0, info=13496}, "\206\313kwm\353]\240\245\26\342d#\236.\200b\34\242\342F\347\235$\304\370\263V\250\311\324tq\323\2\316\253s\22\343\356B~u];B(\254#hW$c)\267v\325\10N\10\375\35\242\340f\305\254*e\3516\276M\325A\257\340\220\346%\366L\374\274\241\244\6\216\341N'\265\5\17k\254\244\374\216\262\343\73\332\17\3103\36\305i\367\347\301\6\35"b\263\225\250$N"\367\264`W\356L\2e\334\215\315\5\7\203\250\263\210`\376N\212\335N\271\253\304\362\33\272+\200u\252\233r5\220K\302\270\220\247\235\307\316\363K\247\177\4K-p\231F\250Y\2\275~o\26\250\227\367\2108\27675)\360\256\234\310\203F\311\332\347+[G\247=XM'\226\277\365\36\376\372\250\373\263\353!\1773\333m`\255\202\377$\342Q\0o\300\265[U\24\377\343\216\221\360\5\215\225[\315\5D\0\357U\272\220b\301\255\1TC\217\271\307-\350\264\10\225\272\330g\201\324o\204\177\347`\273\344M\363B\240\206\376\206\22\201\36\260\254\243\254\5\340\373zT\253\300\322\335d\271\375L\303g\2\2338HS\217\355[\246\37\14\270z\345+\312\3501?\20w\230l\224\220*\20\371\353\226\354}l;\375\26\2530\246\15L\233\266t\262\323\\10\344\356c\367u`\13\36\3372XM\237\354\2445\7\361h\346\313~zC\236\361\312\312Y}\277/qr\332-\20>\337\376\275.\265\211m\225\14\\314\315\360\7\37b\210v"\5\312>\307\256\376\300\307J\324\202\212J\267'\203\241\321\322\336\362\203\302\13\370?d\344e\225\213\267y\34\25\5Rdr\213\14[\225\37\255\7E\310Q\263\35|\207\345\212\355\1\373nO\211n\347\2339m\271\330p\233\375\210R\16\37b\307\256\335-\205", ) \5\312>\307\256\376\300\307J\324\202\212J\267'\203\241\321\322\336\362\203\302\13\370?d\344e\225\213\267y\34\25\5Rdr\213\14[\225\37\255\7E\310Q\263\35|\207\345\212\355\1\373nO\211n\347\2339m\271\330p\233\375\210R\16\37b\307\256\335-\205", ) == 0x0
 03165   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\20\215s\20\17\202\230\376\377\377\213E\14\213@4\203\370\4t;\203\370\3t6\215E\14\211\273\324\0\0\0P\215E\10P\215E\317$\370jdP\350\236\255\377\3779}\14t2V\377u\14\350O\262\0\0\377u\14\211C(\350\177\255\377\377\353T9{\34tI9{$u\31\213\6\301\340\2P\350\220\204\365\377;\307\211C$u\7\270\16\0\7\200\353;3\3009>v\13\213K$\211<\201@;\6r\365\213C ;\307t\269\273\320\0\0\0u\6\213\10P\377Q\10\211{ \353\3\211{$\211{(\213M\20\213C(\211\13\300_^[\311\302\14\0\203}\340\0\307E\304\230F\246w\307E\310pF\246wt\243\377u\334\350\17\204\365\377\353\231Vj\1\213\361X3\311h\4\2\0\0\211F\10\211N\14\211N\20\211N\24\211N\30\211F\34\211F \307\6\230F\246w\307F\4pF\246w\350\356\203\365\377\211F\30\367\330\33\300%\0\2\0\0\211F\24\213\306^\303VW\213|$\20\276\20,\246w\245\245\245\245_3\300^\302\10\0U\213\354\203\354(VW\377u\243\377\215E\374W\377u\20\377u\10\377u\14P\350\225\205\366\377\213\360;\367u`\377u\374\215M\330\350\242\313\377\377\377u\24\215E\330W\377u\20\377u\10\377u\14P\350\306\255\365\377\213\360;\367u\31\213M\30\213E\360\211\1\213M\350;\317u\3\213M\354\211\10\211}\364\353\5\213E\30\21189}\364\307E\330\230F\246w\307E\334pF\246wt\10\377u\360\350*\203\365\377\213\306_^\311\302\24\0U\213\354\203\354$\203}\10\0u\43\300\3536V\215M\334\377u\10\350?\336\377\377\215E\334P\350\217)\366\377\203}\370\0\213\360\307E\334\230F\246w\307E\340p", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03166   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\275\24\327 \162\0\200", ) , ) == 0x0
 03167   896   NtReadFile  (192, 0, 0, 0, 12814, 0x0, 0, ... {status=0x0, info=12814},  (192, 0, 0, 0, 12814, 0x0, 0, ... {status=0x0, info=12814}, "\325\360O2\24Ui\207&\376\327r\227\235\237^\360\302\241\351\261x\335p;\375\3739T\265,\22\231\337\337Ld5Z\247i\230\253\326\261\3'0\267G\347vo\16\257rN\264nM\225\37\263\313\347\206\350\222B+\30\7\31\267d\365\335(\222\316rUS_\346\33;)2v\5\221\224\342\316Od\300\22\334n\261\305J&i\254C\177\373\373\312(\200\377@WA\345Q\224\16I\6\252.\243\240e\211\325\223=\32\371\211\350\256\270\353\375\370o\241\370\201\373\1\4\325\360\372\327\211\325\327O\362B\27J\373]\321\202B\15\212\35@\277\224m\376\312\26\327C^\201\373\376\225\325\2337g\207\355\323j\375\305\234\277\262~Q\247\240\17D\323\3540\223l\247m\326=^\227\276T\344nM\310\200W\321\322\13\177\11\374N\206\211\300\306\211\303%\356h\227\270z\373\23{F\320\17\211\270%\322O\3500\343'\257'N\220\250\202I\316B\210\3575\214\334\305\320\376\260\372'EzG\262\364~B+\231\22\233\321a\372"~Z\360\267\372\57s-#B\374?\22"\252\320h\327\16\200\360\266\262\275\21r\213\177\21\241BG\270\17Jh\32r\22\314\210\5(X\370\355\321\303J\26A\361\345\215>\272x\251\360\366\342V`v!\352\255\343LxL\212g\264VC8yuiY\232\2B\366\365\224\244M=C}\257x\300\27\27xC\353yG\307\25\337\252\227\266\211%&~\367\263%\201\257\2318~\352 rT\273\222\224\305\313m$\265;\370G[\317&\323\322\227\202\323\5^\355SWc\212.\246\366\203 \35tU\13\362\221U\35.d\335e1As\2154\352HZ\306\252\331\234\322C\337iD \3266&\302/\177^\304iE/\302-W\344[\341*\223D6", ) ~Z\360\267\372\57s-#B\374?\22 (192, 0, 0, 0, 12814, 0x0, 0, ... {status=0x0, info=12814}, "\325\360O2\24Ui\207&\376\327r\227\235\237^\360\302\241\351\261x\335p;\375\3739T\265,\22\231\337\337Ld5Z\247i\230\253\326\261\3'0\267G\347vo\16\257rN\264nM\225\37\263\313\347\206\350\222B+\30\7\31\267d\365\335(\222\316rUS_\346\33;)2v\5\221\224\342\316Od\300\22\334n\261\305J&i\254C\177\373\373\312(\200\377@WA\345Q\224\16I\6\252.\243\240e\211\325\223=\32\371\211\350\256\270\353\375\370o\241\370\201\373\1\4\325\360\372\327\211\325\327O\362B\27J\373]\321\202B\15\212\35@\277\224m\376\312\26\327C^\201\373\376\225\325\2337g\207\355\323j\375\305\234\277\262~Q\247\240\17D\323\3540\223l\247m\326=^\227\276T\344nM\310\200W\321\322\13\177\11\374N\206\211\300\306\211\303%\356h\227\270z\373\23{F\320\17\211\270%\322O\3500\343'\257'N\220\250\202I\316B\210\3575\214\334\305\320\376\260\372'EzG\262\364~B+\231\22\233\321a\372"~Z\360\267\372\57s-#B\374?\22"\252\320h\327\16\200\360\266\262\275\21r\213\177\21\241BG\270\17Jh\32r\22\314\210\5(X\370\355\321\303J\26A\361\345\215>\272x\251\360\366\342V`v!\352\255\343LxL\212g\264VC8yuiY\232\2B\366\365\224\244M=C}\257x\300\27\27xC\353yG\307\25\337\252\227\266\211%&~\367\263%\201\257\2318~\352 rT\273\222\224\305\313m$\265;\370G[\317&\323\322\227\202\323\5^\355SWc\212.\246\366\203 \35tU\13\362\221U\35.d\335e1As\2154\352HZ\306\252\331\234\322C\337iD \3266&\302/\177^\304iE/\302-W\344[\341*\223D6", ) , ) == 0x0
 03168   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\377\213\3619}\14t*\215E\10\215~|P\213\317\377u\10\350\10u\365\377\377u\10\213\316\350C\246\366\377\377u\10\213\317\350\345\2\0\0\351\246\0\0\0\215E\364\213\316P\377u\10\3505\376\377\377;\307\17\214\222\0\0\09\276\320\0\0\0t\6d\241\30\0\0\0\3509\337\364\377W\215N|\377u\370\377u\364\377u\10WP\350\346\370\365\377\205\300u\7\270\10\0\3\200\353`9\276\264\0\0\0\213N$t\26d\241\30\0\0\0\213\200\200\17\0\0\213\0\3\206\264\0\0\0\353\23\300Q\215HT\377u\10\350\337t\365\377;\307t+9\276\264\0\0\0\213P\30t\26d\241\30\0\0\0\213\200\200\17\0\0\213\10\3\216\264\0\0\0\353\23\311j\2R\350\11|\365\3773\300_^\311\302\10\0\213D$\4\213T$\10V\213\264\301\234\0\0\0\2112\213\204\301\240\0\0\0\211B\43\300^\302\10\0\213D$\4\213\221\254\0\0\0\211\20\213\221\260\0\0\0\211P\4\213D$\10\213\221\244\0\0\0\211\20\213\221\250\0\0\0\211P\4\213D$\14\213\221\234\0\0\0\211\20\213\211\240\0\0\0\211H\43\300\302\14\0U\213\354\213E\10\203\211\270\0\0\0\7\211\201\254\0\0\0\213E\14\211\201\260\0\0\0\213E\20\211\201\244\0\0\0\213E\24\211\201\250\0\0\0\213E\30\211\201\234\0\0\0\213E\34\211\201\240\0\0\03\300]\302\30\0\213\301j\1\213L$\10Z\323\342\11\220\270\0\0\0\213T$\10\211\224\310\234\0\0\0\213T$\14\211\224\310\240\0\0\03\300\302\14\0VW\213|$\14\215\261\274\0\0\0\245\245\245\245_3\300^\302\4\0V\213t$\10W\215\271\274\0\0\0\245\245\245\245\203\211\270\0\0\0\10_3\300^\302\4\0\213\201\314\0\0\0\213", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03169   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "Q\270\371D\2625\0\200", ) , ) == 0x0
 03170   896   NtReadFile  (192, 0, 0, 0, 13746, 0x0, 0, ... {status=0x0, info=13746},  (192, 0, 0, 0, 13746, 0x0, 0, ... {status=0x0, info=13746}, "\11^h\37\331\357\227\262\316\30\255\252\22\320&\3012\212\276\342\263v\22\326\210\2701(@\343K\350\2563\13\230\205\265/\25\361A\231\324$\250\205V\240Co\25\327W3\312\302\231\321\0\256\25\10\243B\364\26b\267\271%b\371\227T\350X\3337\331|\356U'\253\215\367\23\\320-\265\210`\5L-\303\207\320\367g\27\25+\254)\6\314\252m\261\25\247\306\351\260\273\313c\2420\231\304\327\5\351\264\343\272\3074\352\233\264\256*b\33c\0\32\377\206J\320{\211\320\230\334\21s\35\376\330\263\263\223\37\1\313W4\354\36j\337\177\361O\213i\214^\343H\362\260T4\226\245\221\264\231\347DXS\351s\341[\315\337^\265F>\16OI|N\254)\11\252(\222,\210<\244D\373\215\260\263gi\242\245-\365\252\223\235\360\266Us\273''\371\202\215#\207ZN\26O\6Fmb\273\23\211\334\20\2309 l\261\257\374[\34\300\317\335\317\200\361\272\250,\270Wjo\14\204\352\336\13\12~\364\311c\217\365\343F,Z=o\232\303\237]\33\222\17;\212 \27f\277\233\312\13\225\215b\301\375\20Q \14;\246\351<\242\26rrU\336\331\254l\350H\234\331:[\276\315\215R\231\259s\235\317\367\243\357\2542:\345&rV\204&+3m\375a\274\332W\372\255\7\13&\305A#\370\217\231a\201EE.\3125E\33s_\376\363n\376\377kf\330\212%\376\267;\352@@3 \315H\2@\34\0\220\1\2\310\22;l\311\322\226\26\372\364\224\7\12@\202X($\14\365\20\204$\377\362\312\200\1\341-u\370\3\236\15\307\355\263]t\330L\4}YD\351\336[\323f\366\362\373qXd\366\213d\342\215\335\244\310J\20B\4'\4\14\311C\2524\6\273\354\217uf\267", ) , ) == 0x0
 03171   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "filePictFromIconAndLabel\0OleNoteObjectVisible\0OleQueryCreateFromData\0OleQueryLinkFromData\0OleRegEnumFormatEtc\0OleRegEnumVerbs\0OleRegGetMiscStatus\0OleRegGetUserType\0OleRun\0OleSave\0OleSaveToStream\0OleSetAutoConvert\0OleSetClipboard\0OleSetContainedObject\0OleSetMenuDescriptor\0OleTranslateAccelerator\0OleUninitialize\0OpenOrCreateStream\0ProgIDFromCLSID\0PropStgNameToFmtId\0PropSysAllocString\0PropSysFreeString\0PropVariantClear\0PropVariantCopy\0ReadClassStg\0ReadClassStm\0ReadFmtUserTypeStg\0ReadOleStg\0ReadStri", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03172   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\273\250\251\334<%\0\200", ) , ) == 0x0
 03173   896   NtReadFile  (192, 0, 0, 0, 9532, 0x0, 0, ... {status=0x0, info=9532},  (192, 0, 0, 0, 9532, 0x0, 0, ... {status=0x0, info=9532}, "Q\376\355\241.HW\353&0-\12\243\27w\0Bz:\16\214\5\212\214\270\351o\201\345'\203\227\304\313T\333F\340\267\345<\243\230\275\233\341\235\325iax&\35\366\252\30\26\373*\240A\344\37\341\220\212\273\275veu\263\245\214F\274\370\260\247\372\23\256\20"*\227q\253\226\367&\254h~7\34G\214\266\322\277\363\205_\273\230\213\35087y\36Tc\213\25\266\252:\332\223\217\242'\227p\277\310\363I\246O\20\271E\34\364{,#\23\261\0\341\342\350\233\231,\271&9\333\264\233\363\270\342\32e\320\216\360\2154\264UT\214*\215\326\30e\13\231{rN\0\260:\250B\346\202#\250)\222s\17;S\11\342\37\3332V\235\307\316c!H\227>\212t\210\275,\320\34Z\34e\234&\327\374G]\310J\317\335\335\232\267\236\344!\230yG3Z\21\204\321{\366\234\367\335\374\215\232@E=@\1\2240\340\324=\356DG\216\377\376\256K\266\2229\256Q\335}\17pS\375J\20\366DL\205h[\241:\14x\2332\216\323;!\34vy\232\367@\351\35\314\233\270\271D\230\2163R\213\225\206\200z\224\226\364\266S\2567\237\326\333B\200?\360\317\257w\177u\215\310\370\6\221\14\264p~\360\31.\357\377\360\373O+\245\374\377\247\250\372\360%\35\323\227@\336\27\31\375\357\270F\177;k\15\336'!y\242\303\37\272\251]\263*)>\374\213rW\253\314\341+\244\346\377+\264&]@\302\201\16\252J\246\352\214f\0\356\314\314d\250\15\0-!\274\21R)\6\336\324\352\266"\326.\322\350j\327'\231f]\307Lt\222\254\351e\274\264\327\335}>g\362\\244\313\210\5\322lK\11jC%\210\325\251\251\270\316\326Me\27\377\226\346\14~B\324\23\271\30\304\210\321\337\263", ) *\227q\253\226\367&\254h~7\34G\214\266\322\277\363\205_\273\230\213\35087y\36Tc\213\25\266\252:\332\223\217\242'\227p\277\310\363I\246O\20\271E\34\364{,#\23\261\0\341\342\350\233\231,\271&9\333\264\233\363\270\342\32e\320\216\360\2154\264UT\214*\215\326\30e\13\231{rN\0\260:\250B\346\202#\250)\222s\17;S\11\342\37\3332V\235\307\316c!H\227>\212t\210\275,\320\34Z\34e\234&\327\374G]\310J\317\335\335\232\267\236\344!\230yG3Z\21\204\321{\366\234\367\335\374\215\232@E=@\1\2240\340\324=\356DG\216\377\376\256K\266\2229\256Q\335}\17pS\375J\20\366DL\205h[\241:\14x\2332\216\323;!\34vy\232\367@\351\35\314\233\270\271D\230\2163R\213\225\206\200z\224\226\364\266S\2567\237\326\333B\200?\360\317\257w\177u\215\310\370\6\221\14\264p~\360\31.\357\377\360\373O+\245\374\377\247\250\372\360%\35\323\227@\336\27\31\375\357\270F\177;k\15\336'!y\242\303\37\272\251]\263*)>\374\213rW\253\314\341+\244\346\377+\264&]@\302\201\16\252J\246\352\214f\0\356\314\314d\250\15\0-!\274\21R)\6\336\324\352\266 (192, 0, 0, 0, 9532, 0x0, 0, ... {status=0x0, info=9532}, "Q\376\355\241.HW\353&0-\12\243\27w\0Bz:\16\214\5\212\214\270\351o\201\345'\203\227\304\313T\333F\340\267\345<\243\230\275\233\341\235\325iax&\35\366\252\30\26\373*\240A\344\37\341\220\212\273\275veu\263\245\214F\274\370\260\247\372\23\256\20"*\227q\253\226\367&\254h~7\34G\214\266\322\277\363\205_\273\230\213\35087y\36Tc\213\25\266\252:\332\223\217\242'\227p\277\310\363I\246O\20\271E\34\364{,#\23\261\0\341\342\350\233\231,\271&9\333\264\233\363\270\342\32e\320\216\360\2154\264UT\214*\215\326\30e\13\231{rN\0\260:\250B\346\202#\250)\222s\17;S\11\342\37\3332V\235\307\316c!H\227>\212t\210\275,\320\34Z\34e\234&\327\374G]\310J\317\335\335\232\267\236\344!\230yG3Z\21\204\321{\366\234\367\335\374\215\232@E=@\1\2240\340\324=\356DG\216\377\376\256K\266\2229\256Q\335}\17pS\375J\20\366DL\205h[\241:\14x\2332\216\323;!\34vy\232\367@\351\35\314\233\270\271D\230\2163R\213\225\206\200z\224\226\364\266S\2567\237\326\333B\200?\360\317\257w\177u\215\310\370\6\221\14\264p~\360\31.\357\377\360\373O+\245\374\377\247\250\372\360%\35\323\227@\336\27\31\375\357\270F\177;k\15\336'!y\242\303\37\272\251]\263*)>\374\213rW\253\314\341+\244\346\377+\264&]@\302\201\16\252J\246\352\214f\0\356\314\314d\250\15\0-!\274\21R)\6\336\324\352\266"\326.\322\350j\327'\231f]\307Lt\222\254\351e\274\264\327\335}>g\362\\244\313\210\5\322lK\11jC%\210\325\251\251\270\316\326Me\27\377\226\346\14~B\324\23\271\30\304\210\321\337\263", ) , ) == 0x0
 03174   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\24\0U\213\354\213E\343\311P\377u\30\211\10\377u\24QQ\377u\14\377u\10\350\234\357\377\377]\302\30\0U\213\354V\213u V\213E\10\377u\34\213\10\377u\30j\0\377u\14P\377Q\20\205\300}\3\203&\0^]\302\34\0\213D$\243\311P\377t$\24\211\10QQ\377t$\30\377t$\30\350\226\357\377\377\302\24\0V\213t$\34\213D$\10V\377t$\34\213\10j\0\377t$\30P\377Q,\205\300}\3\203&\0^\302\30\0Vj\1^\377t$\10\350\313\355\377\377;\306u\23\366\213\306^\302\4\0\213D$\4P\213\10\377Q\243\311\203\370\1\17\225\301\213\301\302\4\0U\213\354Q\215E\374\203e\374\0P\377u\20\377u\14\377u\10\350P\356\377\377\213M\24\205\311t\5\213U\374\211\21\311\302\20\0\213D$\20\213L$\4P\377t$\20\203 \0\213\21\377t$\20Q\377R\20\302\20\0U\213\354\203\354\20\215E\360\203e\370\0P\215E\370P\203e\374\0\377u\24\203e\360\0\203e\364\0\377u\20\377u\14\377u\10\350-\356\377\377\213M\30\205\311t\13\213U\370\211\21\213U\374\211Q\4\213M\34\205\311t\13\213U\360\211\21\213U\364\211Q\4\311\302\30\0U\213\354\213M\34\213E\30VQP3\322\377u\24\211\20\211P\4\211\21\377u\20\211Q\4\213U\10\377u\14\2132R\377V\34^]\302\30\0U\213\354Q\203e\374\0\203}\24\0Vt\7\270W\0\7\200\353L\203},\0t\23\215E\374P\377u0\377u,\350u\352\377\377\205\300|3\377u\374\377u(\377u$\377u \377u\34\377u\30j\0\377u\20\377u\14\377u\10\350\334\362\377\377\213\360\213E\374\205\300t\6\213\10P\377Q\10\213\306^\311\302,\0", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03175   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "2\302\317\232, ) , ) == 0x0
 03176   896   NtReadFile  (192, 0, 0, 0, 20796, 0x0, 0, ... {status=0x0, info=20796},  (192, 0, 0, 0, 20796, 0x0, 0, ... {status=0x0, info=20796}, "\267<\312\234\376S\233s9\245\264Y?\314\363\211 jj\233j\203\267\341.\361sZ\303}\246xN\321~\244p\241\252\233\3353[\250\3\273'\355\307\366L\205\340\13\304\27 .5\17\36Hq\13\273\237~'t\3334o\30\330i\301\310\11\334\34\211\31\325\301b\20\204\3370\331u_q\207\346\16\22\235R>\350|\11\372\343\366`\356\2637\262\256\354~%\364\270\10\355\7\21zS$\250G\363\177\311\4E\312\213e\220\235\263\221\3\1\346\270[b\36e\315c\11mU5i\370\365z\322\201\33\340<\361L\307\2\365\264t\11\354X\333\310LJ.\3428\343D}\276\324\177\337\351\16\337.\335\340\230f\2Y\351\364\22\371\231\245\312K\247\227v(\35\253Va\256\316\205)\235\266j]%\274-e\15\351\215\353\201\342b\323\312V\236\255i[\324\373\375*"/\322\7\272\272\330\376\371\227\204\221", ) \253Va\256\316\205)\235\266j]%\274-e\15\351\215\353\201\342b\323\312V\236\255i[\324\373\375* (192, 0, 0, 0, 20796, 0x0, 0, ... {status=0x0, info=20796}, "\267<\312\234\376S\233s9\245\264Y?\314\363\211 jj\233j\203\267\341.\361sZ\303}\246xN\321~\244p\241\252\233\3353[\250\3\273'\355\307\366L\205\340\13\304\27 .5\17\36Hq\13\273\237~'t\3334o\30\330i\301\310\11\334\34\211\31\325\301b\20\204\3370\331u_q\207\346\16\22\235R>\350|\11\372\343\366`\356\2637\262\256\354~%\364\270\10\355\7\21zS$\250G\363\177\311\4E\312\213e\220\235\263\221\3\1\346\270[b\36e\315c\11mU5i\370\365z\322\201\33\340<\361L\307\2\365\264t\11\354X\333\310LJ.\3428\343D}\276\324\177\337\351\16\337.\335\340\230f\2Y\351\364\22\371\231\245\312K\247\227v(\35\253Va\256\316\205)\235\266j]%\274-e\15\351\215\353\201\342b\323\312V\236\255i[\324\373\375*"/\322\7\272\272\330\376\371\227\204\221", ) , ) == 0x0
 03177   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "617F7*:\0\0\0\20\2\00\0\0\0>3E3L3R3Y3`3g3u4\2374\2444\3154\3364\3574Z5_5\2345\353=<>\304>\316>\0 \2\0`\0\0\0\3400B1\3511\3561\172d2j2\2042\2122\3163\3473\3424\3714\15\305!575=5D5K5i5\2245\2345\2675\3145\3225\3565\3715\216*6N6U6\2126\2206\2446\3026\3156\3346\77\277\2447\3257\218:8\00\2\0D\0\0\090\2731O2\2542\2752\3502\3612\2533\2713\3003\3713\74<4\2664\3124\3274\3404\3514\3754@5\3137O:b:z:\211>\232>\263>\356>\34?"?\0@\2\0\234\0\0\0\2370\2450\3428\350859D9J9\1779\2249\2349\2729\3159\3439\3619\12:\34:6:<:J:T:f:p:v:\231:\246:\312:\367:);9;F;\272;\323;\365;\17E>|>\204>\250>\265>\313>\322>\332>\367>\2?\206?\255?\266?\311?\323?\345?\0P\2\0d\0\0\0\3410\3520\3630\11;1I1Y1g1\2251\3141\3541\3751\162\362&202\2002\2072\2272\2632\2732\3412\3522\3612\3732\103_3\2053\2463\3153\21<,<6<\302>\310>\330>\352>\367>\376>\5?!?3?B?]?\264?\0\0\0`\2\0p\0\0\0\350\21151L1]1i1v1~", 32557, 0x0, 0, ... {status=0x0, info=32557}, ) ?\0@\2\0\234\0\0\0\2370\2450\3428\350859D9J9\1779\2249\2349\2729\3159\3439\3619\12:\34:6:<:J:T:f:p:v:\231:\246:\312:\367:);9;F;\272;\323;\365;\17210<\243<\277<\324<\337<\356<\31=)=6=B=H=q=~=\205=\226=\243=\256=\300=\307=\317=\332=\20>E>|>\204>\250>\265>\313>\322>\332>\367>\2?\206?\255?\266?\311?\323?\345?\0P\2\0d\0\0\0\3410\3520\3630\11;1I1Y1g1\2251\3141\3541\3751\162\362&202\2002\2072\2272\2632\2732\3412\3522\3612\3732\103_3\2053\2463\3153\21<,<6<\302>\310>\330>\352>\367>\376>\5?!?3?B?]?\264?\0\0\0`\2\0p\0\0\0\350\21151L1]1i1v1~", 32557, 0x0, 0, ... {status=0x0, info=32557}, ) == 0x0
 03178   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 03179   896   NtClose  (200, ... ) == 0x0
 03180   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03181   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03182   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 03098  2016   NtUserWaitMessage  ... ) == 0x1
 03183  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03184  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 03185  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010053
 03186  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 03184  2016   NtUserRedrawWindow  ... ) == 0x1
 03183  2016   NtUserPeekMessage  ... {0x80118, WM_TIMER, 0x1, 0x0, 0x13113f9, {0, 0}}, ) == 0x0
 03187  2016   NtUserWaitMessage  (...
 03182   896   NtUserMessageCall  ... ) == 0x1
 03188   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "\20\231\6\0-\177\16\0\0\0\345.\340Q \0", ) , ) == 0x0
 03189   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03190   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03191   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256},  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "rpcrt4.dll\0\20\341\2\0=\30\25\0\0\0\345.\340Q \0rpcss.dll\0\0\32\0\0M\371\27\0\0\0n.\32f \0spmsg.dll\0\0\\1\0M\23\30\0\0\0n.rf \0spuninst.exe\0;\37\0\0Mo\31\0\0\0\345.lS \0update\kb823980.cat\0\0J\0\0\210\216\31\0\0\0n.rf \0update\spcustom.dll\0\0F\6\0\210\330\31\0\0\0n.\34f`\0update\update.exe\0\207\223\0\0\210\36 \0\0\0\345.\35R \0update\update.inf\0\374\17\0\0\17\262 \0\0\0\201,\325\225 \0update\e", ) , ) == 0x0
 03192   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03193   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03194   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03195   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8a97c, 0, 688, 1, ...
 03187  2016   NtUserWaitMessage  ... ) == 0x1
 03196  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03197  2016   NtUserDefSetText  (655682, 8387708, ... ) == 0x1
 03198  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 03199  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03200  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03201  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03202  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03203  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03195   896   NtUserMessageCall  ... ) == 0x1
 03204   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\ed0e5e2507d6768a972ae1c0794a\rpcrt4.dll"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 03205   896   NtClose  (-2147481368, ... ) == 0x0
 03204   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 03206   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "MZ\220\0\3\0\0\0\4\0\0\0\377\377\0\0\270\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\310\0\0\0\16\37\272\16\0\264\11\315!\270\1L\315!This program cannot be run in DOS mode.\15\15\12$\0\0\0\0\0\0\0\311\377\6\317\215\236h\234\215\236h\234\215\236h\234\215\236i\234N\236h\234\201\276f\234\211\236h\234\215\236h\234\34\236h\234\324\275{\234\205\236h\234\333\226n\234\214\236h\234Rich\215\236h\234\0\0\0\0\0\0\0\0PE\0\0L\1\5\0\223\7\7", 211, 0x0, 0, ... {status=0x0, info=211}, ) , 211, 0x0, 0, ... {status=0x0, info=211}, ) == 0x0
 03207   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ...
 03196  2016   NtUserPeekMessage  ... {0x80118, WM_TIMER, 0x1, 0x0, 0x13113f9, {0, 0}}, ) == 0x0
 03208  2016   NtUserWaitMessage  (...
 03207   896   NtReadFile  ... {status=0x0, info=8},  ... {status=0x0, info=8}, "\5\21b\364\260.\0\200", ) , ) == 0x0
 03209   896   NtReadFile  (192, 0, 0, 0, 11952, 0x0, 0, ... {status=0x0, info=11952},  (192, 0, 0, 0, 11952, 0x0, 0, ... {status=0x0, info=11952}, "\321.@\357}\3744\323(\330\35g\233\321;\362\304\232\347N\246\277\3514\204u\367\302|\272\271\333X\277\326t\305\250\272\253[i\306\322G\266K\217mE(\177\214\373\27$\250\335\227\357\267g\251Im\360e\346R\336?\24\2351\324\266\245\304h\311\375\232$\322b}a?\211];=rS\3254\33\351\263@\275\343GL"^\230\301\13/x\304\357\251\355\26i\226wt%\0(S\277s\311\241\26\24[E\341\0\245\300 \201\201\21\10\244H\0\224\345\\342\232]\327\322\25`NAH\33\206\237(\1\1\22\12\25D\201\13&\256\363\31\272\33g\242\260\21\206\357\375)\376\260\217\3064\320\253\274\256LEX\312\11\240\215xT\272D\327\337\242!&\13*\330~\224\363\344eESn\14t\301\6-\252\0\1 ^d\271\251\30\15Xpd\205E[N\20<\305\251]\300D\335\4\220\254\256\200\15\11\254\243\250x\12\303\334\261\201\6\27v\235\3400K\310\310D\324/\224\270\211\344\224#\35\2502V\341\261\314x\13\4\2764\347\305\24\256@B#\360@\246\213ZM\302\350+\240\322Br\327\\22\224\211\5\235\257v]\272K\352\301U\333\343]{W\210\324DBl\26~\274\304\202I\324\270`\4\10)\204`\243\13'\261\215\3g\365\206\241\304ZR\324\14\305?\252CT\364)l\202S\210\276\360\241$Eh\240B\4}\311\240d\2651~V\214@E\204P.\334D\215\204FhTD\301m2\374.\200eEUP@\10\303\32_\221\300\360\210\210\214M@\272\27\272;U1 \3422\6w\31\21\27\25g;\227F\336>x2\12a\217J\220cB\356a}2\215\273\244>\25\342\306\334\\36\357\242\24d 6\266\207\15l\237\15\347\311\222\3272\305", ) ^\230\301\13/x\304\357\251\355\26i\226wt%\0(S\277s\311\241\26\24[E\341\0\245\300 \201\201\21\10\244H\0\224\345\\342\232]\327\322\25`NAH\33\206\237(\1\1\22\12\25D\201\13&\256\363\31\272\33g\242\260\21\206\357\375)\376\260\217\3064\320\253\274\256LEX\312\11\240\215xT\272D\327\337\242!&\13*\330~\224\363\344eESn\14t\301\6-\252\0\1 ^d\271\251\30\15Xpd\205E[N\20<\305\251]\300D\335\4\220\254\256\200\15\11\254\243\250x\12\303\334\261\201\6\27v\235\3400K\310\310D\324/\224\270\211\344\224#\35\2502V\341\261\314x\13\4\2764\347\305\24\256@B#\360@\246\213ZM\302\350+\240\322Br\327\\22\224\211\5\235\257v]\272K\352\301U\333\343]{W\210\324DBl\26~\274\304\202I\324\270`\4\10)\204`\243\13'\261\215\3g\365\206\241\304ZR\324\14\305?\252CT\364)l\202S\210\276\360\241$Eh\240B\4}\311\240d\2651~V\214@E\204P.\334D\215\204FhTD\301m2\374.\200eEUP@\10\303\32_\221\300\360\210\210\214M@\272\27\272;U1 \3422\6w\31\21\27\25g;\227F\336>x2\12a\217J\220cB\356a}2\215\273\244>\25\342\306\334\\36\357\242\24d 6\266\207\15l\237\15\347\311\222\3272\305", ) == 0x0
 03210   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "?\0\0\0\0\0\0\0\0\340\0\16#\13\1\5\14\0H\6\0\0V\0\0\0\0\0\0@w\0\0\0\20\0\0\0p\6\0\0\0\323w\0\20\0\0\0\2\0\0\5\0\0\0\5\0\0\0\4\0\12\0\0\0\0\0\0\340\6\0\0\6\0\0+\267\6\0\3\0\0\0\0\0\4\0\0\20\0\0\0\0\20\0\0\20\0\0\0\0\0\0\20\0\0\0\340\243\5\0\306=\0\0<\222\5\0P\0\0\0\0\220\6\0\340\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\240\6\0\209\0\0\20\23\0\0\34\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\0\20\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0.text\0\0\0\246\321\5\0\0\20\0\0\0\322\5\0\0\6\0\0\0\0\0\0\0\0\0\0\0\0\0\0 \0\0`.orpc\0\0\0\30t\0\0\0\360\5\0\0v\0\0\0\330\5\0\0\0\0\0\0\0\0\0\0\0\0\0 \0\0`.data\0\0\0\300\22\0\0\0p\6\0\0\10\0\0\0N\6\0\0\0\0\0\0\0\0\0\0\0\0\0@\0\0\300.rsrc\0\0\0\340\3\0\0\0\220\6\0\0\4\0\0\0V\6\0\0\0\0\0\0\0\0\0\0\0\0\0@\0\0@.reloc\0\0\316=\0\0\0\240\6\0\0>\0\0\0Z\6\0\0\0\0\0\0\0\0\0\0\0\0\0@\0\0B\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 32768, 0x0, 0, ... , 32768, 0x0, 0, ...
 03211   896   NtContinue  (-135750188, 0, ...
 03210   896   NtWriteFile  ... {status=0x0, info=32768}, ) == 0x0
 03212   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "D\370\37>\240@\0\200", ) , ) == 0x0
 03213   896   NtReadFile  (192, 0, 0, 0, 16544, 0x0, 0, ... {status=0x0, info=16544},  (192, 0, 0, 0, 16544, 0x0, 0, ... {status=0x0, info=16544}, "q<\237\250\34S8\306\271:\237\330\3\252^\4@=\260A\21\317!qB\34\255\276\367\37\224\0n#\374\0\4\13\202@(\247P\331\313\357\236\27V\6\233\203\2`Z\11c\244!!/\262\250o\206\261\373\15\272\317\265_\241\366\2N\310\341\275\304\211\2\351\314\251\2129\227\322c\315V\235c\347m\21\335\214sFm\247\203\376r8\25\261\305\213\11!p\275\277\336\237\24\6Aj\357FX\31l\346\214l\13\321\262/N\346\13+\231\205\304\233\245\376\340\311\333\234Q\340\207\257Z\214\210YJ\261\375a\231xg\305SN\365\227u\341Ck{\262\254\10'\371\213\243\355\260\211q\254\372\26\26>\376.\375j\242\367\30\227$\306\306\343N#\333\263\4\1\139\205+\3d~:\220\235\306\340\336E|w\\202\226iE\225_\2052u\4\221\250\25\233\346aw\27\364e\231\356\2B]\352\330\212\312\311\302}\316\5\354j\253\22131\212\25\177&-\227\37-*A@=\324\330\250x\265\337]\262i\30{v\329B\362\216\264-\211u\301\236\354\211\370X\342\262NQ\31\10!\360\372\342\330\370OJSb6\223b~.\305\14\372\240ej5\30\326<\375YT\27\305\250\365q\7\215\215\16\344\270\214g\261\210%H;i1\33\331\347\321\224\212\354YK\377\342\302\26\262\375\236w\345\324\177w\156\313\277\332Q\14\374d\312B\25\344\2615\211C\37q\241+k\R\206J/\331\346\21\366\27\27\364\362\237\253\33\270Y\247\357\236*\321\234\320\350\341\346\241\360\300\252\333\24\331\250#\215W\302\35_X`\204\203_/\22\204\325\27\301 \246\15'\375\345\232\363\230C\236R\262\2342\12\6\30\27.T\231\204xc\347\217?\24}", ) , ) == 0x0
 03214   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "S\211]\14\377\25\344\22\323w3\3009F\14t\21S\377\25\354\22\323w\270\261\6\0\0\351\262\0\0\09F,u\269FLu\21S\377\25\354\22\323w\270\262\6\0\0\351\227\0\0\0\201\377\322\4\0\0\211\276\220\0\0\0u\6\211\206\320\0\0\0\213M\10\211~@\211N\20\211E\374\215^$\215E\374\213\313P\350`\220\1\0\205\300t \213\20W\377u\10\213\310\377R\30\205\300\211E\370t\337\377u\14\377\25\354\22\323w\213E\370\353E\377\266\224\0\0\0\377\25H\21\323w\203}\20\0j\1X\211\206\314\0\0\0\211F\14t\15\377u\14\377\25\354\22\323w3\300\353\32\377u\14\211F\24\377\25\354\22\323w\213\316\350\16\0\0\0\353\5\270\316\6\0\0_^[\311\302\14\0U\213\354QSV\213\361j\377\215\216\224\0\0\0\350\335\227\1\0\213F\103\333;\303t\5\211^\14\353xW\211]\374\215~$\215E\374\213\317P\350\273\217\1\0;\303t\11\213\20\213\310\377R\34\353\350\211]\374\215E\374\213\317P\350\240\217\1\0;\303t\11\213\20\213\310\377R(\353\350\211]\374\215\276\260\0\0\0\215E\374\213\317P\350\177\217\1\0;\303t\11\213\310\350\251\373\377\377\353\350\215\276(\1\0\0W\377\25\344\22\323wW\211^\24\211^\14\377\25\354\22\323w3\300_^[\311\303V\213\361W\215\276(\1\0\0W\377\25\344\22\323w\203~\14\0u\16W\377\25\354\22\323w\270\263\6\0\0\353)\203~\24\0t\16W\377\25\354\22\323w\270\261\6\0\0\353\25W\307F\24\1\0\0\0\377\25\354\22\323w\213\316\350\23\377\377\377_^\303\213D$\4\213Q \211P\4\213Q\30\211P\10\213\221\354\0\0\0\211P\14\213Ip\211H\20\302\4\03\3009A\14u\6", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03215   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\270I,\224 B\0\200", ) , ) == 0x0
 03216   896   NtReadFile  (192, 0, 0, 0, 16928, 0x0, 0, ... {status=0x0, info=16928},  (192, 0, 0, 0, 16928, 0x0, 0, ... {status=0x0, info=16928}, "WF\275\345\327\32\370\343\206+\274B\2521\262\352x\212\302\24\334\304\201\37Z\330\360\35\327'\252D-D\252\20\252\317Pe\326h\367B\373\326C\322y\307N\7\35"\3503m\307^7\272\234\37268\14\323{^^\242}R\321\312\2256\256G>L\327$W\351J\223D\254\307m\37371\232LK\230(QM\223\225EPp\244\246D$\345\224;M\17\366]\177\233\344U\354g\33f\304\312\324#G\3357b\210 I\17"\243%=E"\35F!\1~B\247!\251+\306*\276\31\214\11\350\207\201\365|#}\4\315\240\256\22\347;\333V\311\244\34\215z8\26\303\241G\275\36/\330B\257\23P\344\16S)36;n\34N\224\273NC\30\366t\220Mk\245\322\7\3277\276\366{\222\370\305\334\276\247\357;9\221zkZ~8<\240I\354\33m\217\\363-\327\331\266\311\277\232\275VF\251m\257\243\24\304\321\370\2721\177\20/\320\256)\3162\256$9\376\10$\31\3175\306;0`\214#\371\263'\3637\201\253\232Jo\220\337(=\265@u\177\37~\327\\33g\272\270~\234\261\253\263\16u#\27\264\36\16\312\300\351pDB\207v4\314\214\335}i\25\206\233\224)P^ci\236\J\20\244\241\243<\27,\260`:N\372\14\224\17\31Z\327\360\261p\261\376\224\16\10^\2f\366\307jt\6/\26\224\5s}\211w\334_\374\201\35O\2172ltbJ\340bVc\257\216\31\14\347\310k2\37\3C\254\264\30%\326\304\235\314\33\342F\210?[\322\330\333V\222!\32279\245u\304I\216hK=\250/\210\16M|\264%r\22430\7%t\31x\355\304\321Ffx\235R|\355B\314\317Z?\304\274Y\361j\220\376\336\312\315y\26\2\363\212o", ) \3503m\307^7\272\234\37268\14\323{^^\242}R\321\312\2256\256G>L\327$W\351J\223D\254\307m\37371\232LK\230(QM\223\225EPp\244\246D$\345\224;M\17\366]\177\233\344U\354g\33f\304\312\324#G\3357b\210 I\17 (192, 0, 0, 0, 16928, 0x0, 0, ... {status=0x0, info=16928}, "WF\275\345\327\32\370\343\206+\274B\2521\262\352x\212\302\24\334\304\201\37Z\330\360\35\327'\252D-D\252\20\252\317Pe\326h\367B\373\326C\322y\307N\7\35"\3503m\307^7\272\234\37268\14\323{^^\242}R\321\312\2256\256G>L\327$W\351J\223D\254\307m\37371\232LK\230(QM\223\225EPp\244\246D$\345\224;M\17\366]\177\233\344U\354g\33f\304\312\324#G\3357b\210 I\17"\243%=E"\35F!\1~B\247!\251+\306*\276\31\214\11\350\207\201\365|#}\4\315\240\256\22\347;\333V\311\244\34\215z8\26\303\241G\275\36/\330B\257\23P\344\16S)36;n\34N\224\273NC\30\366t\220Mk\245\322\7\3277\276\366{\222\370\305\334\276\247\357;9\221zkZ~8<\240I\354\33m\217\\363-\327\331\266\311\277\232\275VF\251m\257\243\24\304\321\370\2721\177\20/\320\256)\3162\256$9\376\10$\31\3175\306;0`\214#\371\263'\3637\201\253\232Jo\220\337(=\265@u\177\37~\327\\33g\272\270~\234\261\253\263\16u#\27\264\36\16\312\300\351pDB\207v4\314\214\335}i\25\206\233\224)P^ci\236\J\20\244\241\243<\27,\260`:N\372\14\224\17\31Z\327\360\261p\261\376\224\16\10^\2f\366\307jt\6/\26\224\5s}\211w\334_\374\201\35O\2172ltbJ\340bVc\257\216\31\14\347\310k2\37\3C\254\264\30%\326\304\235\314\33\342F\210?[\322\330\333V\222!\32279\245u\304I\216hK=\250/\210\16M|\264%r\22430\7%t\31x\355\304\321Ffx\235R|\355B\314\317Z?\304\274Y\361j\220\376\336\312\315y\26\2\363\212o", ) \35F!\1~B\247!\251+\306*\276\31\214\11\350\207\201\365|#}\4\315\240\256\22\347;\333V\311\244\34\215z8\26\303\241G\275\36/\330B\257\23P\344\16S)36;n\34N\224\273NC\30\366t\220Mk\245\322\7\3277\276\366{\222\370\305\334\276\247\357;9\221zkZ~8<\240I\354\33m\217\\363-\327\331\266\311\277\232\275VF\251m\257\243\24\304\321\370\2721\177\20/\320\256)\3162\256$9\376\10$\31\3175\306;0`\214#\371\263'\3637\201\253\232Jo\220\337(=\265@u\177\37~\327\\33g\272\270~\234\261\253\263\16u#\27\264\36\16\312\300\351pDB\207v4\314\214\335}i\25\206\233\224)P^ci\236\J\20\244\241\243<\27,\260`:N\372\14\224\17\31Z\327\360\261p\261\376\224\16\10^\2f\366\307jt\6/\26\224\5s}\211w\334_\374\201\35O\2172ltbJ\340bVc\257\216\31\14\347\310k2\37\3C\254\264\30%\326\304\235\314\33\342F\210?[\322\330\333V\222!\32279\245u\304I\216hK=\250/\210\16M|\264%r\22430\7%t\31x\355\304\321Ffx\235R|\355B\314\317Z?\304\274Y\361j\220\376\336\312\315y\26\2\363\212o", ) == 0x0
 03217   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\377\213E\10\211\3[3\300_^\311\302\20\0\203y8\0t\7\203l$\4(\353\5\203l$\4\30\377t$\4\350\341\343\377\377\302\4\0VW\213\3613\3779\276\344\0\0\0uG\203~L\12\213D$\14u\16\213@\10\203\350\30P\350\272\343\377\377\353\12\377p\10\213\316\350\262\377\377\377\213FP9xPt\12W\213\316\350\366\0\0\0\353,9~\24u\5\350\321\21\0\0\213\6\213\316\377P\20\353\31\213D$\14\213@\10;\307t\13\203\300\350\213\316P\350s\343\377\377\211~d_^\302\4\0\203y8\0\213D$\4t\10\203\300\10\203\0\330\353\6\203\300\10\203\0\350\3770\350L\343\377\377\302\4\0U\213\354QQS\213\331V\213u\14\213CP;\263\250\0\0\0W\17\267H vv;\361\211u\370w\3\211M\370\213@H\213M\370\215DA(\213\313P\215E\374P\350\34r\0\0\205\300t\5j\16X\353U\203{8\0t\6\203E\374(\353\4\203E\374\30\213E\10\213H\14\205\311v"\213p\10\213}\374\213\321P\301\351\2\363\245\213\312\203\341\3\363\244\213\23\213\313\377R<\213E\10\213u\14\213M\374\211H\10\213M\370\211\213\250\0\0\0\353\3\213E\10\211p\143\300_^[\311\302\10\0U\213\354QV\213\361W\215\276\360\0\0\0\215E\374\213\317P\350%\31\1\0\205\300t \203\276\34\1\0\0\0t\15\203\300\350\213\316P\350w\342\377\377\353\333P\213\316\350q\376\377\377\353\321\203\276\310\0\0\0\377t\11\213NTV\350\204\270\377\377\213NP\213~T\203fT\0\203yP\0u\129q\24u\5\350\35\311\377\377\377u\10\213NPV\350\306\312\377\377\205\377t\7\213\7\213\317\377PL_^\311\302\4\0\307\201\350\0\0\0\1\0\0\03", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \213p\10\213}\374\213\321P\301\351\2\363\245\213\312\203\341\3\363\244\213\23\213\313\377R<\213E\10\213u\14\213M\374\211H\10\213M\370\211\213\250\0\0\0\353\3\213E\10\211p\143\300_^[\311\302\10\0U\213\354QV\213\361W\215\276\360\0\0\0\215E\374\213\317P\350%\31\1\0\205\300t \203\276\34\1\0\0\0t\15\203\300\350\213\316P\350w\342\377\377\353\333P\213\316\350q\376\377\377\353\321\203\276\310\0\0\0\377t\11\213NTV\350\204\270\377\377\213NP\213~T\203fT\0\203yP\0u\129q\24u\5\350\35\311\377\377\377u\10\213NPV\350\306\312\377\377\205\377t\7\213\7\213\317\377PL_^\311\302\4\0\307\201\350\0\0\0\1\0\0\03", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03218   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\205a\364H\202?\0\200", ) , ) == 0x0
 03219   896   NtReadFile  (192, 0, 0, 0, 16258, 0x0, 0, ... {status=0x0, info=16258},  (192, 0, 0, 0, 16258, 0x0, 0, ... {status=0x0, info=16258}, "\5\12\224\2\11\30\227\376\214\223~\217\333\374\35\226\265Nci\246\276\322\365w\330,\272\322!)\344v\23\2646\240+\240z(\332\305"\27\340\250Wr\310^?\315\243\0\370\363i\342"\277\203M-vQ=\310!\246;\34\236\25\5\245\222\344\274\235Z\320V\255\36\340M\260\30Qv\352\263\206\16\5\316\371^\354\205\200!\370Y\\21\6IV\373\13e 0\313"\372\321\221%H\235\335\225{\23Wi*\31;\344\232X\252\13bD\306Y\364\374N\16S\343\204)d\262\313vd\214ig\247\345ij\356\11\272P\213\266\365\255C\14\345\212SavZ\304[\362\333\211\6\200\222\04\334L\327`\14\3460\2348\330\246\302\0\353\246)\320\311&\32\247\12X\10\301\334\274\22\307\314\323a\207\333\220\303G\252\316\35\233\263d[\366\252\1\3023_U\245\17\203\34\353\36\303\341\361\315\10=\27;\225\17|\220\362\337\333\227\320\3354\2656K\221QWs\242\35m\2608\255\203\207\232\37\377.\12\334;\213"\37h\243\244CF9\236}\371\336S-\306b`\226\346\303\254\345\241\302\204JJ\234~\327\212d\235\260\320\264\377\360\14"\246\225\227\374\230H\27\322\24\14b\200\203\225X\225v\310\351m\2622\253Y\352\36\221\273\250\370L1K\335\374dL\357*vV\210S\346\323\320\301\2\1P\2j7'\261: \362\360\374x\336\32\322\375(\314 \363\10\345\330Sb\206\2759\322\370\276\31\373"\222D\30\255\3\240\343\266\256\366\232\325\234\264\342\360\11\202\230P\252\226\250\15P\210\345P\17\312t\320\27C\213\241j\222l|\366\13\233v\351s\324rO\32x\332\336\212\333X\253p-R22\335\3660*\327\2\351\35\0\305\200\2I\23\6\0\1Ie\300\330\33\262+\200\222\225\300", ) \27\340\250Wr\310^?\315\243\0\370\363i\342 (192, 0, 0, 0, 16258, 0x0, 0, ... {status=0x0, info=16258}, "\5\12\224\2\11\30\227\376\214\223~\217\333\374\35\226\265Nci\246\276\322\365w\330,\272\322!)\344v\23\2646\240+\240z(\332\305"\27\340\250Wr\310^?\315\243\0\370\363i\342"\277\203M-vQ=\310!\246;\34\236\25\5\245\222\344\274\235Z\320V\255\36\340M\260\30Qv\352\263\206\16\5\316\371^\354\205\200!\370Y\\21\6IV\373\13e 0\313"\372\321\221%H\235\335\225{\23Wi*\31;\344\232X\252\13bD\306Y\364\374N\16S\343\204)d\262\313vd\214ig\247\345ij\356\11\272P\213\266\365\255C\14\345\212SavZ\304[\362\333\211\6\200\222\04\334L\327`\14\3460\2348\330\246\302\0\353\246)\320\311&\32\247\12X\10\301\334\274\22\307\314\323a\207\333\220\303G\252\316\35\233\263d[\366\252\1\3023_U\245\17\203\34\353\36\303\341\361\315\10=\27;\225\17|\220\362\337\333\227\320\3354\2656K\221QWs\242\35m\2608\255\203\207\232\37\377.\12\334;\213"\37h\243\244CF9\236}\371\336S-\306b`\226\346\303\254\345\241\302\204JJ\234~\327\212d\235\260\320\264\377\360\14"\246\225\227\374\230H\27\322\24\14b\200\203\225X\225v\310\351m\2622\253Y\352\36\221\273\250\370L1K\335\374dL\357*vV\210S\346\323\320\301\2\1P\2j7'\261: \362\360\374x\336\32\322\375(\314 \363\10\345\330Sb\206\2759\322\370\276\31\373"\222D\30\255\3\240\343\266\256\366\232\325\234\264\342\360\11\202\230P\252\226\250\15P\210\345P\17\312t\320\27C\213\241j\222l|\366\13\233v\351s\324rO\32x\332\336\212\333X\253p-R22\335\3660*\327\2\351\35\0\305\200\2I\23\6\0\1Ie\300\330\33\262+\200\222\225\300", ) \372\321\221%H\235\335\225{\23Wi*\31;\344\232X\252\13bD\306Y\364\374N\16S\343\204)d\262\313vd\214ig\247\345ij\356\11\272P\213\266\365\255C\14\345\212SavZ\304[\362\333\211\6\200\222\04\334L\327`\14\3460\2348\330\246\302\0\353\246)\320\311&\32\247\12X\10\301\334\274\22\307\314\323a\207\333\220\303G\252\316\35\233\263d[\366\252\1\3023_U\245\17\203\34\353\36\303\341\361\315\10=\27;\225\17|\220\362\337\333\227\320\3354\2656K\221QWs\242\35m\2608\255\203\207\232\37\377.\12\334;\213 (192, 0, 0, 0, 16258, 0x0, 0, ... {status=0x0, info=16258}, "\5\12\224\2\11\30\227\376\214\223~\217\333\374\35\226\265Nci\246\276\322\365w\330,\272\322!)\344v\23\2646\240+\240z(\332\305"\27\340\250Wr\310^?\315\243\0\370\363i\342"\277\203M-vQ=\310!\246;\34\236\25\5\245\222\344\274\235Z\320V\255\36\340M\260\30Qv\352\263\206\16\5\316\371^\354\205\200!\370Y\\21\6IV\373\13e 0\313"\372\321\221%H\235\335\225{\23Wi*\31;\344\232X\252\13bD\306Y\364\374N\16S\343\204)d\262\313vd\214ig\247\345ij\356\11\272P\213\266\365\255C\14\345\212SavZ\304[\362\333\211\6\200\222\04\334L\327`\14\3460\2348\330\246\302\0\353\246)\320\311&\32\247\12X\10\301\334\274\22\307\314\323a\207\333\220\303G\252\316\35\233\263d[\366\252\1\3023_U\245\17\203\34\353\36\303\341\361\315\10=\27;\225\17|\220\362\337\333\227\320\3354\2656K\221QWs\242\35m\2608\255\203\207\232\37\377.\12\334;\213"\37h\243\244CF9\236}\371\336S-\306b`\226\346\303\254\345\241\302\204JJ\234~\327\212d\235\260\320\264\377\360\14"\246\225\227\374\230H\27\322\24\14b\200\203\225X\225v\310\351m\2622\253Y\352\36\221\273\250\370L1K\335\374dL\357*vV\210S\346\323\320\301\2\1P\2j7'\261: \362\360\374x\336\32\322\375(\314 \363\10\345\330Sb\206\2759\322\370\276\31\373"\222D\30\255\3\240\343\266\256\366\232\325\234\264\342\360\11\202\230P\252\226\250\15P\210\345P\17\312t\320\27C\213\241j\222l|\366\13\233v\351s\324rO\32x\332\336\212\333X\253p-R22\335\3660*\327\2\351\35\0\305\200\2I\23\6\0\1Ie\300\330\33\262+\200\222\225\300", ) \246\225\227\374\230H\27\322\24\14b\200\203\225X\225v\310\351m\2622\253Y\352\36\221\273\250\370L1K\335\374dL\357*vV\210S\346\323\320\301\2\1P\2j7'\261: \362\360\374x\336\32\322\375(\314 \363\10\345\330Sb\206\2759\322\370\276\31\373 (192, 0, 0, 0, 16258, 0x0, 0, ... {status=0x0, info=16258}, "\5\12\224\2\11\30\227\376\214\223~\217\333\374\35\226\265Nci\246\276\322\365w\330,\272\322!)\344v\23\2646\240+\240z(\332\305"\27\340\250Wr\310^?\315\243\0\370\363i\342"\277\203M-vQ=\310!\246;\34\236\25\5\245\222\344\274\235Z\320V\255\36\340M\260\30Qv\352\263\206\16\5\316\371^\354\205\200!\370Y\\21\6IV\373\13e 0\313"\372\321\221%H\235\335\225{\23Wi*\31;\344\232X\252\13bD\306Y\364\374N\16S\343\204)d\262\313vd\214ig\247\345ij\356\11\272P\213\266\365\255C\14\345\212SavZ\304[\362\333\211\6\200\222\04\334L\327`\14\3460\2348\330\246\302\0\353\246)\320\311&\32\247\12X\10\301\334\274\22\307\314\323a\207\333\220\303G\252\316\35\233\263d[\366\252\1\3023_U\245\17\203\34\353\36\303\341\361\315\10=\27;\225\17|\220\362\337\333\227\320\3354\2656K\221QWs\242\35m\2608\255\203\207\232\37\377.\12\334;\213"\37h\243\244CF9\236}\371\336S-\306b`\226\346\303\254\345\241\302\204JJ\234~\327\212d\235\260\320\264\377\360\14"\246\225\227\374\230H\27\322\24\14b\200\203\225X\225v\310\351m\2622\253Y\352\36\221\273\250\370L1K\335\374dL\357*vV\210S\346\323\320\301\2\1P\2j7'\261: \362\360\374x\336\32\322\375(\314 \363\10\345\330Sb\206\2759\322\370\276\31\373"\222D\30\255\3\240\343\266\256\366\232\325\234\264\342\360\11\202\230P\252\226\250\15P\210\345P\17\312t\320\27C\213\241j\222l|\366\13\233v\351s\324rO\32x\332\336\212\333X\253p-R22\335\3660*\327\2\351\35\0\305\200\2I\23\6\0\1Ie\300\330\33\262+\200\222\225\300", ) , ) == 0x0
 03220   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\14s\3\213E\14f9E\20s\3\213E\20]\302\14\0U\213\354\201\354\264\0\0\0SV\213u\103\300W\211E\314\211E\360\211E\340\213F\14\215~\30\211E\370\213\331\17\266\7k\300,\213N\4\203\300\349E\14\211}\330\211Kd\17\202\27\1\0\0\212F\4$\360<\20tEf\213F\203\311\212\314\212\350f\213F\22f\211N\203\311\212\350\212\314\213F\24f\211N\22\213\310\213\320\201\341\0\377\0\0\301\342\20\13\312\213\320\301\352\20%\0\0\377\0\13\320\301\341\10\301\352\10\13\312\211N\24\215E\270\213\313P\350r\360\377\377\213F\24\205\300t\30\215M\270Q\213K`P\350\211\316\377\377\205\300\211C\\17\204\237\0\0\0\203{\\0uRj4\350\o\0\0\205\300Yt\24\215M\364Q\215M\270Q\213\310\377s`\350\200\20\0\0\353\23\300\205\300\211C\t\23\203}\364\0t#\205\300t\11\213\20j\1\213\310\377R\4\213\3\203c\\0V\213\313\377P<\377u\370j\2\351\266\5\0\0f\213N\12f\205\311\17\204"\1\0\0\213E\14\215{\24\17\267\311\3\306+\301\17\266H\371\203\350\10\203\371\3\211E\334\211\17u\6\307\7\4\0\0\0\213\17\203\371\2t!\203\371\4t\34\203\371\5t\27\203\371\6t\22\213\3V\213\313\377P<\377u\370j\0\351]\5\0\0\17\266\10\211K\34\213@\4\211\203\20\1\0\0\212N\4\200\341\360\200\371\20t*\213\310\213\320\201\341\0\377\0\0\301\342\20\13\312\213\320\201\342\0\0\377\0\301\350\20\13\320\301\341\10\301\352\10\13\312\211\213\20\1\0\0\203e\344\0jd\350in\0\0\205\300Yt\26\215M\344Qj\0\377\263\20\1\0\0\213\310W\350k\35\1\0\353\23\300\205\300\211CX\17\204\335\0\0\0\203", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \1\0\0\213E\14\215{\24\17\267\311\3\306+\301\17\266H\371\203\350\10\203\371\3\211E\334\211\17u\6\307\7\4\0\0\0\213\17\203\371\2t!\203\371\4t\34\203\371\5t\27\203\371\6t\22\213\3V\213\313\377P<\377u\370j\0\351]\5\0\0\17\266\10\211K\34\213@\4\211\203\20\1\0\0\212N\4\200\341\360\200\371\20t*\213\310\213\320\201\341\0\377\0\0\301\342\20\13\312\213\320\201\342\0\0\377\0\301\350\20\13\320\301\341\10\301\352\10\13\312\211\213\20\1\0\0\203e\344\0jd\350in\0\0\205\300Yt\26\215M\344Qj\0\377\263\20\1\0\0\213\310W\350k\35\1\0\353\23\300\205\300\211CX\17\204\335\0\0\0\203", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03221   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\202\26\251\267, ) , ) == 0x0
 03222   896   NtReadFile  (192, 0, 0, 0, 16700, 0x0, 0, ... {status=0x0, info=16700},  (192, 0, 0, 0, 16700, 0x0, 0, ... {status=0x0, info=16700}, "\363\374&\205\257R\350\226i\212\277,\341\373\23\27t\306\357t\t\322}\37\302eT\363\342\252\32\332\31I@\276A\372\4\217l=5Q\353\223\202W\237\35+\242rh\370\274\315\20\1\257\316\311\327:o/\300\257wH'\352\205\2\371\366\31\244\376>\232\5\337\36\304;05\25\237\347\230{\263\177V*Ny\212\356\220(\26\305\230\310\21\300q\276\5\320\313O=\2321p\344\276mS\311\226^\230\11\357\214\370\362\4j!\336\3v\265\252\331%,\265\12=\352\261M\322\200\336*\235qA\252\3\20\234:\373R\321z\215\371z\353m\324\372\306\34\375\273\335\336\236\23\336\237\14E?\20\275\357Z\347\245\261\242\7\352\13\263e\335\323\367_C\216\373\237<\211K\12\313\375\255\322\233\351\374{X!\307\313\7'C;NV\2122\263\273\326Q\306N\300/\201\332V\214:\221%N\247\311#K\223\270_\314\371\235\222\346vS\335n\313bb{Eg_\251\3649\212\233\266\266\36\243\367\346\310\21\227Q\311\254a\265\5\306\337\25H\1\200\27\213b\274*}\322\202B~\215m11\14f\367\12\37;|\375(\1\11\\354\333\376\362$\226{\3521C\374$!B[\217\331\362u\330Dj\2\257`\373\230\302\360DJ\14\212\1\300;\227\373W\34\202l\235k7I9\342\263\276.NiHuA\362\336\300ia\345\344\233\251t\336\227b\200\266k\312\246zJZ#\316\365\1\32(\15\20\320u3\200\14pHr\263\234_\267\10\224\324\250\304\373\242L:\345\152\362H5\326w\12\34\23/"\23\313\233$\372F\3703\3781\11LXz\267\347\274\302\277\251?m\337\33U\316\360b/`i\241e/:\26\22\354\250\204kZ\311\350\337\30T#\177\367\363v\227;S\352", ) \23\313\233$\372F\3703\3781\11LXz\267\347\274\302\277\251?m\337\33U\316\360b/`i\241e/:\26\22\354\250\204kZ\311\350\337\30T#\177\367\363v\227;S\352", ) == 0x0
 03223   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "w;\373t\16\213\317\350u\20\377\377W\3505\360\377\377Y\213E\374\203\370\16\17\204\364\0\0\0\353N\215E\360P\215E\354P\215E\364PW\350\364\376\377\377\205\300u\13V\377\25\354\22\323w;\373\353\35\377u\14\377U\364\213\330\205\333t\10\201;\4 \0\0v#V\377\25\354\22\323w\205\377t\16\213\317\350\31\20\377\377W\350\331\357\377\377Y\270\247\6\0\0\351\232\0\0\0h\214\2\0\0\350\261\357\377\377\205\300Yt \377u\20\215M\374Q\213\310\377u\360\377u\354W\377u\14\377u\10S\350\266\374\377\377\213\330\353\23\333\205\333u\25V\377\25\354\22\323w\205\377tW\213\317\350\301\17\377\377W\353G\203}\374\0u\34\213\15\30z\331wS\350\322\16\0\0\203\370\377t\13V\377\25\354\22\323w3\300\353.V\377\25\354\22\323w\205\377t\16\213\317\350\212\17\377\377W\350J\357\377\377Y\215\213\20\2\0\0\350\363\30\0\0S\3508\357\377\377Yj\16X_^[\311\302\14\0U\213\354QV\276\10w\331wWV\377\25\344\22\323w\203e\374\0\213\15\30z\331w\215E\374P\350\214\17\0\0\205\300t\33\377u\10\213\310\350\247\375\377\377\213\370\205\377t\335V\377\25\354\22\323w\213\307\353\11V\377\25\354\22\323w3\300_^\311\302\4\0Vj\34\350\277\356\377\377\213\360Y\205\366t\11\213\316\350\11\16\0\0\353\23\3663\300\2115\30z\331w\205\366\17\224\300^\303Q\241$w\331wSUV\213h\20\213\361W\203>\0uI\213\35@\21\323wV\377\323\203\370\1u;\203d$\20\0\205\355~2\215\276\10\2\0\0W\377\323\213\15$w\331wVh\316\14\325w\350\233\216\376\377\205\300u\14\377D$\209l$\20|\336\353\10\203'\0\203&\0\353\23", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03224   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "J8\200h\300@\0\200", ) , ) == 0x0
 03225   896   NtReadFile  (192, 0, 0, 0, 16576, 0x0, 0, ... {status=0x0, info=16576},  (192, 0, 0, 0, 16576, 0x0, 0, ... {status=0x0, info=16576}, "\347\235\22\362i\325q]\300\254\27\13\356\12\216~n\3250\314j+0\225/\252w\223\225Z\227\215G\211Ry2\237*\372\230\27V\1%\242\241\351\277\311\367\233\2336\367\243\226\261\327\30\370_T\354\352KE\210g\363\367E\242'\212W\205\263\365\252\223\253K\3054]\307\375\306&9\342\360]\273\222\243\6a.O\177q\244h\251\335\223\255\25\32o=\234r\354\357h\305?8\352\224I\236\222\261Q\256\263:\343\200\325\22\306I\13\340\377\222j\235\340\375Gz\30\371\267h\200\222\35\372\352\337\353~b\23\256|\13w\320\345aAaNw{\221\201\35\320\363\3165\312o\15x\346\341\364A\330\12\324\332\24X\30140\316\251\34s\346\345\315*\367Ly\22J\272\14\221yS}\323}\373\37\337;y\3603\267\267\376\177\217\14\232[M;\244\225\375\220\370\234\356x\275\340\367q\250\323(rs+\246x\321&\225\241\375]h\223!\253\233L\2%\205\60J\357\247\20.\276\323:D\235\353\350#:\225_\212Y\332;\254\204B4\267\376\232\305\232\270\260\314\225rZ55\241I^\375\307\35\374\344\362\25c*q\271\316\31\365j-\3664\337\322\310\4\372\322\344\350\16\350\270\356l\270}\33\223^\15w)\26V\35\323\321\324\177\7\15\261_\264\374$\236#LoC\20\200;\211}\16gXV\354^\216\213\317\36\232\365\331\334\234\302\271\27\324\225\354\250\242\t\274\37\244\234\214\37C\302\267<\10zI\372w\273]r\240\353-\206\4\251\317"a"\303'\262\207&WZ\330\357\235\220\335\310\235\204\332\214-\230\37\272\322\305\325\222-\276\250\177\230\333~e\366\17x\300\10<\300\7\375\274AS\200\304a\246\313\341\254u\3\37\3ny@\375\6\312\5#{\1\327\301\255\255", ) a (192, 0, 0, 0, 16576, 0x0, 0, ... {status=0x0, info=16576}, "\347\235\22\362i\325q]\300\254\27\13\356\12\216~n\3250\314j+0\225/\252w\223\225Z\227\215G\211Ry2\237*\372\230\27V\1%\242\241\351\277\311\367\233\2336\367\243\226\261\327\30\370_T\354\352KE\210g\363\367E\242'\212W\205\263\365\252\223\253K\3054]\307\375\306&9\342\360]\273\222\243\6a.O\177q\244h\251\335\223\255\25\32o=\234r\354\357h\305?8\352\224I\236\222\261Q\256\263:\343\200\325\22\306I\13\340\377\222j\235\340\375Gz\30\371\267h\200\222\35\372\352\337\353~b\23\256|\13w\320\345aAaNw{\221\201\35\320\363\3165\312o\15x\346\341\364A\330\12\324\332\24X\30140\316\251\34s\346\345\315*\367Ly\22J\272\14\221yS}\323}\373\37\337;y\3603\267\267\376\177\217\14\232[M;\244\225\375\220\370\234\356x\275\340\367q\250\323(rs+\246x\321&\225\241\375]h\223!\253\233L\2%\205\60J\357\247\20.\276\323:D\235\353\350#:\225_\212Y\332;\254\204B4\267\376\232\305\232\270\260\314\225rZ55\241I^\375\307\35\374\344\362\25c*q\271\316\31\365j-\3664\337\322\310\4\372\322\344\350\16\350\270\356l\270}\33\223^\15w)\26V\35\323\321\324\177\7\15\261_\264\374$\236#LoC\20\200;\211}\16gXV\354^\216\213\317\36\232\365\331\334\234\302\271\27\324\225\354\250\242\t\274\37\244\234\214\37C\302\267<\10zI\372w\273]r\240\353-\206\4\251\317"a"\303'\262\207&WZ\330\357\235\220\335\310\235\204\332\214-\230\37\272\322\305\325\222-\276\250\177\230\333~e\366\17x\300\10<\300\7\375\274AS\200\304a\246\313\341\254u\3\37\3ny@\375\6\312\5#{\1\327\301\255\255", ) , ) == 0x0
 03226   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\213\214\0\0\0\211\223\220\0\0\0\213H\20\211\213\224\0\0\0\213@\24\211\203\230\0\0\0d\241\30\0\0\0\213\200\34\17\0\0\211X\14\2118\213\69x\24tiS\213\316\350|\1\0\0\205\300t]\213Cx\213K|\377u\370\213P\10\211Q\10j\5\213@\14\211A\14\213Cx\213K|\213@\24\211A\24\213Cx\213K|\213@\20\211A\20\213Cx\213K|f\213@\6f\211A\6\377s|\350\347\340\377\377d\241\30\0\0\0\213\200\34\17\0\0\211x\14\21183\300\351\26\1\0\0\213C|\306@\30\29\273\204\0\0\0\215E\374PWt\27\213\16\215\203\274\0\0\0P\215\203\370\0\0\0P\350>\364\375\377\353\16\213\16\215\203\370\0\0\0P\350\255\361\375\377\213\360d\241\30\0\0\0\213\200\34\17\0\0\213\313\211x\14\2118\213\3\377P|;\367\17\204\270\0\0\0\201\376\16\20\2\300u\10\377u\370\377u\374\353\17\201\376\263\6\0\0u\3\203\306\10\377u\370V\350\305n\377\377P\377s|\350G\340\377\377\213\3\213\313\377PH\205\300t/\213S|\213\203\214\0\0\0\213\213\220\0\0\0\211B\10\211J\14\213C|\213\213\230\0\0\0\211H\24\213C|\213\213\224\0\0\0\211H\20\353Q\366E\371\2t:\213S|\213\203\214\0\0\0\213\213\220\0\0\0\211B\10\211J\14\213C|\213\213\230\0\0\0\211H\24\213C|\213\213\224\0\0\0\211H\20\377s|\213Kt\350\343\374\377\377\353\12\377s|\213\313\350n\0\0\0\213\3\213\313\377P\20j\1X_^[\311\303SV\213\361W\213\16\213\201\364\0\0\0;F t5\203y\24\0t/\203~\34\1t<\213|$\20W\350f\372\375\377\213\330\213\7\213\317\377P|\205\333u\32\213\6\213\200\364\0", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03227   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\352\304"\203\354=\0\200", ) \203\354=\0\200", ) == 0x0
 03228   896   NtReadFile  (192, 0, 0, 0, 15852, 0x0, 0, ... {status=0x0, info=15852},  (192, 0, 0, 0, 15852, 0x0, 0, ... {status=0x0, info=15852}, "P\30\303\364\366\31/]\207\346\274O\25\230\304\333k1\233\330ID7;1:\225\\17\32\3521\12!{u4\303\342\352}I\273\306\253\237[(\0\376x,\253\7\16\273\23\5`\367\33\313\235 p\2410\335\4\244n\221x\234\335\377\225\360H\271M\2137*\266\222NBwV\30?\365\4\204\242\215\373\370'\3021y\314G\245u\24\14}H\365\330\363G\202Z\274ykm\227\22\270A\317\304\11\0\16>\372\372\357\201\300\205\335:\206\207W\251$z\13\217\336\3233\203n\206\26\30E?\213\301k\22\4i\316<\26+j;\211^\316\353}\315\362\30\262$#,X?\3P\372\307X-\34j\208\250\1gI\21\317\275XE\3322\27\1y:z\3\264 \313k\3358\317\352\367\33'\1\206\322\260'v\270\323\242\307\202\330;\315m{\241\371\271"e\330+\352\241h&{\360X[7ap\314o\344\332\225O\244\365\342\274X9\256\16\376m\236\254\270\227;\252g\335\31\36<\10q\357\212\0\332.r\265P!\36\277\14}\203\304(\25\265\261\202\2\\354b\332F\256]>\325\335\336i\233xsr\15\30\232\12\313\355\223\331\3651\323\365"\343\360\365\36\26\262[:LYg\203\201\352\177\0\12\323\246K\324(3\311\230\354\231i\377I\355\257\355\372\357M\340\227B\266*=\31\350\17_k[6I=\277\353\205\246", ) e\330+\352\241h&{\360X[7ap\314o\344\332\225O\244\365\342\274X9\256\16\376m\236\254\270\227;\252g\335\31\36<\10q\357\212\0\332.r\265P!\36\277\14}\203\304(\25\265\261\202\2\\354b\332F\256]>\325\335\336i\233xsr\15\30\232\12\313\355\223\331\3651\323\365342]\220\177\262\241\243\312\271\350\270\244\275_\225\273\331:\314\352G3v?;\261\261\252\314\207\335g\375\231\11\341\351\272H\22#G\302VGT\212/\203\235\377\354\361\333\244tmy;\211j\177|[\364\24\243,Z\344?\207}Q#-ER\23\261\24\210K\361\36Q14B\253^\32(\252Ha\331\273G\353N(\211\37r\260R] (192, 0, 0, 0, 15852, 0x0, 0, ... {status=0x0, info=15852}, "P\30\303\364\366\31/]\207\346\274O\25\230\304\333k1\233\330ID7;1:\225\\17\32\3521\12!{u4\303\342\352}I\273\306\253\237[(\0\376x,\253\7\16\273\23\5`\367\33\313\235 p\2410\335\4\244n\221x\234\335\377\225\360H\271M\2137*\266\222NBwV\30?\365\4\204\242\215\373\370'\3021y\314G\245u\24\14}H\365\330\363G\202Z\274ykm\227\22\270A\317\304\11\0\16>\372\372\357\201\300\205\335:\206\207W\251$z\13\217\336\3233\203n\206\26\30E?\213\301k\22\4i\316<\26+j;\211^\316\353}\315\362\30\262$#,X?\3P\372\307X-\34j\208\250\1gI\21\317\275XE\3322\27\1y:z\3\264 \313k\3358\317\352\367\33'\1\206\322\260'v\270\323\242\307\202\330;\315m{\241\371\271"e\330+\352\241h&{\360X[7ap\314o\344\332\225O\244\365\342\274X9\256\16\376m\236\254\270\227;\252g\335\31\36<\10q\357\212\0\332.r\265P!\36\277\14}\203\304(\25\265\261\202\2\\354b\332F\256]>\325\335\336i\233xsr\15\30\232\12\313\355\223\331\3651\323\365"\343\360\365\36\26\262[:LYg\203\201\352\177\0\12\323\246K\324(3\311\230\354\231i\377I\355\257\355\372\357M\340\227B\266*=\31\350\17_k[6I=\277\353\205\246", ) , ) == 0x0
 03229   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\306E\2\10\377p\14\213\315\350\316>\376\377\366E\3\200u\5f\203eL\0\213t$\24\213C\30\213N\14\203\301P;H\34v\15h\23\0\1\34j\3U\350\373K\376\377U\213\313\350\216\370\377\377\213\3V\213\313\377P8_^]3\300[\302\4\0\270\344\6\0\0\302\4\0\270\344\6\0\0\302\10\0VWj\0\213\361\377t$\20\350\305\30\377\377\215~,3\300\253\253\203f4\0\377\25\\21\323w\211F\30\213\306_^\302\4\0U\213\354QSVW3\3779}\14\213\331\211]\374\17\204\367\0\0\0\215s,\213]\10\211u\14\213\316\213\1\205\300t\319\30u\14\213U\209P\10\17\204\257\1\0\0G\203\301\4\203\377\2r\341\213u\374V\377\25\344\22\323w\203\377\2s8\215L\276,\213\1\205\300t.9\30u\10\213U\209P\10t\13G\203\301\4\203\377\2r\345\353\27V\377\25\354\22\323w\213D\276,\203\300\24P\377\25@\21\323w\353{\213C0\203\300(P\350\25\357\376\377\213\360Y\205\366\17\204?\1\0\0\213M\20j\1Z\215F(QRP\211\36\211V\4\211N\10\377SL\205\300t\16\377u\374\377\25\354\22\323w\351\2\1\0\0\215F\30P\215F(P\377St\205\300t\27\377u\374\377\25\354\22\323w\213\16\215F(P\377QT\351\334\0\0\0\213E\374\307F\24\1\0\0\0P\211t\270,\377\25\354\22\323w\213E\14\213\4\270\351\322\0\0\0S\377\25\344\22\323w\213s4\211}\14\213}\10\205\366t09>u"\213F\10;E\20t$\213M\20\200\315\10;\301u\20\377\25\\21\323w+F\14=\20'\0\0s\12\211u\14\213v\20\205\366u\320\205\366t%\213E\14\205\300t\10\213N\20\211H\20\353\6\213F\20\211", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \213F\10;E\20t$\213M\20\200\315\10;\301u\20\377\25\\21\323w+F\14=\20'\0\0s\12\211u\14\213v\20\205\366u\320\205\366t%\213E\14\205\300t\10\213N\20\211H\20\353\6\213F\20\211", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03230   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\34\265\30E\256>\0\200", ) , ) == 0x0
 03231   896   NtReadFile  (192, 0, 0, 0, 16046, 0x0, 0, ... {status=0x0, info=16046},  (192, 0, 0, 0, 16046, 0x0, 0, ... {status=0x0, info=16046}, "\200\245\263|\243\335\374\226|v\211\263\336\7\373\367@\36\177K\345p7^\225\261(\241\323T?\374\261\2005\362\352\337\314-\36[;]\317#\15TA;\234\344\266t\315\156\3543l\33r\223\304\202\233\264\316\267)\321\350\356\365\224\205~\313\30SS\236\200J\364\343\374\253\266\2\307\307\340\370\227\277\230A\361\246\252,\327Y?\334\355\215E\250\271\262E\252\212a\350\300\34"\245\236=\250\11K\320<\232e\363\252c\236\232v\254\252*n\324\356\305'\11n\227\213mu\363\353b\264\352\327\236\250\13wG\2472=\343_\214Q\300\340.\255l2\235\256\230e\310-\320\3611V\343B\374lu?\350\27<\2538\341zW\5\3501.\273t\27\2\21\302\326\321S\320\36\177`\373\22q\4~\4\203d\26\375\264\1\360^#\356n\307)\345\267\305t\352\247%\3235\341\251i\335\356\254fy\33\312\312\330\303\363\233g\240\361u\247\271\206\20\325L\177O5\210F\252\22<\342N\361\30s\3132\336\232\357\206\336E\24\302\336\321J1\304u?l'\355\271\22\4\246\206B\373c-+\<\243\27a\311W\343\2666F\25\206\11\245\210\347\314i\341!3\223Ft\304\215\307\2765\246~\347=2Gp\26\310\221[fEJ\311\231>r5j\346o+$\232\370\33\234\307\3\335\251\326L\352\346${\226\362\267\56\12~\366\257P{\245XW\364c*\360'\6\355\233\217x|Q\211\231\273\344\266\242\5\252iS_i}/[xS\37\15\273\244\260\16\262\273x\212\300\303U\375\265a\230\373\332[H\220\205\364\22", ) \245\236=\250\11K\320<\232e\363\252c\236\232v\254\252*n\324\356\305'\11n\227\213mu\363\353b\264\352\327\236\250\13wG\2472=\343_\214Q\300\340.\255l2\235\256\230e\310-\320\3611V\343B\374lu?\350\27<\2538\341zW\5\3501.\273t\27\2\21\302\326\321S\320\36\177`\373\22q\4~\4\203d\26\375\264\1\360^#\356n\307)\345\267\305t\352\247%\3235\341\251i\335\356\254fy\33\312\312\330\303\363\233g\240\361u\247\271\206\20\325L\177O5\210F\252\22<\342N\361\30s\3132\336\232\357\206\336E\24\302\336\321J1\304u?l'\355\271\22\4\246\206B\373c-+\<\243\27a\311W\343\2666F\25\206\11\245\210\347\314i\341!3\223Ft\304\215\307\2765\246~\347=2Gp\26\310\221[fEJ\311\231>r5j\346o+$\232\370\33\234\307\3\335\251\326L\352\346${\226\362\267\56\12~\366\257P{\245XW\364c*\360'\6\355\233\217x|Q\211\231\273\344\266\242\5\252iS_i}/[xS\37\15\273\244\260\16\262\273x\212\300\303U\375\265a\230\373\332[H\220\205\364\22", ) == 0x0
 03232   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "x\20\323wW\215E\374\277\6\0\2\0PWj\0hpF\323wh\0\0\0\200\377\326\205\300uD\215E\10PWj\0\377u\10\377u\374\377\326\213=\200\20\323w\205\300u\24\377u\14\377u\10\350\27\377\377\377\377u\10\213\360\377\327\353\20\205\300~\12%\377\377\0\0\15\0\0\7\200\213\360\377u\374\377\327\353\16~\12%\377\377\0\0\15\0\0\7\200\213\360\213\306_^\311\302\10\0U\213\354\201\354,\1\0\0S3\3339]\10VW\277\0\0\7\200t9\215\205\324\376\377\377h\4\1\0\0P\377u\10\377\25\34\21\323w;\303w%\2135X\21\323w\377\326\205\300\177\6\377\326\213\330\353\23\377\326\213\330\201\343\377\377\0\0\13\337\353\5\273\6\0\7\200\213u\14\205\333|\17V\215E\330\377u\20P\350\10\1\0\0\213\330\205\333\17\214\365\0\0\0\215\205\324\376\377\377P\215E\330P\350\372\376\377\377\213\330\205\333\17\214\333\0\0\0\215E\10Ph\6\0\2\0j\0h4F\323wh\0\0\0\200\377\25x\20\323w\205\300\17\205\223\0\0\09\6\17\204\200\0\0\0\213\306\213\0\366@\26\4t>\213\163\377\213\1199tb\213@\30\203<8\377t\34\213\6\213H\30\213@\4\37749\213\48\215M\330Q\3770\377u\10\350\320\6\0\0\213\6\203\307\4\213\10\203<\17\0u\316\353.\213\6\213\10\2039\0t%3\377\213@\4\215M\330j\0Q\213\48\3770\377u\10\350\240\6\0\0\213\6\203\307\4\213\10\203<\17\0u\335\203\306\4\213\306\203>\0u\202\377u\10\377\25\200\20\323w\353\13~\7%\377\377\0\0\13\307\213\330\215\205\324\376\377\377P\215E\330P\350\2\5\0\0\205\300}\6\205\333|\2\213\330_\213\303^[\311\302\14\0V\213t$\14W\213", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03233   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\366\301\327\16\322>\0\200", ) , ) == 0x0
 03234   896   NtReadFile  (192, 0, 0, 0, 16082, 0x0, 0, ... {status=0x0, info=16082},  (192, 0, 0, 0, 16082, 0x0, 0, ... {status=0x0, info=16082}, "]%\304\256\305\236\3730\35P9T\200/,\305\244+\207,\235\222"tH\345\10fv\360\236A\15\202\312H/b\201+\26\362\301\325\315ch\267\242\307D\3527XW\300\225\204\371\366\\36\267\346\323\270<\224\367\320\321\220\233\336\27\333\244\333-tKU\372\265M\377\266 bA"\5\234\316\344\302$\26C:\14\352\356r\316\254\324 3\22@\305\360]\12o\321\3606\275\265]\242\317\222\22\246\324Uy2\204uE\227\240a\254\3122\344\271h\20\33\337\304b\271\27\3\10\205|\237\203\263\262)p6\322)\231\225\345/\350\333uW\256\25\343\\253\376\234\213o\232\257\216\300\306\263i\324\222\3251\277\342p[g\3258\271\325o\275\303\201\0!\375\36\203\267\217\353]\26\352\327-\16\230\232\334e\352\215\27F\360b\272\263}V\301J\250\345p\250-i\225\16\216\273\353\267z_;;\21\312`\362m\4\177b\226\315\221\356pM\253\260\340us\377\352\242\3527\310\13\3561\331\217\301\34\251\11\250}\326#\257\25\233\33\304\325\262]y\314\227\12\\253e,\370\347\2029\262\316\315\326\365\6\241\30\2\250L\355^u\256)\223kqiq\242\237\325\3\32\326G\302\220\361:\215^\355\12?\206\311\33\13ye\252\347\377\376I\364\12\332\312Q\266\1\315!\344)\217\36?G\320\3556\277\14\4\246\200v\320\216d\244%1\314\203\376(\275~v\266\254\300\20\27\236\3678\15p\222\0l>B\253n\303\22t\243\317\267kK\251\17\364\206\246\375\12\267\36\273\204\307\26\230\306x,g\244<\372\14\347w\302A|\315\212\345H\24\376O\250\200m\3157I\302\253r\231\301r-\361?cW\1\235kZu\242:\354\22\2\340zv\230\15O\366\32\32\316\346\240~\16\274\267\375\365k", ) tH\345\10fv\360\236A\15\202\312H/b\201+\26\362\301\325\315ch\267\242\307D\3527XW\300\225\204\371\366\\36\267\346\323\270<\224\367\320\321\220\233\336\27\333\244\333-tKU\372\265M\377\266 bA (192, 0, 0, 0, 16082, 0x0, 0, ... {status=0x0, info=16082}, "]%\304\256\305\236\3730\35P9T\200/,\305\244+\207,\235\222"tH\345\10fv\360\236A\15\202\312H/b\201+\26\362\301\325\315ch\267\242\307D\3527XW\300\225\204\371\366\\36\267\346\323\270<\224\367\320\321\220\233\336\27\333\244\333-tKU\372\265M\377\266 bA"\5\234\316\344\302$\26C:\14\352\356r\316\254\324 3\22@\305\360]\12o\321\3606\275\265]\242\317\222\22\246\324Uy2\204uE\227\240a\254\3122\344\271h\20\33\337\304b\271\27\3\10\205|\237\203\263\262)p6\322)\231\225\345/\350\333uW\256\25\343\\253\376\234\213o\232\257\216\300\306\263i\324\222\3251\277\342p[g\3258\271\325o\275\303\201\0!\375\36\203\267\217\353]\26\352\327-\16\230\232\334e\352\215\27F\360b\272\263}V\301J\250\345p\250-i\225\16\216\273\353\267z_;;\21\312`\362m\4\177b\226\315\221\356pM\253\260\340us\377\352\242\3527\310\13\3561\331\217\301\34\251\11\250}\326#\257\25\233\33\304\325\262]y\314\227\12\\253e,\370\347\2029\262\316\315\326\365\6\241\30\2\250L\355^u\256)\223kqiq\242\237\325\3\32\326G\302\220\361:\215^\355\12?\206\311\33\13ye\252\347\377\376I\364\12\332\312Q\266\1\315!\344)\217\36?G\320\3556\277\14\4\246\200v\320\216d\244%1\314\203\376(\275~v\266\254\300\20\27\236\3678\15p\222\0l>B\253n\303\22t\243\317\267kK\251\17\364\206\246\375\12\267\36\273\204\307\26\230\306x,g\244<\372\14\347w\302A|\315\212\345H\24\376O\250\200m\3157I\302\253r\231\301r-\361?cW\1\235kZu\242:\354\22\2\340zv\230\15O\366\32\32\316\346\240~\16\274\267\375\365k", ) , ) == 0x0
 03235   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "f4\0\203e\10\0\213\276\260\0\0\0\211E\24\212\3j\1\215M\10SQ\213\158t\331w\203\340?V\377\24\201\213E\24\213M\370\211F4\213E\10\211FX\213E\374\211FTV\17\267E\20\301\340\4\377T\10\4\213M\14\213FTS\377u\10\211\1\211\276\260\0\0\0\212\3\213\150t\331w\203\340?V\377\24\201\213E\10;F\10r\5;F\14v\4P\377VL_^3\300[\311\302\20\0U\213\354\203\354 S\213]\20V\213u\10\212K\1W\213F\4\203\341\17\3\301\367\321#\301\211F\4\212K\1\366\301\200u\13\366\301@t\21\203~4\0t\13\213\10\203\300\4\211M\10\211F\4\213}\14\203?\0u'\17\267C\4PV\211E\20\350\26\250\377\377\213M\20\213\320\211\27\213\372\213\3213\300\301\351\2\363\253\213\312\203\341\3\363\252\212C\1\250\200t\12\203}\10\0\17\204\225\0\0\0\250\300t\7\213F4\205\300u\3\213F\4\211E\20\211E\374\215E\340Pj\2SV\350^\251\377\377f\213C\2f\211E\10\213F`\213x8\213\6\213H\109M\20r\12\213U\20+\321;P\14v\12h\370\6\0\0\350y\24\375\377\213M\14\17\267E\10\3771\215M\340\301\340\4\377u\20Q\377T8\10\213\3709}\374w\14\213\6\213\317+H\10;H\14v\12h\370\6\0\0\350E\24\375\377\366C\1\300t\13\203~4\0t\5\211~4\353\3\211~\4_^3\300[\311\302\20\0U\213\354\203\354\20S\213]\10VW\203{ \1u\17\213E\14\213\0\205\300t\6\213\10P\377Q\10\213}\14\203'\0\213C\4\203\300\3$\374\211C\4\213\10\203\300\4\205\311\211C\4\17\204Y\1\0\0\213K4\205\311t\16\203\301\3\211E\370\203\341\374\211K\4", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03236   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "u]\1\342N<\0\200", ) , ) == 0x0
 03237   896   NtReadFile  (192, 0, 0, 0, 15438, 0x0, 0, ... {status=0x0, info=15438},  (192, 0, 0, 0, 15438, 0x0, 0, ... {status=0x0, info=15438}, "\26\37p\2m\363b*\376\35\303x\376;\0*\370}\234\232\202\231l\7:]b\)\305\4\33\366\16K\340WBX\217\271\273\353\272\255\364\212\207\306\345\355\203\321\204\246\265\335;\37\31\36d\203\211~\327\246A 8\374z\24\330(\220c\277+\215=I\4`\277N\235\17\360\343\310 `R\3=`\335h\12+\245>2\200u\23"6o/\204\13\361\217\340u\0\2220\3413g\224\11X`^\234\36\253\266\125p\220\364\32\357\37\5\23A\237F\31z\313\370\17\4\24tS\0\324\20\24\1\226\216\265\266\363\34J\271\12\214\261X4Aj\313Y\354\341)f\36\370\14AO7\31\30~7\177vyb\350\305\272?"\376\363\241\376\203\254"\22\205\317\24WJ]\244{\351\372\360\341@w\227\336\244v\207K\335E\23\323M\301T\36G\377\34#"C\200y\254 \351\356\35\346\356kI\321\300JB\201d\226\201w\300\322\10f\245\306\276\351\247\335g_\263Z\212\201V\340\25g>\372V\312\274\6\256\13Q\242\345\351\25:\331}\10\247r\214\36i\263\335\222\222\221\22?\222WS\355\337\205\270\200\327\314\227\22i\232\247\331\376\212\353pe\357T\316+\337!\217P\10\7\316B\232\207\243\353\257&K\177\3\313$6\326wr\206\243v\271\327f\362H/\256\36\303\36=\317\201E\266"\247s\333\220\301\261\260?d\214>m\266\273+\25%9\251\246*j\2\17t=&\224\222\217s.\353\312\231\345\325"\316\321\7\37\253\231\12\36\312\22\206\305\310<\236\256\277\16\307\351\221\15V\", ) 6o/\204\13\361\217\340u\0\2220\3413g\224\11X`^\234\36\253\266\125p\220\364\32\357\37\5\23A\237F\31z\313\370\17\4\24tS\0\324\20\24\1\226\216\265\266\363\34J\271\12\214\261X4Aj\313Y\354\341)f\36\370\14AO7\31\30~7\177vyb\350\305\272? (192, 0, 0, 0, 15438, 0x0, 0, ... {status=0x0, info=15438}, "\26\37p\2m\363b*\376\35\303x\376;\0*\370}\234\232\202\231l\7:]b\)\305\4\33\366\16K\340WBX\217\271\273\353\272\255\364\212\207\306\345\355\203\321\204\246\265\335;\37\31\36d\203\211~\327\246A 8\374z\24\330(\220c\277+\215=I\4`\277N\235\17\360\343\310 `R\3=`\335h\12+\245>2\200u\23"6o/\204\13\361\217\340u\0\2220\3413g\224\11X`^\234\36\253\266\125p\220\364\32\357\37\5\23A\237F\31z\313\370\17\4\24tS\0\324\20\24\1\226\216\265\266\363\34J\271\12\214\261X4Aj\313Y\354\341)f\36\370\14AO7\31\30~7\177vyb\350\305\272?"\376\363\241\376\203\254"\22\205\317\24WJ]\244{\351\372\360\341@w\227\336\244v\207K\335E\23\323M\301T\36G\377\34#"C\200y\254 \351\356\35\346\356kI\321\300JB\201d\226\201w\300\322\10f\245\306\276\351\247\335g_\263Z\212\201V\340\25g>\372V\312\274\6\256\13Q\242\345\351\25:\331}\10\247r\214\36i\263\335\222\222\221\22?\222WS\355\337\205\270\200\327\314\227\22i\232\247\331\376\212\353pe\357T\316+\337!\217P\10\7\316B\232\207\243\353\257&K\177\3\313$6\326wr\206\243v\271\327f\362H/\256\36\303\36=\317\201E\266"\247s\333\220\301\261\260?d\214>m\266\273+\25%9\251\246*j\2\17t=&\224\222\217s.\353\312\231\345\325"\316\321\7\37\253\231\12\36\312\22\206\305\310<\236\256\277\16\307\351\221\15V\", ) \22\205\317\24WJ]\244{\351\372\360\341@w\227\336\244v\207K\335E\23\323M\301T\36G\377\34# (192, 0, 0, 0, 15438, 0x0, 0, ... {status=0x0, info=15438}, "\26\37p\2m\363b*\376\35\303x\376;\0*\370}\234\232\202\231l\7:]b\)\305\4\33\366\16K\340WBX\217\271\273\353\272\255\364\212\207\306\345\355\203\321\204\246\265\335;\37\31\36d\203\211~\327\246A 8\374z\24\330(\220c\277+\215=I\4`\277N\235\17\360\343\310 `R\3=`\335h\12+\245>2\200u\23"6o/\204\13\361\217\340u\0\2220\3413g\224\11X`^\234\36\253\266\125p\220\364\32\357\37\5\23A\237F\31z\313\370\17\4\24tS\0\324\20\24\1\226\216\265\266\363\34J\271\12\214\261X4Aj\313Y\354\341)f\36\370\14AO7\31\30~7\177vyb\350\305\272?"\376\363\241\376\203\254"\22\205\317\24WJ]\244{\351\372\360\341@w\227\336\244v\207K\335E\23\323M\301T\36G\377\34#"C\200y\254 \351\356\35\346\356kI\321\300JB\201d\226\201w\300\322\10f\245\306\276\351\247\335g_\263Z\212\201V\340\25g>\372V\312\274\6\256\13Q\242\345\351\25:\331}\10\247r\214\36i\263\335\222\222\221\22?\222WS\355\337\205\270\200\327\314\227\22i\232\247\331\376\212\353pe\357T\316+\337!\217P\10\7\316B\232\207\243\353\257&K\177\3\313$6\326wr\206\243v\271\327f\362H/\256\36\303\36=\317\201E\266"\247s\333\220\301\261\260?d\214>m\266\273+\25%9\251\246*j\2\17t=&\224\222\217s.\353\312\231\345\325"\316\321\7\37\253\231\12\36\312\22\206\305\310<\236\256\277\16\307\351\221\15V\", ) \247s\333\220\301\261\260?d267\261\375-\333\323\200E\276\311\275\263\322\232\353G__\4\274\265\361\314\321\32\344x@\225Uz\2569K\261\340\16\220\262o\271\255{-\4\342\1\344D@\31\311:\251\371\312>\214>m\266\273+\25%9\251\246*j\2\17t=&\224\222\217s.\353\312\231\345\325 (192, 0, 0, 0, 15438, 0x0, 0, ... {status=0x0, info=15438}, "\26\37p\2m\363b*\376\35\303x\376;\0*\370}\234\232\202\231l\7:]b\)\305\4\33\366\16K\340WBX\217\271\273\353\272\255\364\212\207\306\345\355\203\321\204\246\265\335;\37\31\36d\203\211~\327\246A 8\374z\24\330(\220c\277+\215=I\4`\277N\235\17\360\343\310 `R\3=`\335h\12+\245>2\200u\23"6o/\204\13\361\217\340u\0\2220\3413g\224\11X`^\234\36\253\266\125p\220\364\32\357\37\5\23A\237F\31z\313\370\17\4\24tS\0\324\20\24\1\226\216\265\266\363\34J\271\12\214\261X4Aj\313Y\354\341)f\36\370\14AO7\31\30~7\177vyb\350\305\272?"\376\363\241\376\203\254"\22\205\317\24WJ]\244{\351\372\360\341@w\227\336\244v\207K\335E\23\323M\301T\36G\377\34#"C\200y\254 \351\356\35\346\356kI\321\300JB\201d\226\201w\300\322\10f\245\306\276\351\247\335g_\263Z\212\201V\340\25g>\372V\312\274\6\256\13Q\242\345\351\25:\331}\10\247r\214\36i\263\335\222\222\221\22?\222WS\355\337\205\270\200\327\314\227\22i\232\247\331\376\212\353pe\357T\316+\337!\217P\10\7\316B\232\207\243\353\257&K\177\3\313$6\326wr\206\243v\271\327f\362H/\256\36\303\36=\317\201E\266"\247s\333\220\301\261\260?d\214>m\266\273+\25%9\251\246*j\2\17t=&\224\222\217s.\353\312\231\345\325"\316\321\7\37\253\231\12\36\312\22\206\305\310<\236\256\277\16\307\351\221\15V\", ) , ) == 0x0
 03238   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "u\22\17\267x\2\17\257~@\1}\14\353\5@@\17\267\10@@\17\267\30@@\17\2678\3\372@@\211~\34\213\371\17\267\20\203\300\2I\205\377\211U\370\211E\364tGA\211M\374\205\322\213\370t/\211U\20\17\277\17\213E\14\3\301\213M\10GG\17\277\27\3\312GGW\3770QV\350\325H\377\377\203\307\4\377M\20u\332\213U\370\213E\364\1]\10\1]\14\1^\34\377M\374u\275\213M\360\215\4\320\211N\34_^[\311\302\14\0U\213\354SV\213u\203\322W\17\266\6\17\266\200\235t\331w\3\360\212F\1H\353\37@\353\34\3\300\353\30\231+\302\321\370\353\21<@u\22\17\266F\1\17\267N\2\301\340\20\13\301\211G<\353I<\200u9\205\322t\12h%\7\0\0\350\12\224\374\377\213E\10\213\210\210\0\0\0\205\311t\12\213\21\213I\14\213\14\221\353\15\17\267N\2\213\220\214\0\0\0\213\14\212\211H<\213\301\353\14h\346\6\0\0\350\325\223\374\3773\300", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) H\353\37@\353\34\3\300\353\30\231+\302\321\370\353\21<@u\22\17\266F\1\17\267N\2\301\340\20\13\301\211G<\353I<\200u9\205\322t\12h%\7\0\0\350\12\224\374\377\213E\10\213\210\210\0\0\0\205\311t\12\213\21\213I\14\213\14\221\353\15\17\267N\2\213\220\214\0\0\0\213\14\212\211H<\213\301\353\14h\346\6\0\0\350\325\223\374\3773\300", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03239   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\355\271*vn:\0\200", ) , ) == 0x0
 03240   896   NtReadFile  (192, 0, 0, 0, 14958, 0x0, 0, ... {status=0x0, info=14958},  (192, 0, 0, 0, 14958, 0x0, 0, ... {status=0x0, info=14958}, "\266>\355\3572\323HP\25\347\263\200\305t\271y\227\274\251L\231\354\230>"\2216\23\12X\212\4\341j4\214\330\32\255\3773\\360\350KM\300r,\226\16>\272\311}\361qy\7\15)t:\334\352g(\264\303L\334\234:n\22\223\376<\231Hm\37\314\300\230L\262\17=\3067`\262\241\230\303\4\357\241\223\367\232U\7\337\236V"(~\300\266\306P\25\247\374\277XG\11\234\334\202~\232\270I\370\335\365X\267\300\312\220\205\30\32r;\313M\320"h\261\231\274\323f\177\334\217\203\230n\354\350\203\324\247\353~\261\343xK\\3259\210t\267\271\0\223I\212/\207\^\3]\5\245\302\377j\263\223w\202\3b(\3\364\330\2\202\233\214\241]1\372\342\355\306p?S\301.@\333p\352\363G\332\245\2255\300\333\344\305\370\356U\255AJ\331e?\26\7^\21\361\304\264W\260\251\323l\366\10\272\227ftd\236U-o\226\214\343hi\375\251\372\6\331Cx3\30\222\314\261\325`Vk5\14\6\14\10\13\375_TZ\377?\221\246:\2L\227e;"\35\224\331\13r-\215\302\11R\320m\272\24\21\4\26\330\\274\3533\2702\36\214\354\14\2535>s\210\305\305\253I\25\332\261Up\247\345\343j\242\236\332\30\346d\311%\362\35\306\22\213\373#\303\355\30\353\13\23z\310'<\374ib\363Ps.9\3045;\246|7'\301`i\346\267\273\27\361\234\241\244\23\357\12\3^w\371S)\353\16XfJ\237\266-4g\211/B!a\367\277\265\342>\11\13m|\327\24\226\11\350?\231Rb\303gT\260\205"\15\352Q@.i\23\241[\3\14%][\231\26\271\37\344\233R\343..Z\322\316\305\15\272V\325\37\2740\375\227q9\1X\335\3]~ZBn\222\177", ) \2216\23\12X\212\4\341j4\214\330\32\255\3773\\360\350KM\300r,\226\16>\272\311}\361qy\7\15)t:\334\352g(\264\303L\334\234:n\22\223\376<\231Hm\37\314\300\230L\262\17=\3067`\262\241\230\303\4\357\241\223\367\232U\7\337\236V (192, 0, 0, 0, 14958, 0x0, 0, ... {status=0x0, info=14958}, "\266>\355\3572\323HP\25\347\263\200\305t\271y\227\274\251L\231\354\230>"\2216\23\12X\212\4\341j4\214\330\32\255\3773\\360\350KM\300r,\226\16>\272\311}\361qy\7\15)t:\334\352g(\264\303L\334\234:n\22\223\376<\231Hm\37\314\300\230L\262\17=\3067`\262\241\230\303\4\357\241\223\367\232U\7\337\236V"(~\300\266\306P\25\247\374\277XG\11\234\334\202~\232\270I\370\335\365X\267\300\312\220\205\30\32r;\313M\320"h\261\231\274\323f\177\334\217\203\230n\354\350\203\324\247\353~\261\343xK\\3259\210t\267\271\0\223I\212/\207\^\3]\5\245\302\377j\263\223w\202\3b(\3\364\330\2\202\233\214\241]1\372\342\355\306p?S\301.@\333p\352\363G\332\245\2255\300\333\344\305\370\356U\255AJ\331e?\26\7^\21\361\304\264W\260\251\323l\366\10\272\227ftd\236U-o\226\214\343hi\375\251\372\6\331Cx3\30\222\314\261\325`Vk5\14\6\14\10\13\375_TZ\377?\221\246:\2L\227e;"\35\224\331\13r-\215\302\11R\320m\272\24\21\4\26\330\\274\3533\2702\36\214\354\14\2535>s\210\305\305\253I\25\332\261Up\247\345\343j\242\236\332\30\346d\311%\362\35\306\22\213\373#\303\355\30\353\13\23z\310'<\374ib\363Ps.9\3045;\246|7'\301`i\346\267\273\27\361\234\241\244\23\357\12\3^w\371S)\353\16XfJ\237\266-4g\211/B!a\367\277\265\342>\11\13m|\327\24\226\11\350?\231Rb\303gT\260\205"\15\352Q@.i\23\241[\3\14%][\231\26\271\37\344\233R\343..Z\322\316\305\15\272V\325\37\2740\375\227q9\1X\335\3]~ZBn\222\177", ) h\261\231\274\323f\177\334\217\203\230n\354\350\203\324\247\353~\261\343xK\\3259\210t\267\271\0\223I\212/\207\^\3]\5\245\302\377j\263\223w\202\3b(\3\364\330\2\202\233\214\241]1\372\342\355\306p?S\301.@\333p\352\363G\332\245\2255\300\333\344\305\370\356U\255AJ\331e?\26\7^\21\361\304\264W\260\251\323l\366\10\272\227ftd\236U-o\226\214\343hi\375\251\372\6\331Cx3\30\222\314\261\325`Vk5\14\6\14\10\13\375_TZ\377?\221\246:\2L\227e; (192, 0, 0, 0, 14958, 0x0, 0, ... {status=0x0, info=14958}, "\266>\355\3572\323HP\25\347\263\200\305t\271y\227\274\251L\231\354\230>"\2216\23\12X\212\4\341j4\214\330\32\255\3773\\360\350KM\300r,\226\16>\272\311}\361qy\7\15)t:\334\352g(\264\303L\334\234:n\22\223\376<\231Hm\37\314\300\230L\262\17=\3067`\262\241\230\303\4\357\241\223\367\232U\7\337\236V"(~\300\266\306P\25\247\374\277XG\11\234\334\202~\232\270I\370\335\365X\267\300\312\220\205\30\32r;\313M\320"h\261\231\274\323f\177\334\217\203\230n\354\350\203\324\247\353~\261\343xK\\3259\210t\267\271\0\223I\212/\207\^\3]\5\245\302\377j\263\223w\202\3b(\3\364\330\2\202\233\214\241]1\372\342\355\306p?S\301.@\333p\352\363G\332\245\2255\300\333\344\305\370\356U\255AJ\331e?\26\7^\21\361\304\264W\260\251\323l\366\10\272\227ftd\236U-o\226\214\343hi\375\251\372\6\331Cx3\30\222\314\261\325`Vk5\14\6\14\10\13\375_TZ\377?\221\246:\2L\227e;"\35\224\331\13r-\215\302\11R\320m\272\24\21\4\26\330\\274\3533\2702\36\214\354\14\2535>s\210\305\305\253I\25\332\261Up\247\345\343j\242\236\332\30\346d\311%\362\35\306\22\213\373#\303\355\30\353\13\23z\310'<\374ib\363Ps.9\3045;\246|7'\301`i\346\267\273\27\361\234\241\244\23\357\12\3^w\371S)\353\16XfJ\237\266-4g\211/B!a\367\277\265\342>\11\13m|\327\24\226\11\350?\231Rb\303gT\260\205"\15\352Q@.i\23\241[\3\14%][\231\26\271\37\344\233R\343..Z\322\316\305\15\272V\325\37\2740\375\227q9\1X\335\3]~ZBn\222\177", ) \15\352Q@.i\23\241[\3\14%][\231\26\271\37\344\233R\343..Z\322\316\305\15\272V\325\37\2740\375\227q9\1X\335\3]~ZBn\222\177", ) == 0x0
 03241   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "$=\252\5\0\0t\35=D'\0\0\17\206\336\1\0\0=F'\0\0v\13=J'\0\0\17\205\314\1\0\0\203e\374\0\213E\364\205\300\215x\374t\4\2137\353\23\366\213F\4\213\310\203\341\3\203\351\0\17\204$\1\0\0It;I\17\205\316\375\377\377\203e\370\0\215E\370PV\377VT\205\300\17\205\272\375\377\377\213v\10\377u\370\215\4v\213\4\205\210`\323w\377Pd\205\300\17\205u\1\0\0\351\232\375\377\377\203~\10\15\213~\24u\177\201\373\24\20\2\300u\22\377u\34\215F \377u\30PW\350\234.\0\0\213\330\205\333uD\215\206\260\0\0\0P\377v \350\2548\0\0\213M\14\213F\4\213U\30\211\1\213M\203\300\211\1\213M\24\2119\213\216\310\0\0\0\211\12\213U\34\213N(\211\12\213U \213N \211\12\211F(\211F$\203f\30\0\215\207t\7\0\0P\377\25<\21\323w\205\300uYW\350\1+\0\0\353Q\205\333t\10\201\373\24\20\2\300u-\213M\14\211\1\213E\20\213M\374\211\30\213E\24\2118\213E\30\211\10\213M\34\213F(\211\1\213M \213F \211\1\203f(\03\333\203f\30\0\215G@P\377\25<\21\323w\205\300u\6W\350\265\317\377\377\205\333\17\204\344\0\0\0\351\264\374\377\377\377w\30\350\360\0\0\0\213E\24\2110\215F,;\370\213F\4\17\205\207\0\0\0\213M\14\14\10\203}\374\0\211\1\213\6\17\204\272\0\0\0\377u\30\213\316\377u\34\377u\374\377P\14=!\20\2\300uZV\350\204\10\0\0\205\300uP\351b\374\377\377\270\13\20\2\300\351\205\0\0\0\213M\14\211\1\213E\20\203 \0\213E\24\211\20\213E\374\353i\213E\14\203%\364{\331w\0\307\0\22\0\0\0\353\\270\271\6", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03242   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "om&\217"-\0\200", ) -\0\200", ) == 0x0
 03243   896   NtReadFile  (192, 0, 0, 0, 11554, 0x0, 0, ... {status=0x0, info=11554},  (192, 0, 0, 0, 11554, 0x0, 0, ... {status=0x0, info=11554}, "\330\13`/\376\277\377\3358\204#\37\325\14\251\260)\345/v\25\202.\307I7\246\27\372\216\26I\301\350\372X\177\252\16A\230A\0\275\205\207\35\21\310\240L\250\17.\237J\337\320{\327T$x\25;&YC\214j\15\354P\310\220\375\355\250\201\13t\366\375Y.\2\204J\270\0\336\352\325\320\374(Q\220Y\320\13;\201'\364d\237,\230\5Y\370\205\220\360\223#\263(\13e\1&\10\327\257\326c\374\227\254\336\233\335|\336\332\257\364\31\332\215\27\375\202}\364\306\351\30\277\25\236Z\244\25\2757]u\257\231\243\245\275\337\0\264WO\a\5\377f%\2420o&\216B\322\257\303\203\362\323\265^\212N\306\302\305\30^\30\272\302\17\177rD9\273\210v#\373\271\240\13>\30\231\211\r\255\330\321\307\\373\303\202\17%\306\367p.\225\13@A\221xr2\27\327\32!-\317\22\334\251\243\12\274O\234\373:\251\332\240V\217P$s\211\217\237,Z\12-5\30\261b\322\354e\351\250\316,\\361\341<\2\15\240\222\312\237\244\224\310Tg+\16\2\275\316\3755H>d{5\320U^\247\216w\7*`@%\3169wX\33"V\355l\244\212]\225u\344V\311\2\20G\330e/\334W\254\205\\361\226 C\340\11Fd\0\214\16\0\12\0\0f\332\354\352\355u]\332\365\212\335?\245oov\340\7\330\277I\330\300\12KU\273!\332244\212]\225u\344V\311\2\20G\330e/\334W\254\205\\361\226 C\340\11Fd\0\214\16\0\12\0\0f\332\354\352\355u]\332\365\212\335?\245oov\340\7\330\277I\330\300\12KU\273!\332215\10?\377\244\331)\222d\327\234cL{\336\4i\276\334\11\37I\310\247\371\304\343\36\36\351\35\372\314\335\221\200\3C*\14\10*\221\310\212\345#\274\360t\26G\31\23\276\1E#\0eexSd\2004]^\376\376\325\365\272\14\251U\371\313\0k\373\336\2027|M\261m\200\247%\331\374v\252\210n\325*\21!\2578=", ) == 0x0
 03244   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\213\361#\362\5\334\274\33\217\321\311\13\365\321\311\3\306\213\3513\3533\352\213\360\301\306\5\321\313\3\376\321\313\213\264$\360\0\0\0\215\274=\326\301b\312\213\353\3\3763\3503\351\213\367\301\306\5\321\310\3\326\321\310\213\264$\364\0\0\0\215\224\25\326\301b\312\213\350\3\3263\3573\353\213\362\301\306\5\321\317\3\316\321\317\213\264$\370\0\0\0\215\214\15\326\301b\312\213\357\3\3163\3523\350\213\361\301\306\5\321\312\3\336\321\312\213\264$\374\0\0\0\215\234\35\326\301b\312\213\352\3\3363\3513\357\213\363\301\306\5\321\311\3\306\321\311\213\264$\0\1\0\0\215\204\5\326\301b\312\213\351\3\3063\3533\352\213\360\301\306\5\321\313\3\376\321\313\213\264$\4\1\0\0\215\274=\326\301b\312\213\353\3\3763\3503\351\213\367\301\306\5\321\310\3\326\321\310\213\264$\10\1\0\0\215\224\25\326\301b\312\213\350\3\3263\3573\353\213\362\301\306\5\321\317\3\316\321\317\213\264$\14\1\0\0\215\214\15\326\301b\312\213\357\3\3163\3523\350\213\361\301\306\5\321\312\3\336\321\312\213\264$\20\1\0\0\215\234\35\326\301b\312\213\352\3\3363\3513\357\213\363\301\306\5\321\311\3\306\321\311\213\264$\24\1\0\0\215\204\5\326\301b\312\213\351\3\3063\3533\352\213\360\301\306\5\321\313\3\376\321\313\213\264$\30\1\0\0\215\274=\326\301b\312\213\353\3\3763\3503\351\213\367\301\306\5\321\310\3\326\321\310\213\264$\34\1\0\0\215\224\25\326\301b\312\213\350\3\3263\3573\353\213\362\301\306\5\321\317\3\316\321\317\213\264$ \1\0\0\215\214\15\326\301b\312\213\357\3\3163\3523\350\213\361\301\306\5\321\312\3\336\321\312\213\264$$\1\0\0\215\234\35\326\301b\312\213\352\3\3363\3513\357\213\363\301\306\5\321\311\3\306\321\311\213\264$(", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03245   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "8\351\4\33\226<\0\200", ) , ) == 0x0
 03246   896   NtReadFile  (192, 0, 0, 0, 15510, 0x0, 0, ... {status=0x0, info=15510},  (192, 0, 0, 0, 15510, 0x0, 0, ... {status=0x0, info=15510}, "\4\310\367\354\31\365\256\346*\364= $&o\6>\10hPV\216)\266I\214{#\375\1\346\253w\177\203\251\226\205\201\277\204w\320\25Y\305\253\225\264\264\367o\304\323\271}\13 \337\271\311\226\212r\3\233\354>\336\357\313\226/\353\24\337s<\256\14K\347\307L\273\263e\2504,\350\210\312['\306\25\220\215\33\26\3f\16\202\20K\226C>\313\320P\242I~\1\353\347\365W\323\300\257\323\17Ve\255\335n\274\372\301\371\3029`dr\326U\363u\276\203\204K\277`\371\341\266\372\227]r$\326_\234P\364\263\220\361\202\341\320-9\345\365\322\202\11\37\203\316;\274\10\15]:T\3337@\377\253y\335\1\366\273\236\370\304\37H.\256\36?.<\305t\301^\322P^\274\375p\21[\242\345\230\332\223o>\241\360\1\3541\3609\300.\336\204\312\376\341'\360a\320\6\32~\312\267\321\231;i'A\204r\347\217w\331;\207\256C\243\14;\356\205@\255\345\330\372^dI\2509<3\3530\332\15\253\236\362\316\223t5z\210\234\342\372\217\31id"&\177\206\323\251hy\13\210\22\274\260/#\371w\222\232\352\2601\327\215\210>\342\277", ) \365W\323\300\257\323\17Ve\255\335n\274\372\301\371\3029`dr\326U\363u\276\203\204K\277`\371\341\266\372\227]r$\326_\234P\364\263\220\361\202\341\320-9\345\365\322\202\11\37\203\316;\274\10\15]:T\3337@\377\253y\335\1\366\273\236\370\304\37H.\256\36?.<\305t\301^\322P^\274\375p\21[\242\345\230\332\223o>\241\360\1\3541\3609\300.\336\204\312\376\341'\360a\320\6\32~\312\267\321\231;i'A\204r\347\217w\331;\207\256C\243\14;\356\205@\255\345\330\372^dI\2509<3\3530\332\15\253\236\362\316\223t5z\210\234\342\372\217\31id (192, 0, 0, 0, 15510, 0x0, 0, ... {status=0x0, info=15510}, "\4\310\367\354\31\365\256\346*\364= $&o\6>\10hPV\216)\266I\214{#\375\1\346\253w\177\203\251\226\205\201\277\204w\320\25Y\305\253\225\264\264\367o\304\323\271}\13 \337\271\311\226\212r\3\233\354>\336\357\313\226/\353\24\337s<\256\14K\347\307L\273\263e\2504,\350\210\312['\306\25\220\215\33\26\3f\16\202\20K\226C>\313\320P\242I~\1\353\347\365W\323\300\257\323\17Ve\255\335n\274\372\301\371\3029`dr\326U\363u\276\203\204K\277`\371\341\266\372\227]r$\326_\234P\364\263\220\361\202\341\320-9\345\365\322\202\11\37\203\316;\274\10\15]:T\3337@\377\253y\335\1\366\273\236\370\304\37H.\256\36?.<\305t\301^\322P^\274\375p\21[\242\345\230\332\223o>\241\360\1\3541\3609\300.\336\204\312\376\341'\360a\320\6\32~\312\267\321\231;i'A\204r\347\217w\331;\207\256C\243\14;\356\205@\255\345\330\372^dI\2509<3\3530\332\15\253\236\362\316\223t5z\210\234\342\372\217\31id"&\177\206\323\251hy\13\210\22\274\260/#\371w\222\232\352\2601\327\215\210>\342\277", ) , ) == 0x0
 03247   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "W3\3773\3009}\14\211}\374\211}\370\17\225\300\211E\364\215\206p\12\0\0P\211u\360\350k\211\372\377\213\330;\337u\10j\16X\351\375\0\0\09}\364t \213E\10\213\0;\307t\16P\211E\370\350\311\2\0\0\211E\374\353?\307E\374z\7\0\0\3536jD\350\1\211\372\377\213\320;\327\211U\370u\11\307E\374\16\0\0\0\353\35j\213\300Y\213\372jDR\363\253\350\356\3\0\0\213E\3703\377\307@\10\1\0\0\09}\374t\16S\350t\325\372\377\213E\374\351\217\0\0\0\271\230\2\0\03\300\213\373\363\253f\213E\20\215\273X\12\0\0f\211C\20\215\203L\10\0\0P\307C\4Asyc\307\3`\12\0\0\211{\14f\307C\22\20\0f\307C\26\1\0\350\376\232\375\377\203}\364\0\213\316t\26\213u\14\213\301\301\351\2\363\245\213\310\203\341\3\363\244\213u\360\353\20\213\3213\300\301\351\2\363\253\213\312\203\341\3\363\252\270qqqq\215\2743X\12\0\0\253\253\253\253\213E\24\211\30\213E\370\211X\20\211C\103\300_^[\311\302\20\0U\213\354j\377h0J\323whl`\330wd\241\0\0\0\0Pd\211%\0\0\0\0QQ\203\354\14SVW\211e\350\213u\103\333;\363\17\204\266\0\0\0\215~L\213Gd;\303t\6P\350\222&\376\377\366\206&\1\0\0\10t\6W\350\341/\376\3779\237\250\0\0\0t\6W\350\275$\376\3779_ t\14\366F\24\10u\6W\350\33\231\375\3773\3119O tN\215\206 \1\0\09\10tD\211M\374P\212\206$\1\0\0\366\330\33\300\203\340\4P\377\266\30\1\0\0\377v\14\377w`\350\22b\376\377\203M\374\377\353\33\213E\354\213\0\213\0\211E\334j\1X\303\213e\350\213", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03248   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "=*\303\207\356%\0\200", ) , ) == 0x0
 03249   896   NtReadFile  (192, 0, 0, 0, 9710, 0x0, 0, ... {status=0x0, info=9710},  (192, 0, 0, 0, 9710, 0x0, 0, ... {status=0x0, info=9710}, "\304:\333\262V\250\3059\275\227;\262\247\11|\06hK-\320>\255\301\36\260\335F\344;o\341[i1\14,\314P\232$\216\254\236\360<\352 \265MR\261\202c\212)\337`\3nT\216\272e"\350\331,\202*\367U\233\214\226f-\361~\32~\252{\302\255!\4\\245\371\340\\274\231\356\4J\321\2520\251\250+NZW\245\300\256\214\327\235\222\201q\270\274W2Ef%\213\256\227+\261\346eO\335t\352\350\4\265m|\303\331\302\322\252i\221\302\343H/\26\247.\5\3506\329\236\326qF\30\252B\212\352bk\351\247\312VS\311\352vF\367\244m\303\357\2746R\33\272\15|-\2345\333\354\30h\215\117xd\320\341Q\235r+4\351\216\205\340S\210\14j\0\267&N\313N0\300\252\377t/@\3549\354\260\23\246,\220\324X\3577\31we\262\255U\274DT\214wY\35\314t\13+\227/\302\367\270]\313\352\37\213r\226\267-\375\3163\235gHv\234\3750TB|\27\221\32\335AJ\364\314=P\320\326#\316\1.\356\253\27\342g\377\207O\351^\303\225\2716J\13\320{|p\313)\244\307\4\361\356\271\11c{;+\375s\210\00\367\332\236\314\27\377\355v\4+EY\207\332\6\15\254u\3164<\376\3723\263\37\2343?R\214\224B\313\11b", ) \350\331,\202*\367U\233\214\226f-\361~\32~\252{\302\255!\4\\245\371\340\\274\231\356\4J\321\2520\251\250+NZW\245\300\256\214\327\235\222\201q\270\274W2Ef%\213\256\227+\261\346eO\335t\352\350\4\265m|\303\331\302\322\252i\221\302\343H/\26\247.\5\3506\329\236\326qF\30\252B\212\352bk\351\247\312VS\311\352vF\367\244m\303\357\2746R\33\272\15|-\2345\333\354\30h\215\117xd\320\341Q\235r+4\351\216\205\340S\210\14j\0\267&N\313N0\300\252\377t/@\3549\354\260\23\246,\220\324X\3577\31we\262\255U\274DT\214wY\35\314t\13+\227/\302\367\270]\313\352\37\213r\226\267-\375\3163\235gHv\234\3750TB|\27\221\32\335AJ\36413\221\337}\\251 \271\306\345a\256\312h\326z8\14-n\136j\255\204[\211\322\306\327]\277@\346\6\245\302J\224--S\252\331\177\355\310I\275\374za\30,\325g\274nv\250\246\327(\3126\240\275_@\206\341?i\240\3673\201\35\200\344\23\16;\272\237F\250&\\304\372\2337a\330L\203\363\222\241V0\340\230X\320\236\201\214u\3234\335L\214&\241>\314=P\320\326#\316\1.\356\253\27\342g\377\207O\351^\303\225\2716J\13\320{|p\313)\244\307\4\361\356\271\11c{;+\375s\210\00\367\332\236\314\27\377\355v\4+EY\207\332\6\15\254u\3164<\376\3723\263\37\2343?R\214\224B\313\11b", ) == 0x0
 03250   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "3e3o3y3\2513\2633\3013\3343\3753\344+41464C4k4p4\3254\3324\3429\3479==\361>\10?(?3?\270?\303?\0\240\3\0\240\0\0\0\2700\3110\3112n3\2043\2343\2763\2414\3104\3404\55>6J6x7\2047\319J9_9p9\3319\3459\301;\313;\321;\330;\344;\351;\371;\376;\4<\23<\30<\36<-<2<8">F>]>{>\225>\257>\311>\337>\355>\15?!?=?\0\0\0\260\3\0P\0\0\0,272=2T2Y2c2p2z2\2122\3012l31464\3235\3305\3506\3776\2277\3117\3317\2738\34382:H:W:\371:?;F;M;T;\314;}<\333<\342<\351<\360<\0\300\3\0D\0\0\0\3000\3610 1M1\2151\3011h2M5d5\3205\3435\3715*6h6\3706+8\3459\10:\252;0<\241<\250<\257<\257>\351>\362>\13?\24? ???\0\320\3\0\34\0\0\0\2650\3020\2663\2314\3079(:/:6:=:\0\0\0\340\3\0l\0\0\0D1t1}1\2171\2261*232?2X2\2504\347415\2365\2715\2067\3718k9o9s9w9{9\1779\2039\2079\2139\2469\2719\3339\32:\274:\300:\304:\310:\314:\320:\324:\330:\334:\340:\344:\350:\354:\360:\364:\370:s<\15=v=\214=\302=\0\360\3", 6205, 0x0, 0, ... {status=0x0, info=6205}, ) >F>]>{>\225>\257>\311>\337>\355>\15?!?=?\0\0\0\260\3\0P\0\0\0,272=2T2Y2c2p2z2\2122\3012l31464\3235\3305\3506\3776\2277\3117\3317\2738\34382:H:W:\371:?;F;M;T;\314;}<\333<\342<\351<\360<\0\300\3\0D\0\0\0\3000\3610 1M1\2151\3011h2M5d5\3205\3435\3715*6h6\3706+8\3459\10:\252;0<\241<\250<\257<\257>\351>\362>\13?\24? ???\0\320\3\0\34\0\0\0\2650\3020\2663\2314\3079(:/:6:=:\0\0\0\340\3\0l\0\0\0D1t1}1\2171\2261*232?2X2\2504\347415\2365\2715\2067\3718k9o9s9w9{9\1779\2039\2079\2139\2469\2719\3339\32:\274:\300:\304:\310:\314:\320:\324:\330:\334:\340:\344:\350:\354:\360:\364:\370:s<\15=v=\214=\302=\0\360\3", 6205, 0x0, 0, ... {status=0x0, info=6205}, ) == 0x0
 03251   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 03252   896   NtClose  (200, ... ) == 0x0
 03253   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03254   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03255   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 03208  2016   NtUserWaitMessage  ... ) == 0x1
 03256  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03257  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 03258  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010053
 03259  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 03257  2016   NtUserRedrawWindow  ... ) == 0x1
 03256  2016   NtUserPeekMessage  ... {0x80118, WM_TIMER, 0x1, 0x0, 0x13113f9, {0, 0}}, ) == 0x0
 03260  2016   NtUserWaitMessage  (...
 03255   896   NtUserMessageCall  ... ) == 0x2
 03261   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "\20\341\2\0=\30\25\0\0\0\345.\340Q \0", ) , ) == 0x0
 03262   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03263   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03264   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256},  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "rpcss.dll\0\0\32\0\0M\371\27\0\0\0n.\32f \0spmsg.dll\0\0\\1\0M\23\30\0\0\0n.rf \0spuninst.exe\0;\37\0\0Mo\31\0\0\0\345.lS \0update\kb823980.cat\0\0J\0\0\210\216\31\0\0\0n.rf \0update\spcustom.dll\0\0F\6\0\210\330\31\0\0\0n.\34f`\0update\update.exe\0\207\223\0\0\210\36 \0\0\0\345.\35R \0update\update.inf\0\374\17\0\0\17\262 \0\0\0\201,\325\225 \0update\eula.txt\0\337\0\0\0\13\302 \0\0\0\345.\240R \0upd", ) , ) == 0x0
 03265   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03266   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03267   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03268   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8a97c, 0, 688, 1, ...
 03260  2016   NtUserWaitMessage  ... ) == 0x1
 03269  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03270  2016   NtUserDefSetText  (655682, 8387708, ... ) == 0x1
 03271  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 03272  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03273  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03274  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03275  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03276  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03268   896   NtUserMessageCall  ... ) == 0x1
 03277   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\ed0e5e2507d6768a972ae1c0794a\rpcss.dll"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 03278   896   NtClose  (-2147481368, ... ) == 0x0
 03277   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 03279   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "MZ\220\0\3\0\0\0\4\0\0\0\377\377\0\0\270\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\320\0\0\0\16\37\272\16\0\264\11\315!\270\1L\315!This program cannot be run in DOS mode.\15\15\12$\0\0\0\0\0\0\0{)\365{?H\233(?H\233(?H\233(?H\232(\32I\233(UT\231((H\233(fk\210(*H\233(i@\235(>H\233(?H\233(PH\233(Rich?H\233(\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0PE\0\0L\1\4\0\223\7\7?\0\0\0\0\0\0\0\0\340\0\16#\13\1\5\14\0\246\2\0\0\370\0\0\0\0\0\0\200\214\0\0\0\20\0\0\0\300\2\0\0\0\31v\0\20\0\0\0\2\0\0\5\0\0\0\5\0\0\0\4\0\0\0\0\0\0\0\0\320\3\0\0\6\0\0\276\223\3\0\3\0\0\0\0\0\4\0\0\20\0\0\0\0\20\0\0\20\0\0\0\0\0\0\20\0\0\0`\265\2\0H\0\0\0\200\227\2\0\360\0\0\0\0\220\3\0\320\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\240\3\0X#\0\0\0\25\0\0\34\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\0\364\4\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0.text\0\0\0\250\245\2\0\0\20\0\0\0\246\2\0\0\6\0\0\0\0\0\0\0\0\0\0\0\0\0\0 \0\0`.dat", 26563, 0x0, 0, ... , 26563, 0x0, 0, ...
 03280   896   NtContinue  (-135750188, 0, ...
 03279   896   NtWriteFile  ... {status=0x0, info=26563}, ) == 0x0
 03281   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ...
 03269  2016   NtUserPeekMessage  ... {0x80118, WM_TIMER, 0x1, 0x0, 0x13113f9, {0, 0}}, ) == 0x0
 03282  2016   NtUserWaitMessage  (...
 03281   896   NtReadFile  ... {status=0x0, info=8},  ... {status=0x0, info=8}, "Q\13E\237\20<\0\200", ) , ) == 0x0
 03283   896   NtReadFile  (192, 0, 0, 0, 15376, 0x0, 0, ... {status=0x0, info=15376},  (192, 0, 0, 0, 15376, 0x0, 0, ... {status=0x0, info=15376}, "\340\33\201o\374\277\244g\244\375]*\3753\26\377\273S&\24\340\344\372AjB\25H\333M\15\205z\332T\333\320>g\313N\20\322\204\232\240\215t\12:|\13\201\311`h[\340\351\315\254\302\355\247\335v\342\305\237\364\25\322\371\202\2274Z1\377\224\27\347\237\370\354\250\375J\20\352Y\271*\333\373U\6\363w^\33[*\272\323P\377\304]\7\233S\223}\232x\345\26\237x\266\300\272\350ke\216z\233\6\2722\246\340\376@\337\357\362\201\22\372\337P|\3\360\15\3757?\361o\262\211\27\306\374\274\266\21O\241\314\342\267\7|Z\354?O\27\226\352\211\342V\6\324\210\331\333\333O\374\247R\13\226E=M\335!\237\22Xh\212=\21z\306\375\337{\243\271\276\204\12\37t\221S_\335\324\226\377\325\31\353\354\374\212p\375\25\356\227\260\247\237\262\275\4?\262Z<\34\223\310p\276pC-8\366]W\361\305EA\216X\203P`\375\242\372\355pHT'\2017\2225\213\201\330GM\25\342\301\371w'"\275\353\22t\222\324\241\34\210\217\333c\325\333\343\331\213\373\324l\373\212$\225\212/k\2406U\376%\177H\4\254\252\2470\212\343\351\327\247l\343.\337kO%3\343\377\315\346\320\3740xL\274n`\334\35\2338x\356\250\256\265\10A(k\376\20\254\2064\212c\6\347\336= ,\366\302mG\207\3\3 Ca\352T\274\2151@\333\361Z\304\305\203^\177\14\\322\277\200'VXA*\255\316\12o\322\27\266\371\260#\352\25\316\32\341\21_\257\343\252\331\5\223\14_\220zc#\1\32\344\353\203\236U\362'\344\261\337\2i\223\217\360\341\353';.2\375V\213\310\317C\305\306x@\322\316\222\201La\205\361\222\246u\15\300\251a\243"\342o\30\16\253\364\320\14qt", ) \275\353\22t\222\324\241\34\210\217\333c\325\333\343\331\213\373\324l\373\212$\225\212/k\2406U\376%\177H\4\254\252\2470\212\343\351\327\247l\343.\337kO%3\343\377\315\346\320\3740xL\274n`\334\35\2338x\356\250\256\265\10A(k\376\20\254\2064\212c\6\347\336= ,\366\302mG\207\3\3 Ca\352T\274\2151@\333\361Z\304\305\203^\177\14\\322\277\200'VXA*\255\316\12o\322\27\266\371\260#\352\25\316\32\341\21_\257\343\252\331\5\223\14_\220zc#\1\32\344\353\203\236U\362'\344\261\337\2i\223\217\360\341\353';.2\375V\213\310\317C\305\306x@\322\316\222\201La\205\361\222\246u\15\300\251a\243 (192, 0, 0, 0, 15376, 0x0, 0, ... {status=0x0, info=15376}, "\340\33\201o\374\277\244g\244\375]*\3753\26\377\273S&\24\340\344\372AjB\25H\333M\15\205z\332T\333\320>g\313N\20\322\204\232\240\215t\12:|\13\201\311`h[\340\351\315\254\302\355\247\335v\342\305\237\364\25\322\371\202\2274Z1\377\224\27\347\237\370\354\250\375J\20\352Y\271*\333\373U\6\363w^\33[*\272\323P\377\304]\7\233S\223}\232x\345\26\237x\266\300\272\350ke\216z\233\6\2722\246\340\376@\337\357\362\201\22\372\337P|\3\360\15\3757?\361o\262\211\27\306\374\274\266\21O\241\314\342\267\7|Z\354?O\27\226\352\211\342V\6\324\210\331\333\333O\374\247R\13\226E=M\335!\237\22Xh\212=\21z\306\375\337{\243\271\276\204\12\37t\221S_\335\324\226\377\325\31\353\354\374\212p\375\25\356\227\260\247\237\262\275\4?\262Z<\34\223\310p\276pC-8\366]W\361\305EA\216X\203P`\375\242\372\355pHT'\2017\2225\213\201\330GM\25\342\301\371w'"\275\353\22t\222\324\241\34\210\217\333c\325\333\343\331\213\373\324l\373\212$\225\212/k\2406U\376%\177H\4\254\252\2470\212\343\351\327\247l\343.\337kO%3\343\377\315\346\320\3740xL\274n`\334\35\2338x\356\250\256\265\10A(k\376\20\254\2064\212c\6\347\336= ,\366\302mG\207\3\3 Ca\352T\274\2151@\333\361Z\304\305\203^\177\14\\322\277\200'VXA*\255\316\12o\322\27\266\371\260#\352\25\316\32\341\21_\257\343\252\331\5\223\14_\220zc#\1\32\344\353\203\236U\362'\344\261\337\2i\223\217\360\341\353';.2\375V\213\310\317C\305\306x@\322\316\222\201La\205\361\222\246u\15\300\251a\243"\342o\30\16\253\364\320\14qt", ) , ) == 0x0
 03284   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\0H\0\24\0\10\0\13\0\30\0\334\0H\0\34\0\10\0\13\0 \0\354\0H\0$\0\10\0\13\0(\0\6\1p\0,\0\20\0\0h\0\0\0\0\3\0$\02\0\0\00\0\36\0G\10\10\7\1\0\1\0\0\0\10\0\4\0\254\0H\1\10\0\13\0\13\0\14\0\26\0H\0\20\0\10\0\23\241\24\0(\1P!\30\0\13\0P!\34\0\6\0p\0 \0\20\0\0h\0\0\0\0\4\0,\02\0\0\0(\0 \0G\12\10\7\1\0\3\0\0\0\10\0\4\0\254\0P!\10\0\13\0H\0\14\0\10\0H\0\20\0\10\0\23\0\24\0L\1P!\30\0\10\0\13\1\34\0(\1\13\0 \0\26\0\13\0$\0\26\0p\0(\0\20\0\0h\0\0\0\0\5\0$\02\0\0\08\0\20\0G\10\10\7\1\0\1\0\0\0\10\0\4\0\254\0H\1\10\0\13\0H\0\14\0\10\0\13\0\20\0\\1H\0\24\0\10\0\23\0\30\0h\1P!\34\0\10\0p\0 \0\20\0\0h\0\0\0\0\6\0\34\02\0\0\00\0\10\0F\5\10\5\0\0\1\0\0\0\10\0\4\0\254\0H\0\10\0\13\0H\0\20\0\10\0\13\0\24\0t\1p\0\30\0\20\0\0\0\0\0\0\0\0\0\0\0\0\0\22\10%\\21\4\2\00\240\0\0\21\14\10\\21\24\2\0\22\0\16\0\33\1\2\0\7\0\374\377\1\0\6[\27\1\4\0\360\377\6\6\[\21\14\13\\21\24\2\0\22\12%\\21\24\2\0\22\2\2\0\33\1\2\0)T4\0\1\0\6[\21\24\2\0\22\2\22\0\32\3\10\0\0\0\6\06\6>[\22\12%\!\3\0\0)T<\0\1\0\377\377\377\377\0\0L\0\336\377\[\21\24\2\0\22\0\24\0\35\0\10\0\1[\25\3\20\0\10\6\6L\0", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03285   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "JY\4\242\206 \0\200", ) , ) == 0x0
 03286   896   NtReadFile  (192, 0, 0, 0, 8326, 0x0, 0, ...
 03282  2016   NtUserWaitMessage  ... ) == 0x1
 03287  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ) == 0x1
 03288  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03289  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 03290  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03291  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03292  2016   NtUserDispatchMessage  ({0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ... ) == 0x0
 03293  2016   NtUserWaitMessage  (...
 03286   896   NtReadFile  ... {status=0x0, info=8326}, " ... {status=0x0, info=8326}, ""8\353`\346\271\271\313\216\342\263\37\16\274c\205\221\10\241\\345\316\255\323V\360\14>c\342:{,\307\376\200 \335\1\222=\247\227!\305+D\337\307\1\374\362Y\34W\355\3075\217\226\314Br\11\255V\2755C\316\357\225\300\272\220\277\5X_\6b=\361Q\340*\216\237\376T\252\15\34\325;\3504\\376\311\3130\365R\7e\254\211\313\320\240$\320\257/\231\323n\300X\320\200\23\264\32\36\253\364\21\353\247k+/8\331\221\1\4\376\320\272\261\14\204\351\374PN\37\263\336C\367\312\277M_7r,&?T\201#}\16\362u\355\352\243*O\272\312\323f(\3152&w\200\374\21}:\33!e]\4\344\312\333\361\335\21\3408\313*\301p\213\31H~\375\32Fs\363\11\223\3574v\262]l9\273\35\2\231Z7h\224-rZ\311>\342\246\20\230\376V\357\350\367\375\17S\231\332^_\274Y\236*\322\274\375o\5u\245\4\177:V\301\272C\37\335z\301\301\270\312\303\267E;\220#\235\334\243\30\214*\220\214Q\227~?OxL\37\264\320\371\302A\366\320\252~/aY\307\31y7\2568\227\306M\0"\16\226\27\202W\251\366EV\367c\12\221X\354\14\23cL+\273\370\210>\366\366\370\200\37!)X\200\314e\304\320\277\233Q\225\220\34}\373\13\311Pl\202h\302\267\264\205\333\260\2142\337\306aI+\321=\371V\371P\362\5\252\323\273\330\314\274u\3\261\2113\317g\36U\261\257\274\35\351\250T\30\363\25\257\30\224X\12\10\2475\240\16\377\225\226|\315z\335;\353\233\321\26\255\374\33=\366s\316x\237\313\226\301|\243\241\233\342(\337\351\33A\254\3550\2053\352\226\201\211\275\242\13\261\333\365\177\250\232\376ZA2 5\204\2157\243\342\207l\242\216q\256\317", ) \16\226\27\202W\251\366EV\367c\12\221X\354\14\23cL+\273\370\210>\366\366\370\200\37!)X\200\314e\304\320\277\233Q\225\220\34}\373\13\311Pl\202h\302\267\264\205\333\260\2142\337\306aI+\321=\371V\371P\362\5\252\323\273\330\314\274u\3\261\2113\317g\36U\261\257\274\35\351\250T\30\363\25\257\30\224X\12\10\2475\240\16\377\225\226|\315z\335;\353\233\321\26\255\374\33=\366s\316x\237\313\226\301|\243\241\233\342(\337\351\33A\254\3550\2053\352\226\201\211\275\242\13\261\333\365\177\250\232\376ZA2 5\204\2157\243\342\207l\242\216q\256\317", ) == 0x0
 03294   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\24\374\377\377\205\300\211E\350u\16\377u\340\377\25$\22\31v\351\4\1\0\0\215M\320QP\377\25\24\23\31v\205\300\211E\370u\34\215E\360Pf\241|\306\33v\3775\200\306\33vP\377u\350\3506\234\1\0\211E\370V\377\327\203}\370\0u\6\213E\360\211Cd\377u\350\213\313\350\22\374\377\377\213Cd\205\300t\24\203\300\4P\377u\14\377u\10\350\355\26\0\0\211E\374\353`\203e\360\0f\203}\10\0vU\241\200\306\33vf\213\25|\306\33vf\203}\374\0ua\203e\370\0f\205\322v,\17\267M\360\213}\14f\213\14O\17\267}\370f9\14xt\13\377E\370f9U\370r\355\353\14\17\267M\370f\213\14Hf\211M\374\377E\360f\213M\360f;M\10r\267f\203}\374\0u\30V\2135$\22\31v\377\326\377u\340\377\326\270\272\6\0\0\351\231\0\0\0V\2135$\22\31v\377\326\203e\364\0\203e\354\0\213\313\350\6\373\377\377\213\370\205\377u\12\377u\340\377\326j\16X\353q\215E\320PW\377\25\24\23\31v\205\300u\21\215E\354P\215E\364P\377u\374W\350\36\233\1\0\377u\364\350\372\327\377\377\205\300u\11\307E\370\16\0\0\0\353\20\377u\354\213\313\377u\364\350K\366\377\377\211E\370\203}\364\0t\10\377u\364\350\344y\0\0\203}\354\0t\10\377u\354\350\326y\0\0W\213\313\350\347\372\377\377\377u\340\377\326\213E\370_^[\311\302\10\0VW\213|$\14\205\377t#\2768\311\33vV\377\25,\22\31v\213\15h\311\33vW\350x\34\0\0\205\300u\13V\377\25$\22\31v3\300\353\23\203|$\20\0t\3\377G\10V\377\25$\22\31v\213\307_^\302\10\0SUVW\2778\311\33vW\377\25,\22\31v\213", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03295   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\30_\217\206\242?\0\200", ) , ) == 0x0
 03296   896   NtReadFile  (192, 0, 0, 0, 16290, 0x0, 0, ... {status=0x0, info=16290},  (192, 0, 0, 0, 16290, 0x0, 0, ... {status=0x0, info=16290}, "\307]6{\215C\311\352\210B\12W\346^O\7\355\271\4\340\17M\221\324\25\4\336\261\310\352\366\24\252\37p\14\216j\3564\203\372u\16\314(\27[\330\375;/\341\3405\246\236\240Rg\343a\224T\10\242q1Ir8"R\253\11\303 \205\2749V\10\352M\375N\202\21u\367\250X6\355\233\273\306n\315c\277>/\267\21\13V\266\250/\13j\13\37\0\200\236\255\16xsP\221U,\243\13\206\211\302\260\340 \274\270\317\376\26\372\215N\374\237\323m\335\312C\Z\2649dO\340=d5\301\5k\237~q\5\25A\376\336o\230}C\0f\354.\247\213i\360\235=u\207\243\16,\372\246T\277\352\362m\303\241\272\314Bkx\27\6\224T*\341V\24\304\275\5\274YT\271\321l\360$h\334\355A-\177\300\353V\253\240b\230/\242\215\237\277)\274\6\206\202M\376\317\266J\326\332RM\360X\23\321\343Q)\211\221\343\233\343\2120+\333\311\362E\35\217\214P\330\24\252A\324,=!Ld<\17h\2044\353\273\265E\32\2634\370<\7\222!\276v", ) j\3564\203\372u\16\314(\27[\330\375;/\341\3405\246\236\240Rg\343a\224T\10\242q1Ir8220\30\270\201\2416\14\3T\235J53\315\2\17\247u\21_t\376h\202^\267e\12\271u\271O\264\357h\313\2V\235\331,\333\212\256V\321Z\272\205\353\321\3621 (192, 0, 0, 0, 16290, 0x0, 0, ... {status=0x0, info=16290}, "\307]6{\215C\311\352\210B\12W\346^O\7\355\271\4\340\17M\221\324\25\4\336\261\310\352\366\24\252\37p\14\216j\3564\203\372u\16\314(\27[\330\375;/\341\3405\246\236\240Rg\343a\224T\10\242q1Ir8"R\253\11\303 \205\2749V\10\352M\375N\202\21u\367\250X6\355\233\273\306n\315c\277>/\267\21\13V\266\250/\13j\13\37\0\200\236\255\16xsP\221U,\243\13\206\211\302\260\340 \274\270\317\376\26\372\215N\374\237\323m\335\312C\Z\2649dO\340=d5\301\5k\237~q\5\25A\376\336o\230}C\0f\354.\247\213i\360\235=u\207\243\16,\372\246T\277\352\362m\303\241\272\314Bkx\27\6\224T*\341V\24\304\275\5\274YT\271\321l\360$h\334\355A-\177\300\353V\253\240b\230/\242\215\237\277)\274\6\206\202M\376\317\266J\326\332RM\360X\23\321\343Q)\211\221\343\233\343\2120+\333\311\362E\35\217\214P\330\24\252A\324,=!Ld<\17h\2044\353\273\265E\32\2634\370<\7\222!\276v", ) , ) == 0x0
 03297   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "u\14j-j\10\215E\10VP\3508\377\377\377\205\300\17\204\20\1\0\0j-\215E\14j\4P\215E\10P\350\37\377\377\377\205\300\17\204\367\0\0\0f\213E\14j-f\211F\4\215E\14j\4P\215E\10P\350\376\376\377\377\205\300\17\204\326\0\0\0f\213E\143\333f\211F\6S\215E\14WP\215E\10P\350\335\376\377\377\205\300\17\204\265\0\0\0\212E\14j-\210F\10\215E\14WP\215E\10P\350\277\376\377\377\205\300\17\204\227\0\0\0\212E\14S\210F\11\215E\14WP\215E\10P\350\242\376\377\377\205\300t~\212E\14S\210F\12\215E\14WP\215E\10P\350\211\376\377\377\205\300te\212E\14S\210F\13\215E\14WP\215E\10P\350p\376\377\377\205\300tL\212E\14S\210F\14\215E\14WP\215E\10P\350W\376\377\377\205\300t3\212E\14S\210F\15\215E\14WP\215E\10P\350>\376\377\377\205\300t\32\212E\14j}\210F\16\215E\14WP\215E\10P\350$\376\377\377\205\300u\43\300\353\11\212E\14j\1\210F\17X_^[]\302\10\0\351\0\0\0\0\271\300\312\33v\351S\0\0\0\213\301\203 \0\307@\4\1\0\0\0\303\213\1\205\300t\17Pj\0\3775\34\312\33v\377\25X\302\33v\303\203\301\4Q\377\25D\22\31v\303V\213\361\215F\4P\377\25L\22\31v\205\300u\22\205\366t\16\213\316\350\303\377\377\377V\350ws\377\377Y^\303V\213\3613\300\211F\4\211F\10\211F\14f\211F\30\211F\20\211\6\211F\24\215F8P\377\25 \22\31v\213\306^\303V\213\361\350\226\1\0\0\213\316\350\252\1\0\0^\303QSU\213l$\20V\213\35l\21\31vW\213\371\215G\30PU\377\323\205\300\17\204\255", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03298   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\212\313\22\255\334+\0\200", ) , ) == 0x0
 03299   896   NtReadFile  (192, 0, 0, 0, 11228, 0x0, 0, ... {status=0x0, info=11228},  (192, 0, 0, 0, 11228, 0x0, 0, ... {status=0x0, info=11228}, ">j\332V\177\275\365W\210<\245i*\371\20\313`\350\17[>\312\232G"Y\3728\241M(<\334\314X4\310_\356\204\254\270<\255v\253\356\340\340Q\344CMy{\303\2645\274J\304\203f\244\304a\20\322\16\252M\313\303\344H]\310\222\272\267[\26\363\1\340C6\257\305\257\376;\256\200\331\2141>\27\361_\350\351\325>Uz\331\271=y\225v?\212\276\341*\350\354\33\312?y/\371\213\2675!4\31\262\323H&( \200Id\217\355q0\15\276\22C\12\337\264\246\337\33\253W\242Gm\347u\312\26\254\313p_\337r\5\315c\374}$\262\374\361\232\274`e\323\371\347Q\252\361\313\14\330\227\221_\242\35\260k\363\267\26\371\302B\271\345\327"\350\3c\23/.\253\366\355\317\330X\211\222\262q\333\221a\314\322a5\306`\311\375\2679O\246\274\363\324\336\230\372qu\36\322\200QYD\0_\4\2176\345\26\2269\317\263by\332\374k\317\226e\364o\2503$&\344\243\370h\352E\350A\2\34\235U\37_\275\203+7-\4\203l\254~\365\0\254\30\313\251\253m5\10\6]\302\372 \215\326\374\326\353C\14\334\260H{\340\226\253I\330*\355\32\335\356D\275\2\11\254\334\357o\346@\370v\340\317AJrJ\20|\240\304\261\360Z#\354XqB\237a,n\23\302=cK\200\22\256\324\340PG\213\210T_\355\374\244\33651a\37\325\231\361\361\361\345N\244\377C\330\334M\331Z\322[)s\243\325(\26\250\317i\1\345\177\334\242\305\341\367K+\350\34>\360\235r-\236\270\300\325\213D\3518|\342\275\3268\10\243D\11\266\204\315\211U\273\255\345\322\351\364\206g\363?\26\234g\365\276\203k\\353\262\272dBU\24\306\253\341y\335\34\230\360\30\25\13|", ) Y\3728\241M(<\334\314X4\310_\356\204\254\270<\255v\253\356\340\340Q\344CMy{\303\2645\274J\304\203f\244\304a\20\322\16\252M\313\303\344H]\310\222\272\267[\26\363\1\340C6\257\305\257\376;\256\200\331\2141>\27\361_\350\351\325>Uz\331\271=y\225v?\212\276\341*\350\354\33\312?y/\371\213\2675!4\31\262\323H&( \200Id\217\355q0\15\276\22C\12\337\264\246\337\33\253W\242Gm\347u\312\26\254\313p_\337r\5\315c\374}$\262\374\361\232\274`e\323\371\347Q\252\361\313\14\330\227\221_\242\35\260k\363\267\26\371\302B\271\345\327 (192, 0, 0, 0, 11228, 0x0, 0, ... {status=0x0, info=11228}, ">j\332V\177\275\365W\210<\245i*\371\20\313`\350\17[>\312\232G"Y\3728\241M(<\334\314X4\310_\356\204\254\270<\255v\253\356\340\340Q\344CMy{\303\2645\274J\304\203f\244\304a\20\322\16\252M\313\303\344H]\310\222\272\267[\26\363\1\340C6\257\305\257\376;\256\200\331\2141>\27\361_\350\351\325>Uz\331\271=y\225v?\212\276\341*\350\354\33\312?y/\371\213\2675!4\31\262\323H&( \200Id\217\355q0\15\276\22C\12\337\264\246\337\33\253W\242Gm\347u\312\26\254\313p_\337r\5\315c\374}$\262\374\361\232\274`e\323\371\347Q\252\361\313\14\330\227\221_\242\35\260k\363\267\26\371\302B\271\345\327"\350\3c\23/.\253\366\355\317\330X\211\222\262q\333\221a\314\322a5\306`\311\375\2679O\246\274\363\324\336\230\372qu\36\322\200QYD\0_\4\2176\345\26\2269\317\263by\332\374k\317\226e\364o\2503$&\344\243\370h\352E\350A\2\34\235U\37_\275\203+7-\4\203l\254~\365\0\254\30\313\251\253m5\10\6]\302\372 \215\326\374\326\353C\14\334\260H{\340\226\253I\330*\355\32\335\356D\275\2\11\254\334\357o\346@\370v\340\317AJrJ\20|\240\304\261\360Z#\354XqB\237a,n\23\302=cK\200\22\256\324\340PG\213\210T_\355\374\244\33651a\37\325\231\361\361\361\345N\244\377C\330\334M\331Z\322[)s\243\325(\26\250\317i\1\345\177\334\242\305\341\367K+\350\34>\360\235r-\236\270\300\325\213D\3518|\342\275\3268\10\243D\11\266\204\315\211U\273\255\345\322\351\364\206g\363?\26\234g\365\276\203k\\353\262\272dBU\24\306\253\341y\335\34\230\360\30\25\13|", ) , ) == 0x0
 03300   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "M\374\377\213]\320;\376\17\205\322\0\0\0\213E\3009\260\300\0\0\0t>9pPt\32\213\200\254\0\0\0;\306t\6\215\260\260\1\0\0\213E\14\2110\351\250\0\0\09\260\304\0\0\0u\27\213\200\200\0\0\0\2110\213E\300\213\200\200\0\0\0\211p\4\213E\300\213\200\254\0\0\0\211E\304;\306uh\213E\344\213\10\215U\304RP\377Q@\213\370;\376|i\213E\304\215\210\260\1\0\0\213\21\213E\300\377\260\234\0\0\0\377\260\240\0\0\0\377p\\377pXQ\377R \213\370\213E\300\377\260\240\0\0\0\350\256z\377\377\213E\300\377\260\234\0\0\0\350\240z\377\377;\376|#\213E\300\213M\304\211\210\254\0\0\0\213E\304\213\10\215U\314Rh`|\31vP\377\21\213\370;\376}\20S\350sz\377\377\377u\334\350kz\377\377\353{\213M\3009qPtI\213Qx\213\2\13B\4t3\215C P\215C\34P\215C\14P\215C\10P\213E\310\377p\10f\213@\4PR\3771\3500\326\376\377;\306~\12%\377\377\0\0\15\0\0\7\200\213\370\213E\314\213\10SP\377Q\24\353\14\213E\314\213\10\377u\334P\377Q\14\213E\314\213\10P\377Q\10\213E\304\213\310\5\260\1\0\0\367\331\33\311#\310\213E\14\211\10\213\307\213M\360d\211\15\0\0\0\0_^[\311\302\10\0\350\315\236\0\0\205\300|\30\377t$\10\241X\210\34v\213\10h\370\36\31v\377t$\14P\377Q\14\302\10\0\270\1@\0\200\302\10\0\270\1@\0\200\302\14\0\270\1@\0\200\303V\213t$\10\205\366t\26\377v\10\350\220y\377\377\377v\24\350\12\0\0\0V\350\202y\377\377^\302\4\0V\213t$\10\205\366t\35\3776\350ny\377\377\377v\10\350fy\377\377\377", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03301   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "9d%c\376&\0\200", ) , ) == 0x0
 03302   896   NtReadFile  (192, 0, 0, 0, 9982, 0x0, 0, ... {status=0x0, info=9982},  (192, 0, 0, 0, 9982, 0x0, 0, ... {status=0x0, info=9982}, "\302#P\375\344\23\326CP\367\6l=\12\1\310\300\177\6\25\350n\4n@?\203\34\202\27\361w\14>0\335Wq\30\14n\206\4\245Gr\261\312\4\315\323}\340\23N\243\227\4;\364\275\245\35\370\260\256\211\210\343rZ\207\332\16\217\210\253o\21|\237|\340\1o,\335\207\253\25""\315\316\16x\202\376\257i\4.\376*\217\207p\16\367+\7>\261r"\262\241#\250\353\362pW'\204N\6\237?\200V]_\316\15\15u\350\30\252\301s\355\342\211\367\250T\343\220W\314\78V\4\333\271Z1+\340\241\366c\356p\22A\225\320g\330\0~\30`\31\322\37`<\311\277\341\337\236\235W5\314~g\31\25\377\347A\301\354\337\373\370\377\367\343\341\335\276P\258\237\344S\304\212Y\360\317u^\10'z_\335\0l\261(\265\231\372\377\300\310\252\327;\311\376\337y\13\371\337OQ\371\202\3452\376\373\177\266\277\347\316\376Mk\332\330\343\313\376\317\177:\217\377\217\5\261\251v\371\364\362[}!\230G^\352z\277\366\10\267\364\30\366\367\315f\373\236\223\337\343sV\273[\334\232\350\271\332a\272]o.\303\301\377\261:\270B^\1778u\24\1d\3041\313\204\205\30)\277x\213\177\25\31|X\345x\306\304\37/C\275S\365\6g\320\257\227oUO\275\257\\347S\17"\267fr\220\12<\23i\34\220\336\342\305A4A \207\3658\203\274\276\347>\351\315uS\333\357\344W\A&\4\247\341\261\241\34\327w\3648\270\340\301\213\263<\352%C\266\\267\252#v \343\260\235z\370\273\357\247\371\373\0\267Uw\12\375\370.\227\363\13\370\16\177z\275\211\250\274\157>\202\117|\210\312S\10\254\372*\2#@'\332\274\1\36&\373\201\300\367\345xk\370\353!\300\1\346\350", )  (192, 0, 0, 0, 9982, 0x0, 0, ... {status=0x0, info=9982}, "\302#P\375\344\23\326CP\367\6l=\12\1\310\300\177\6\25\350n\4n@?\203\34\202\27\361w\14>0\335Wq\30\14n\206\4\245Gr\261\312\4\315\323}\340\23N\243\227\4;\364\275\245\35\370\260\256\211\210\343rZ\207\332\16\217\210\253o\21|\237|\340\1o,\335\207\253\25""\315\316\16x\202\376\257i\4.\376*\217\207p\16\367+\7>\261r"\262\241#\250\353\362pW'\204N\6\237?\200V]_\316\15\15u\350\30\252\301s\355\342\211\367\250T\343\220W\314\78V\4\333\271Z1+\340\241\366c\356p\22A\225\320g\330\0~\30`\31\322\37`<\311\277\341\337\236\235W5\314~g\31\25\377\347A\301\354\337\373\370\377\367\343\341\335\276P\258\237\344S\304\212Y\360\317u^\10'z_\335\0l\261(\265\231\372\377\300\310\252\327;\311\376\337y\13\371\337OQ\371\202\3452\376\373\177\266\277\347\316\376Mk\332\330\343\313\376\317\177:\217\377\217\5\261\251v\371\364\362[}!\230G^\352z\277\366\10\267\364\30\366\367\315f\373\236\223\337\343sV\273[\334\232\350\271\332a\272]o.\303\301\377\261:\270B^\1778u\24\1d\3041\313\204\205\30)\277x\213\177\25\31|X\345x\306\304\37/C\275S\365\6g\320\257\227oUO\275\257\\347S\17"\267fr\220\12<\23i\34\220\336\342\305A4A \207\3658\203\274\276\347>\351\315uS\333\357\344W\A&\4\247\341\261\241\34\327w\3648\270\340\301\213\263<\352%C\266\\267\252#v \343\260\235z\370\273\357\247\371\373\0\267Uw\12\375\370.\227\363\13\370\16\177z\275\211\250\274\157>\202\117|\210\312S\10\254\372*\2#@'\332\274\1\36&\373\201\300\367\345xk\370\353!\300\1\346\350", ) \262\241#\250\353\362pW'\204N\6\237?\200V]_\316\15\15u\350\30\252\301s\355\342\211\367\250T\343\220W\314\78V\4\333\271Z1+\340\241\366c\356p\22A\225\320g\330\0~\30`\31\322\37`<\311\277\341\337\236\235W5\314~g\31\25\377\347A\301\354\337\373\370\377\367\343\341\335\276P\258\237\344S\304\212Y\360\317u^\10'z_\335\0l\261(\265\231\372\377\300\310\252\327;\311\376\337y\13\371\337OQ\371\202\3452\376\373\177\266\277\347\316\376Mk\332\330\343\313\376\317\177:\217\377\217\5\261\251v\371\364\362[}!\230G^\352z\277\366\10\267\364\30\366\367\315f\373\236\223\337\343sV\273[\334\232\350\271\332a\272]o.\303\301\377\261:\270B^\1778u\24\1d\3041\313\204\205\30)\277x\213\177\25\31|X\345x\306\304\37/C\275S\365\6g\320\257\227oUO\275\257\\347S\17 (192, 0, 0, 0, 9982, 0x0, 0, ... {status=0x0, info=9982}, "\302#P\375\344\23\326CP\367\6l=\12\1\310\300\177\6\25\350n\4n@?\203\34\202\27\361w\14>0\335Wq\30\14n\206\4\245Gr\261\312\4\315\323}\340\23N\243\227\4;\364\275\245\35\370\260\256\211\210\343rZ\207\332\16\217\210\253o\21|\237|\340\1o,\335\207\253\25""\315\316\16x\202\376\257i\4.\376*\217\207p\16\367+\7>\261r"\262\241#\250\353\362pW'\204N\6\237?\200V]_\316\15\15u\350\30\252\301s\355\342\211\367\250T\343\220W\314\78V\4\333\271Z1+\340\241\366c\356p\22A\225\320g\330\0~\30`\31\322\37`<\311\277\341\337\236\235W5\314~g\31\25\377\347A\301\354\337\373\370\377\367\343\341\335\276P\258\237\344S\304\212Y\360\317u^\10'z_\335\0l\261(\265\231\372\377\300\310\252\327;\311\376\337y\13\371\337OQ\371\202\3452\376\373\177\266\277\347\316\376Mk\332\330\343\313\376\317\177:\217\377\217\5\261\251v\371\364\362[}!\230G^\352z\277\366\10\267\364\30\366\367\315f\373\236\223\337\343sV\273[\334\232\350\271\332a\272]o.\303\301\377\261:\270B^\1778u\24\1d\3041\313\204\205\30)\277x\213\177\25\31|X\345x\306\304\37/C\275S\365\6g\320\257\227oUO\275\257\\347S\17"\267fr\220\12<\23i\34\220\336\342\305A4A \207\3658\203\274\276\347>\351\315uS\333\357\344W\A&\4\247\341\261\241\34\327w\3648\270\340\301\213\263<\352%C\266\\267\252#v \343\260\235z\370\273\357\247\371\373\0\267Uw\12\375\370.\227\363\13\370\16\177z\275\211\250\274\157>\202\117|\210\312S\10\254\372*\2#@'\332\274\1\36&\373\201\300\367\345xk\370\353!\300\1\346\350", ) , ) == 0x0
 03303   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\20Y3\322\363\246t\25\377E\370\203E\340\4\213M\370\203E\334\20;M\14r\322\353o\213M\320\213U\370j\1X\211E\314\211\4\221\213E\10\203\270X\376\377\377\4uT\213M\374\213\3\213\361\213H\30\301\346\2\203<1\0|A\213H\34\213\141\205\311t\32Q\350Q\11\0\0\213\3\213@\34\37740\350\361\372\376\377\213\3\213@\34\353\31\213@$\205\300t\26\213\40\205\300t\17\213\10P\377Q\10\213\3\213@$\203$0\0\203}\314\0ua\203}\310\0t[\213\3\213}\330\213p\24\213E\10\3u\350\245\245\245\245\203\270X\376\377\377\4u3\213E\374\213u\304\213\310\213\3\301\341\2\213@\34\213\24\10\213E\324\211\24\6\213\23\213R$\213\24\12\211\20\213\23\213R\30\213\14\12\213U\300\211\14\2\353\3\213E\324\203E\330\20\203\300\4\211E\324\377E\374\213\3\213M\374\203E\350\20;H\20\17\202\306\376\377\377\377u\320\350I\372\376\377\213\3\213M\310\211H\20\213\3\213H\24\203\3000;\310t\6Q\350/\372\376\377\213\3\213M\364\211H\24\213E\10\203\270X\376\377\377\4u6\213\3\377p\34\350\21\372\376\377\213\3\213M\360\211H\34\213\3\377p$\350\377\371\376\377\213\3\213M\354\211H$\213\3\377p\30\350\355\371\376\377\213\3\213M\344\211H\303\300\353\5\270W\0\7\200_^[\311\302\14\0U\213\354S\213]\24VW\205\333\213\301t\3\203#\0\213u\10j\20Y\277\320~\31v3\322\363\246u\14\213M\14\5\270\1\0\0\211\1\353k\213u\10j\20Y\277`|\31v3\322\363\246u\30\215\210\220\2\0\0\5\224\2\0\0\367\331\33\311#\310\213E\14\211\10\353B\213u\10j\20Y\277\260e\31v3\300\363\246u5j$\350\371r\376\377", 31053, 0x0, 0, ... {status=0x0, info=31053}, ) , 31053, 0x0, 0, ... {status=0x0, info=31053}, ) == 0x0
 03304   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 03305   896   NtClose  (200, ... ) == 0x0
 03306   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03307   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03308   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 03293  2016   NtUserWaitMessage  ... ) == 0x1
 03309  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03310  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 03311  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010053
 03312  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 03310  2016   NtUserRedrawWindow  ... ) == 0x1
 03309  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ) == 0x0
 03313  2016   NtUserWaitMessage  (...
 03308   896   NtUserMessageCall  ... ) == 0x3
 03314   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "\0\32\0\0M\371\27\0\0\0n.\32f \0", ) , ) == 0x0
 03315   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03316   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03317   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256},  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "spmsg.dll\0\0\\1\0M\23\30\0\0\0n.rf \0spuninst.exe\0;\37\0\0Mo\31\0\0\0\345.lS \0update\kb823980.cat\0\0J\0\0\210\216\31\0\0\0n.rf \0update\spcustom.dll\0\0F\6\0\210\330\31\0\0\0n.\34f`\0update\update.exe\0\207\223\0\0\210\36 \0\0\0\345.\35R \0update\update.inf\0\374\17\0\0\17\262 \0\0\0\201,\325\225 \0update\eula.txt\0\337\0\0\0\13\302 \0\0\0\345.\240R \0update\update.ver\0\250&\266o\3426\0\200[\200\200", ) , ) == 0x0
 03318   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03319   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03320   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03321   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8a97c, 0, 688, 1, ...
 03313  2016   NtUserWaitMessage  ... ) == 0x1
 03322  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03323  2016   NtUserDefSetText  (655682, 8387708, ... ) == 0x1
 03324  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 03325  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03326  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03327  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03328  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03329  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03321   896   NtUserMessageCall  ... ) == 0x1
 03330   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\ed0e5e2507d6768a972ae1c0794a\spmsg.dll"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 03331   896   NtClose  (-2147481368, ... ) == 0x0
 03330   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 03332   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "MZ\220\0\3\0\0\0\4\0\0\0\377\377\0\0\270\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\270\0\0\0\16\37\272\16\0\264\11\315!\270\1L\315!This program cannot be run in DOS mode.\15\15\12$\0\0\0\0\0\0\0\7\242=\332C\303S\211C\303S\211C\303S\211\324\340\26\211B\303S\211\271\340n\211B\303S\211RichC\303S\211\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0PE\0\0L\1\2\0\225\256o>\0\0\0\0\0\0\0\0\340\0\16!\13\1\7\0\0\0\0\0\0\30\0\0\0\0\0\0\0\0\0\0\0\20\0\0\0\20\0\0\0\0\0\20\0\20\0\0\0\2\0\0\5\0\1\0\5\0\1\0\4\0\0\0\0\0\0\0\0@\0\0\0\2\0\0\277\7\1\0\2\0\0\0\0\0\4\0\0\20\0\0\0\0\20\0\0\20\0\0\0\0\0\0\20\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\0\350\24\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\00\0\0\10\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0.rsrc\0\0\0\350\24\0\0\0\20\0\0\0\26\0\0\0\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0@\0\0@.reloc\0\0\10\0\0\0\00\0\0\0\2\0\0\0\30\0\0\0\0\0\0", 1715, 0x0, 0, ... , 1715, 0x0, 0, ...
 03333   896   NtContinue  (-135750188, 0, ...
 03332   896   NtWriteFile  ... {status=0x0, info=1715}, ) == 0x0
 03334   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ...
 03322  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ) == 0x0
 03335  2016   NtUserWaitMessage  (...
 03334   896   NtReadFile  ... {status=0x0, info=8},  ... {status=0x0, info=8}, "\311\23\314I\3546\0\200", ) , ) == 0x0
 03336   896   NtReadFile  (192, 0, 0, 0, 14060, 0x0, 0, ... {status=0x0, info=14060},  (192, 0, 0, 0, 14060, 0x0, 0, ... {status=0x0, info=14060}, "\320b\20\305J\25\347\22\212\242($)\244(\316\333+1\211EQA\205\374\205\362\316\221\307\274\1/S\352gzR(\3po\220\316\241A\370\367\316\222\203\227HIz'4\1s,\30\16\265\3475\314\214\376\21\277\177\240\315\314\225z\310\212\1'M=\316\21F\343-gp\207\352q\367\214\2274b\277\262\214#\242\277"\25\324\237\372\230(\317\372&~\236KS\264\236\200\331\250G\26\356\250\2640R\244\355\216 \235\220_+\343@5T\26\363\227k\232\315K\37\250$\306;\3031[\213V\264\254T\364\352/\233\235\362\337\37\321iD\376\3260E\371\375nc+\217\3752gf\242?5\6\223[r\14\3111{\346\235\2359\333,\303_\221\334\2209\230\251\221\375\333x'9'\32\31\342\236\350\1\177s\222v\27\265\266\253s\2369\355\201\352Z\3126\351\332>E\261\6\333\26\31\230S\354K=Y\244_\363^=Y\245p\214\327\177\237\303t\210-"\367z\12 /\233ce\275Ze\220\222\305\355\265\353\314\317\311}\324\177\372.\234\264\243\336\353\364\317\254\354\204\373\3418\356\2468\250\264\254\215\353\232\352cZ\15\344zg\254\351\223}\317\252\317\352\311\324\21\272n\307\305\343\35050}\367\327\244\233\37q\242s\366\335\371m\6\265\331&\3Oc\342~?\300U\12\372\7oA\34\312.\347\225\373\31\307\306\371D\264"\14-b'\3269VQ=I\261\244$\221e\300w)\353\0\322y\313\340\272\365\25\271\363\L\231\311\275\341\273\371\373\312\2\315X2\214^Qr\220\353\333\316\330J\0\5\274d\35\31uz'\307ZC\350", ) \25\324\237\372\230(\317\372&~\236KS\264\236\200\331\250G\26\356\250\2640R\244\355\216 \235\220_+\343@5T\26\363\227k\232\315K\37\250$\306;\3031[\213V\264\254T\364\352/\233\235\362\337\37\321iD\376\3260E\371\375nc+\217\3752gf\242?5\6\223[r\14\3111{\346\235\2359\333,\303_\221\334\2209\230\251\221\375\333x'9'\32\31\342\236\350\1\177s\222v\27\265\266\253s366\206\312M\272\261\256S\263\326?\361\311\6\312r\211W\215\224\335MNrES\262\227\16\345br=\16\303\370\234\224\\322>\2369\355\201\352Z\3126\351\332>E\261\6\333\26\31\230S\354K=Y\244_\363^=Y\245p\214\327\177\237\303t\210- (192, 0, 0, 0, 14060, 0x0, 0, ... {status=0x0, info=14060}, "\320b\20\305J\25\347\22\212\242($)\244(\316\333+1\211EQA\205\374\205\362\316\221\307\274\1/S\352gzR(\3po\220\316\241A\370\367\316\222\203\227HIz'4\1s,\30\16\265\3475\314\214\376\21\277\177\240\315\314\225z\310\212\1'M=\316\21F\343-gp\207\352q\367\214\2274b\277\262\214#\242\277"\25\324\237\372\230(\317\372&~\236KS\264\236\200\331\250G\26\356\250\2640R\244\355\216 \235\220_+\343@5T\26\363\227k\232\315K\37\250$\306;\3031[\213V\264\254T\364\352/\233\235\362\337\37\321iD\376\3260E\371\375nc+\217\3752gf\242?5\6\223[r\14\3111{\346\235\2359\333,\303_\221\334\2209\230\251\221\375\333x'9'\32\31\342\236\350\1\177s\222v\27\265\266\253s\2369\355\201\352Z\3126\351\332>E\261\6\333\26\31\230S\354K=Y\244_\363^=Y\245p\214\327\177\237\303t\210-"\367z\12 /\233ce\275Ze\220\222\305\355\265\353\314\317\311}\324\177\372.\234\264\243\336\353\364\317\254\354\204\373\3418\356\2468\250\264\254\215\353\232\352cZ\15\344zg\254\351\223}\317\252\317\352\311\324\21\272n\307\305\343\35050}\367\327\244\233\37q\242s\366\335\371m\6\265\331&\3Oc\342~?\300U\12\372\7oA\34\312.\347\225\373\31\307\306\371D\264"\14-b'\3269VQ=I\261\244$\221e\300w)\353\0\322y\313\340\272\365\25\271\363\L\231\311\275\341\273\371\373\312\2\315X2\214^Qr\220\353\333\316\330J\0\5\274d\35\31uz'\307ZC\350", ) \14-b'\3269VQ=I\261\244$\221e\300w)\353\0\322y\313\340\272\365\25\271\363\L\231\311\275\341\273\371\373\312\2\315X2\214^Qr\220\353\333\316\330J\0\5\274d\35\31uz'\307ZC\350", ) == 0x0
 03337   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\0\25\21\16\300\30\21\16\300\230\14\0\0\33\21\16\300\34\21\16\300 \16\0\0 \21\16\300 \21\16\300\304\16\0\0"\21\16\300#\21\16\300t\17\0\0\204\0\1\0W\0i\0n\0d\0o\0w\0s\0 \02\00\00\00\0 \0%\01\0 \0w\0a\0s\0 \0i\0n\0s\0t\0a\0l\0l\0e\0d\0 \0(\0%\02\0 \0w\0a\0s\0 \0p\0r\0e\0v\0i\0o\0u\0s\0l\0y\0 \0i\0n\0s\0t\0a\0l\0l\0e\0d\0)\0.\0\15\0\12\0\0\0\0\0\210\0\1\0W\0i\0n\0d\0o\0w\0s\0 \02\00\00\00\0 \0%\01\0 \0w\0a\0s\0 \0u\0n\0i\0n\0s\0t\0a\0l\0l\0e\0d\0,\0 \0r\0e\0s\0t\0o\0r\0i\0n\0g\0 \0W\0i\0n\0d\0o\0w\0s\0 \02\00\00\00\0 \0t\0o\0 \0%\02\0.\0\15\0\12\0\0\0\0\0T\0\1\0W\0i\0n\0d\0o\0w\0s\0 \02\00\00\00\0 \0H\0o\0t\0f\0i\0x\0 \0%\01\0 \0w\0a\0s\0 \0i\0n\0s\0t\0a\0l\0l\0e\0d\0.\0\15\0\12\0\0\0X\0\1\0W\0i\0n\0d\0o\0w\0s\0 \02\00\00\00\0 \0H\0o\0t\0f\0i\0x\0 \0%\01\0 \0w\0a\0s\0 \0u\0n\0i\0n\0s\0t\0a\0l\0l\0e\0d\0.\0\15\0\12\0\0\0H\0\1\0W\0i\0n\0d", 4941, 0x0, 0, ... {status=0x0, info=4941}, ) \21\16\300#\21\16\300t\17\0\0\204\0\1\0W\0i\0n\0d\0o\0w\0s\0 \02\00\00\00\0 \0%\01\0 \0w\0a\0s\0 \0i\0n\0s\0t\0a\0l\0l\0e\0d\0 \0(\0%\02\0 \0w\0a\0s\0 \0p\0r\0e\0v\0i\0o\0u\0s\0l\0y\0 \0i\0n\0s\0t\0a\0l\0l\0e\0d\0)\0.\0\15\0\12\0\0\0\0\0\210\0\1\0W\0i\0n\0d\0o\0w\0s\0 \02\00\00\00\0 \0%\01\0 \0w\0a\0s\0 \0u\0n\0i\0n\0s\0t\0a\0l\0l\0e\0d\0,\0 \0r\0e\0s\0t\0o\0r\0i\0n\0g\0 \0W\0i\0n\0d\0o\0w\0s\0 \02\00\00\00\0 \0t\0o\0 \0%\02\0.\0\15\0\12\0\0\0\0\0T\0\1\0W\0i\0n\0d\0o\0w\0s\0 \02\00\00\00\0 \0H\0o\0t\0f\0i\0x\0 \0%\01\0 \0w\0a\0s\0 \0i\0n\0s\0t\0a\0l\0l\0e\0d\0.\0\15\0\12\0\0\0X\0\1\0W\0i\0n\0d\0o\0w\0s\0 \02\00\00\00\0 \0H\0o\0t\0f\0i\0x\0 \0%\01\0 \0w\0a\0s\0 \0u\0n\0i\0n\0s\0t\0a\0l\0l\0e\0d\0.\0\15\0\12\0\0\0H\0\1\0W\0i\0n\0d", 4941, 0x0, 0, ... {status=0x0, info=4941}, ) == 0x0
 03338   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 03339   896   NtClose  (200, ... ) == 0x0
 03340   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03341   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03342   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 03335  2016   NtUserWaitMessage  ... ) == 0x1
 03343  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03344  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 03345  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010053
 03346  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 03344  2016   NtUserRedrawWindow  ... ) == 0x1
 03343  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ) == 0x0
 03347  2016   NtUserWaitMessage  (...
 03342   896   NtUserMessageCall  ... ) == 0x4
 03348   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "\0\\1\0M\23\30\0\0\0n.rf \0", ) , ) == 0x0
 03349   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03350   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03351   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256},  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "spuninst.exe\0;\37\0\0Mo\31\0\0\0\345.lS \0update\kb823980.cat\0\0J\0\0\210\216\31\0\0\0n.rf \0update\spcustom.dll\0\0F\6\0\210\330\31\0\0\0n.\34f`\0update\update.exe\0\207\223\0\0\210\36 \0\0\0\345.\35R \0update\update.inf\0\374\17\0\0\17\262 \0\0\0\201,\325\225 \0update\eula.txt\0\337\0\0\0\13\302 \0\0\0\345.\240R \0update\update.ver\0\250&\266o\3426\0\200[\200\200\215\17 7\377\231\216\0`\6\05!\0`\0\0\375O{\357\336{\336\336{", ) , ) == 0x0
 03352   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03353   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03354   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03355   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8a97c, 0, 688, 1, ...
 03347  2016   NtUserWaitMessage  ... ) == 0x1
 03356  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03357  2016   NtUserDefSetText  (655682, 8387704, ... ) == 0x1
 03358  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 03359  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03360  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03361  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03362  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03363  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03355   896   NtUserMessageCall  ... ) == 0x1
 03364   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\ed0e5e2507d6768a972ae1c0794a\spuninst.exe"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 03365   896   NtClose  (-2147481368, ... ) == 0x0
 03356  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ) == 0x0
 03366  2016   NtUserWaitMessage  (...
 03364   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 03367   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "MZ\220\0\3\0\0\0\4\0\0\0\377\377\0\0\270\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\340\0\0\0\16\37\272\16\0\264\11\315!\270\1L\315!This program cannot be run in DOS mode.\15\15\12$\0\0\0\0\0\0\0\315\207^\372\211\3460\251\211\3460\251\211\3460\251\211\3460\251\213\3460\251s\305p\251\213\3460\251\211\3461\251~\3460\251s\305)\251\226\3460\251\36\305u\251\210\3460\251S\305,\251\232\3460\251s\305\15\251\210\3460\251Rich\211\3460\251\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0PE\0\0L\1\3\0\227\256o>\0\0\0\0\0\0\0\0\340\0\17\1\13\1\7\0\0\332\0\0\0\310\3\0\0\0\0\0-\317\0\0\0\20\0\0\0\360\0\0\0\0\0\1\0\20\0\0\0\2\0\0\5\0\1\0\5\0\1\0\4\0\0\0\0\0\0\0\0\300\4\0\0\4\0\0Ja\1\0\2\0\0\200\0\0\4\0\0\20\0\0\0\0\20\0\0\20\0\0\0\0\0\0\20\0\0\0\0\0\0\0\0\0\0\0L\324\0\0\30\1\0\0\0@\4\0(z\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\320\23\0\0\34\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\0\264\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0.text\0\0\0\224\331\0\0\0\20\0\0\0\332\0\0\0\4\0\0\0\0\0\0", 27827, 0x0, 0, ... , 27827, 0x0, 0, ...
 03368   896   NtContinue  (-135750188, 0, ...
 03367   896   NtWriteFile  ... {status=0x0, info=27827}, ) == 0x0
 03369   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\263\211r\6<7\0\200", ) , ) == 0x0
 03370   896   NtReadFile  (192, 0, 0, 0, 14140, 0x0, 0, ... {status=0x0, info=14140},  (192, 0, 0, 0, 14140, 0x0, 0, ... {status=0x0, info=14140}, "X\350\254"y\245\354S\305G\346_\241:\305\0=\222L)\376\32\0\347\317h)\301\345?\374Z\4b\311\330L|>-\336\216\316\217\250\305\265\317".\243\24>Y\312p\300\25\310\240Rhc\247J\26\11\312\315\240a\12\213\277]\300\273\377,\361\214\13+\224\212\351\312\35\2570\205x\263P\32\20\201\2248\37\224\2528U\31\371\342\333\335N\2\266\303b\201\241\37tq\340W\12U\25\36\11\343#0+\226\263\232\222\223$\267\3308>Z\5yen\207\15\247<\14\261\246\223\2.\230\246,J\243\315C\7\304\108\78\256\232:\367\201V%\207,\241\371\200\270\275\16\227\207!u\14."\221\255F\343\302V\235\323)[\226\200\307\267y\223(\365\352\232jF\325\320+~\253)\316V\306\301\336<\4\227\313\14\2355Q\315%\23\332?\322\350\263\262a\351\177"\35;\225<\32\205\204\264w\365+D\30\2676]^\260\16\263K\302\213\27\211.\374'73*9-\13\202P"\40\3148YW\31y2\327\202V\204\305)\317\225b;ERM\222\17\324\27+\15\333v\370k<4K\331\12\220E\257\302f\266U\342Z\312\241\230\354\245\306\222\3p\215\267N\373:S\242L<1&E\23\365\267\344\277\12\373y?\207\232\225K0G\305\225*\321\11\207\217O]\244\323\363\341\332\241\234\345\330\323\253\237\5\206\261\220\371\237O^\202hW9()E\332&h\242\372'\354.:7o\322\243j\301\23\3\12\311\251\210\252\346/\2767\360\13"yU\2\311+\321\313\13]S\203fPK\310\5\31\221", ) y\245\354S\305G\346_\241:\305\0=\222L)\376\32\0\347\317h)\301\345?\374Z\4b\311\330L|>-\336\216\316\217\250\305\265\3172647\34\264\354\374Lw\340'\303\275\367Y\325\221\274s\312\24\354'\265T\253\300\330\211\277)\330WS\332#\336\340\264wH\352\370W&\272L&\377 (192, 0, 0, 0, 14140, 0x0, 0, ... {status=0x0, info=14140}, "X\350\254"y\245\354S\305G\346_\241:\305\0=\222L)\376\32\0\347\317h)\301\345?\374Z\4b\311\330L|>-\336\216\316\217\250\305\265\317".\243\24>Y\312p\300\25\310\240Rhc\247J\26\11\312\315\240a\12\213\277]\300\273\377,\361\214\13+\224\212\351\312\35\2570\205x\263P\32\20\201\2248\37\224\2528U\31\371\342\333\335N\2\266\303b\201\241\37tq\340W\12U\25\36\11\343#0+\226\263\232\222\223$\267\3308>Z\5yen\207\15\247<\14\261\246\223\2.\230\246,J\243\315C\7\304\108\78\256\232:\367\201V%\207,\241\371\200\270\275\16\227\207!u\14."\221\255F\343\302V\235\323)[\226\200\307\267y\223(\365\352\232jF\325\320+~\253)\316V\306\301\336<\4\227\313\14\2355Q\315%\23\332?\322\350\263\262a\351\177"\35;\225<\32\205\204\264w\365+D\30\2676]^\260\16\263K\302\213\27\211.\374'73*9-\13\202P"\40\3148YW\31y2\327\202V\204\305)\317\225b;ERM\222\17\324\27+\15\333v\370k<4K\331\12\220E\257\302f\266U\342Z\312\241\230\354\245\306\222\3p\215\267N\373:S\242L<1&E\23\365\267\344\277\12\373y?\207\232\225K0G\305\225*\321\11\207\217O]\244\323\363\341\332\241\234\345\330\323\253\237\5\206\261\220\371\237O^\202hW9()E\332&h\242\372'\354.:7o\322\243j\301\23\3\12\311\251\210\252\346/\2767\360\13"yU\2\311+\321\313\13]S\203fPK\310\5\31\221", ) \221\255F\343\302V\235\323)[\226\200\307\267y\223(\365\352\232jF\325\320+~\253)\316V\306\301\336<\4\227\313\14\2355Q\315%\23\332?\322\350\263\262a\351\177 (192, 0, 0, 0, 14140, 0x0, 0, ... {status=0x0, info=14140}, "X\350\254"y\245\354S\305G\346_\241:\305\0=\222L)\376\32\0\347\317h)\301\345?\374Z\4b\311\330L|>-\336\216\316\217\250\305\265\317".\243\24>Y\312p\300\25\310\240Rhc\247J\26\11\312\315\240a\12\213\277]\300\273\377,\361\214\13+\224\212\351\312\35\2570\205x\263P\32\20\201\2248\37\224\2528U\31\371\342\333\335N\2\266\303b\201\241\37tq\340W\12U\25\36\11\343#0+\226\263\232\222\223$\267\3308>Z\5yen\207\15\247<\14\261\246\223\2.\230\246,J\243\315C\7\304\108\78\256\232:\367\201V%\207,\241\371\200\270\275\16\227\207!u\14."\221\255F\343\302V\235\323)[\226\200\307\267y\223(\365\352\232jF\325\320+~\253)\316V\306\301\336<\4\227\313\14\2355Q\315%\23\332?\322\350\263\262a\351\177"\35;\225<\32\205\204\264w\365+D\30\2676]^\260\16\263K\302\213\27\211.\374'73*9-\13\202P"\40\3148YW\31y2\327\202V\204\305)\317\225b;ERM\222\17\324\27+\15\333v\370k<4K\331\12\220E\257\302f\266U\342Z\312\241\230\354\245\306\222\3p\215\267N\373:S\242L<1&E\23\365\267\344\277\12\373y?\207\232\225K0G\305\225*\321\11\207\217O]\244\323\363\341\332\241\234\345\330\323\253\237\5\206\261\220\371\237O^\202hW9()E\332&h\242\372'\354.:7o\322\243j\301\23\3\12\311\251\210\252\346/\2767\360\13"yU\2\311+\321\313\13]S\203fPK\310\5\31\221", ) \40\3148YW\31y2\327\202V\204\305)\317\225b;ERM\222\17\324\27+\15\333v\370k<4K\331\12\220E\257\302f\266U\342Z\312\241\230\354\245\306\222\3p\215\267N\373:S\242L<1&E\23\365\267\344\277\12\373y?\207\232\225K0G\305\225*\321\11\207\217O]\244\323\363\341\332\241\234\345\330\323\253\237\5\206\261\220\371\237O^\202hW9()E\332&h\242\372'\354.:7o\322\243j\301\23\3\12\311\251\210\252\346/\2767\360\13 (192, 0, 0, 0, 14140, 0x0, 0, ... {status=0x0, info=14140}, "X\350\254"y\245\354S\305G\346_\241:\305\0=\222L)\376\32\0\347\317h)\301\345?\374Z\4b\311\330L|>-\336\216\316\217\250\305\265\317".\243\24>Y\312p\300\25\310\240Rhc\247J\26\11\312\315\240a\12\213\277]\300\273\377,\361\214\13+\224\212\351\312\35\2570\205x\263P\32\20\201\2248\37\224\2528U\31\371\342\333\335N\2\266\303b\201\241\37tq\340W\12U\25\36\11\343#0+\226\263\232\222\223$\267\3308>Z\5yen\207\15\247<\14\261\246\223\2.\230\246,J\243\315C\7\304\108\78\256\232:\367\201V%\207,\241\371\200\270\275\16\227\207!u\14."\221\255F\343\302V\235\323)[\226\200\307\267y\223(\365\352\232jF\325\320+~\253)\316V\306\301\336<\4\227\313\14\2355Q\315%\23\332?\322\350\263\262a\351\177"\35;\225<\32\205\204\264w\365+D\30\2676]^\260\16\263K\302\213\27\211.\374'73*9-\13\202P"\40\3148YW\31y2\327\202V\204\305)\317\225b;ERM\222\17\324\27+\15\333v\370k<4K\331\12\220E\257\302f\266U\342Z\312\241\230\354\245\306\222\3p\215\267N\373:S\242L<1&E\23\365\267\344\277\12\373y?\207\232\225K0G\305\225*\321\11\207\217O]\244\323\363\341\332\241\234\345\330\323\253\237\5\206\261\220\371\237O^\202hW9()E\332&h\242\372'\354.:7o\322\243j\301\23\3\12\311\251\210\252\346/\2767\360\13"yU\2\311+\321\313\13]S\203fPK\310\5\31\221", ) , ) == 0x0
 03371   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "L\21\0\1\203\370\377t\53\300@\353[9]$t\43\300\353R\213E\34SV\377u \203\310\1PS\377u\24\377u\20\377u\30S\377u\10\377\25D\22\0\1+\303t\32Ht\20Ht\11j\10\350\304\302\377\377\353\311j\2\353\32h\307\4\0\0\353\356\213E \213\327+\320\212\10\210\14\2@:\313u\366j\4X_^[\311\302 \0\213L$\4\213\301V\215p\1\212\20@\204\322u\371+\306\213\360t.N\212\24\16\200\372.t\15\200\372\t\6\205\366w\356\353\23\366\205\366v\24\213\320+\326\203\372\3w\4\3\301\353\17\306D\10\377_\353\17\306\4\10.\215D\10\1\306\0_\200`\1\0^\302\4\0\377t$\20\377t$\20\377t$\20j\0\377t$\24\377\25@\22\0\1\203\350\0t\35Ht\14Ht\4j\10\353\12j\2X\353\21h\307\4\0\0\350\16\302\377\3773\300\353\33\300@\302\20\0U\213\354\201\354\10\2\0\0S3\3339](t\73\300\351\370\0\0\0\213E\20\215P\1\212\10@:\313u\371VW+\302\277\4\1\0\0;\307r\73\300\351\325\0\0\0\213E\20\215\225\374\376\377\377+\320\212\10\210\14\2@:\313u\366\215\205\374\376\377\377P\3509\375\377\377\213\360\215\205\374\376\377\377;\360v\5\210^\377\353!\213E\20\215\215\375\376\377\377\210\235\374\376\377\377\215\265\375\376\377\377+\310\212\20\210\24\1@:\323u\366\377\25@\21\0\1SW\211E\20\215\205\370\375\377\377P\213E\34\203\310\1P\377u\30\215\205\374\376\377\377\377u\24VP\377u\14S\377u\10\377\25<\22\0\1\377u\20\213\370\377\25d\21\0\1\213\307+\303t\36Ht\14Ht\4j\10\353\12j\2X\353.h\307\4\0\0\350\32\301\377\377\351C", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03372   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "K)\275\305.%\0\200", ) , ) == 0x0
 03373   896   NtReadFile  (192, 0, 0, 0, 9518, 0x0, 0, ... {status=0x0, info=9518},  (192, 0, 0, 0, 9518, 0x0, 0, ... {status=0x0, info=9518}, "!\17<\344\220\207\336\253}v\237\0\254\360\337r\364\240\34\23\367\346Iu\211T}*\210\37Si%\27r\266:\306\225\1(L\241`QB\220r\370-R\251\224\3661-,\316\302`\237\221\336\231\217\201\246\266\31\316\314F\336\254\232\371\214\240\251\215v\263)\262#\221\371 \10\236\274%\303\331\226Y\323\331O\207l\357\223\354\33\0\275q\3\306>\307Z\251N\306\224\215\222\267\331\352p\302\223\148\331\376\351\236-\230\366\2\17\352\215p\2148\334.\6\305"\250\303SLF\364\21\3163KIc\332:\331`\13\230\276\371<\33\301\240\341fc\324\333fm\356-\14a\235g\233\337\275\177\324T\201?\217\233\13\224X\237Z\323-\210\262c\205A/3qv\21V\260\333\2641O\311b\365\204\337\2310\330\315\332\230\312\IZ\333\363h1\371\366\260>r\2456\371^\306Y\332L+_\262\373\204\334\33U\2729U\35\270\20b\215\360\321\240\361\347s\354\24m\200\233\323)]\321Z6~H\377ue\341\271-zp4\306\307\33\333\375\270\2765\327\245\254k\31-\232o+UD\371\343F\263\325F\361\245\342\260\310\27\261\334^TD\260]\250\10\376\24|\250Yz\355U\251\317\226\227\3161\212\200\227\3\252\\36Q:\246[\242\242\252\312\215\202\246\226&\246\32'}qI\34\210BT\304\334\211\327\250q\333\6\36e\264;}?\334\37\275P\305\314\3200\334m]mc\215^\243s\17\6\252\2229W\12\303\210\225\312\34;\240\202M\365s\247\33\207\353\247_=n\215Bs\3357\204\371V\3143\241\177N\374\374U+\347\302@\24\344L\13H\370\350W`X8\6\121j\205F\324BQ\j\250ZQ\241}r&\12&G\246\315\365b\376v\324\322*}\25\262V(z", ) \250\303SLF\364\21\3163KIc\332:\331`\13\230\276\371<\33\301\240\341fc\324\333fm\356-\14a\235g\233\337\275\177\324T\201?\217\233\13\224X\237Z\323-\210\262c\205A/3qv\21V\260\333\2641O\311b\365\204\337\2310\330\315\332\230\312\IZ\333\363h1\371\366\260>r\2456\371^\306Y\332L+_\262\373\204\334\33U\2729U\35\270\20b\215\360\321\240\361\347s\354\24m\200\233\323)]\321Z6~H\377ue\341\271-zp4\306\307\33\333\375\270\2765\327\245\254k\31-\232o+UD\371\343F\263\325F\361\245\342\260\310\27\261\334^TD\260]\250\10\376\24|\250Yz\355U\251\317\226\227\3161\212\200\227\3\252\\36Q:\246[\242\242\252\312\215\202\246\226&\246\32'}qI\34\210BT\304\334\211\327\250q\333\6\36e\264;}?\334\37\275P\305\314\3200\334m]mc\215^\243s\17\6\252\2229W\12\303\210\225\312\34;\240\202M\365s\247\33\207\353\247_=n\215Bs\3357\204\371V\3143\241\177N\374\374U+\347\302@\24\344L\13H\370\350W`X8\6\121j\205F\324BQ\j\250ZQ\241}r&\12&G\246\315\365b\376v\324\322*}\25\262V(z", ) == 0x0
 03374   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 28493, 0x0, 0, ... {status=0x0, info=28493}, ) , 28493, 0x0, 0, ... {status=0x0, info=28493}, ) == 0x0
 03375   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 03376   896   NtClose  (200, ... ) == 0x0
 03377   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03378   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03379   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 03366  2016   NtUserWaitMessage  ... ) == 0x1
 03380  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03381  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 03382  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010053
 03383  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 03381  2016   NtUserRedrawWindow  ... ) == 0x1
 03380  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ) == 0x0
 03384  2016   NtUserWaitMessage  (...
 03379   896   NtUserMessageCall  ... ) == 0x5
 03385   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, ";\37\0\0Mo\31\0\0\0\345.lS \0", ) , ) == 0x0
 03386   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03387   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03388   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256},  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "update\kb823980.cat\0\0J\0\0\210\216\31\0\0\0n.rf \0update\spcustom.dll\0\0F\6\0\210\330\31\0\0\0n.\34f`\0update\update.exe\0\207\223\0\0\210\36 \0\0\0\345.\35R \0update\update.inf\0\374\17\0\0\17\262 \0\0\0\201,\325\225 \0update\eula.txt\0\337\0\0\0\13\302 \0\0\0\345.\240R \0update\update.ver\0\250&\266o\3426\0\200[\200\200\215\17 7\377\231\216\0`\6\05!\0`\0\0\375O{\357\336{\336\336{\3333\273\3670\341F\330\236H\270\314f\206\305t\233\234j\330\330\326\346\334\330.$\242\20", ) , ) == 0x0
 03389   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03390   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03391   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03392   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8a97c, 0, 688, 1, ...
 03384  2016   NtUserWaitMessage  ... ) == 0x1
 03393  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03394  2016   NtUserDefSetText  (655682, 8387696, ... ) == 0x1
 03395  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 03396  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03397  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03398  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03399  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03400  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03392   896   NtUserMessageCall  ... ) == 0x1
 03401   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\ed0e5e2507d6768a972ae1c0794a\update\kb823980.cat"}, 0x0, 128, 3, 5, 96, 0, 0, ... ) }, 0x0, 128, 3, 5, 96, 0, 0, ... ) == STATUS_OBJECT_PATH_NOT_FOUND
 03402   896   NtCreateFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\C:\scripts"}, 0x0, 128, 3, 2, 16417, 0, 0, ... ) }, 0x0, 128, 3, 2, 16417, 0, 0, ... ) == STATUS_OBJECT_NAME_COLLISION
 03403   896   NtCreateFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\c:\ed0e5e2507d6768a972ae1c0794a"}, 0x0, 128, 3, 2, 16417, 0, 0, ... ) }, 0x0, 128, 3, 2, 16417, 0, 0, ... ) == STATUS_OBJECT_NAME_COLLISION
 03404   896   NtCreateFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\c:\ed0e5e2507d6768a972ae1c0794a\update"}, 0x0, 128, 3, 2, 16417, 0, 0, ... 200, {status=0x0, info=2}, ) }, 0x0, 128, 3, 2, 16417, 0, 0, ... 200, {status=0x0, info=2}, ) == 0x0
 03405   896   NtClose  (200, ... ) == 0x0
 03406   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\ed0e5e2507d6768a972ae1c0794a\update\kb823980.cat"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 03393  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ) == 0x0
 03407  2016   NtUserWaitMessage  (...
 03408   896   NtClose  (-2147481368, ... ) == 0x0
 03406   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 03409   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "0\202\377\6\11*\206H\206\367\15\1\7\2\240\202\37(0\202\37$\2\1\11\160\14\6\10*\206H\206\367\15\2\5\5\00\202\5\244\6\11+\6\1\4\1\2027\12\1\240\202\5\2250\202\5\2210\14\6\12+\6\1\4\1\2027\14\1\1\4\20w/\23T\177\215\24F\243\344\346\267\320-\243\33\27\15030705172058Z0\16\6\12+\6\1\4\1\2027\14\1\2\5\00\202\4\2400\202\1&\4R2\03\02\00\07\0B\06\03\0E\0A\0A\03\06\02\06\07\0B\0B\05\07\03\03\05\0E\0F\0F\0F\09\01\04\03\01\0B\0F\03\01\0F\0B\05\0B\0\0\01\201\3170b\6\12+\6\1\4\1\2027\14\2\21T0R\36L\0{\0C\06\08\09\0A\0A\0B\08\0-\08\0E\07\08\0-\01\01\0D\00\0-\08\0C\04\07\0-\00\00\0C\00\04\0F\0C\02\09\05\0E\0E\0}\2\2\2\00i\6\12+\6\1\4\1\2027\2\1\41[0Y04\6\12+\6\1\4\1\2027\2\1\170&\3\2\5\240\240 \242\36\200\34\0<\0<\0<\0O\0b\0s\0o\0l\0e\0t\0e\0>\0>\0>0!0\11\6\5+\16\3\2\32\5\0\4\24# {c\352\243bg\273W3^\377\371\241\2771\373[0\202\1&\4RB\0D\02\0B\0F\06\00\0F\08\06\0C\08\00\01\02\0A\0B\08\09\07\0C\0F\0E\07\06\08\02\01\08\0E\07\09\0", 4275, 0x0, 0, ... , 4275, 0x0, 0, ...
 03410   896   NtContinue  (-135750188, 0, ...
 03409   896   NtWriteFile  ... {status=0x0, info=4275}, ) == 0x0
 03411   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\6\231\227\327\214%\0\200", ) , ) == 0x0
 03412   896   NtReadFile  (192, 0, 0, 0, 9612, 0x0, 0, ... {status=0x0, info=9612},  (192, 0, 0, 0, 9612, 0x0, 0, ... {status=0x0, info=9612}, "\202\217[\2241D^\217\322\354\27E\Q\231\12\375\366g\314\263\2\347O\343\372n\2672\11c\34\220\313\337\277,\2663\316s\300\356\34'd\260Z\223D\302\22Z[\216\334?O\344\353m\235\223C\373\207\365M\254\315\22\232A\234r\302Ss\304\231f9Y\331K\236\216\330\320\5\321\362p\213vB7\12\337\344\336\212t\177\314t\376\273\341\2115}\336\303\302\344\210&\252u\47\304\231\322\377\313\254\220\210\326f\240?\266\343\362\232v\321\243I\370\212UX\37\225\216j\325`1d\263\4\336\35\222~,]\300\327D\362\260\11\212\25\210m\251V\31c\277K}\307x\230s*\373\217\20\230\217\266\5\334\213\353bF\322\375'\300\3\360Z\1\5t\12\376\25r\254\374\254\233\221\304\367\344MG\221\271\27\257\263D'7\342n\21\271\264\241=\37\301\275\357\263\4\206k\343\244\261\230l\23\314w\272\60\6Ws1\350\313\350\333\335b\244\376\302k\237\3<\355\307{\201|\322\227\373\37\227AT+\233\251\222\202\350\271gs1=r_\230#\350\301\265\321\363i\265\254\237\30\264fi\274X\22\321f\257\21b\316\305\221\244\7\356\345i\247=\225\322%\276G2\365\237)\267<\315\347\316\220\3\313\2029\351\314\377\257.\367yg\321\206\311\323\266\325g\357\221-\357mCuIK\202\374dJN\3660EP\234\345\323\311U>i\264\367\364l\224\265\247b\2723\216{Ns^AC\370\313\215\250\364\245XG#1\21\262K\33\364\353r\260\4\344\203\251\344\231\205\366\3#C\11M~\264\\7s-\327\321\303p\343<\250\356i\220\240 \363T\255\212\13\22\222\252S1\366\232\364\14\5\177\358w\301\216\6\336\347\2648e\17\311\256\201\25Sg\211\231S\341F#\312\304\237", ) , ) == 0x0
 03413   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\202\4\2170\202\3w\240\3\2\1\2\2\12a\5vt\0\0\0\0\0-0\15\6\11*\206H\206\367\15\1\1\5\5\00\201\2631\130\11\6\3U\4\6\23\2US1\130\11\6\3U\4\10\23\2WA1\200\16\6\3U\4\7\23\7Redmond1\360\34\6\3U\4\12\23\25Microsoft Corporation1+0)\6\3U\4\13\23"Copyright (c) 1999 Microsoft Corp.1806\6\3U\4\3\23/Microsoft Windows Verification Intermediate PCA0\36\27\15021018190214Z\27\15031218191214Z0\201\2541\130\11\6\3U\4\6\23\2US1\230\21\6\3U\4\10\23\12Washington1\200\16\6\3U\4\7\23\7Redmond1\360\34\6\3U\4\12\23\25Microsoft Corporation1+0)\6\3U\4\13\23"Copyright (c) 2002 Microsoft Corp.1)0'\6\3U\4\3\23 Microsoft Windows 2000 Publisher0\201\2370\15\6\11*\206H\206\367\15\1\1\1\5\0\3\201\215\00\201\211\2\201\201\0\254\372h\5\344WnZV\30\275\222\205*\245\364\264\337F\270)kR\374\277\247\365\335\37\366<\374\243\370\365\3\23@*_z\2", 3720, 0x0, 0, ... {status=0x0, info=3720}, ) Copyright (c) 1999 Microsoft Corp.1806\6\3U\4\3\23/Microsoft Windows Verification Intermediate PCA0\36\27\15021018190214Z\27\15031218191214Z0\201\2541\130\11\6\3U\4\6\23\2US1\230\21\6\3U\4\10\23\12Washington1\200\16\6\3U\4\7\23\7Redmond1\360\34\6\3U\4\12\23\25Microsoft Corporation1+0)\6\3U\4\13\23 (200, 0, 0, 0, "\202\4\2170\202\3w\240\3\2\1\2\2\12a\5vt\0\0\0\0\0-0\15\6\11*\206H\206\367\15\1\1\5\5\00\201\2631\130\11\6\3U\4\6\23\2US1\130\11\6\3U\4\10\23\2WA1\200\16\6\3U\4\7\23\7Redmond1\360\34\6\3U\4\12\23\25Microsoft Corporation1+0)\6\3U\4\13\23"Copyright (c) 1999 Microsoft Corp.1806\6\3U\4\3\23/Microsoft Windows Verification Intermediate PCA0\36\27\15021018190214Z\27\15031218191214Z0\201\2541\130\11\6\3U\4\6\23\2US1\230\21\6\3U\4\10\23\12Washington1\200\16\6\3U\4\7\23\7Redmond1\360\34\6\3U\4\12\23\25Microsoft Corporation1+0)\6\3U\4\13\23"Copyright (c) 2002 Microsoft Corp.1)0'\6\3U\4\3\23 Microsoft Windows 2000 Publisher0\201\2370\15\6\11*\206H\206\367\15\1\1\1\5\0\3\201\215\00\201\211\2\201\201\0\254\372h\5\344WnZV\30\275\222\205*\245\364\264\337F\270)kR\374\277\247\365\335\37\366<\374\243\370\365\3\23@*_z\2", 3720, 0x0, 0, ... {status=0x0, info=3720}, ) , 3720, 0x0, 0, ... {status=0x0, info=3720}, ) == 0x0
 03414   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 03415   896   NtClose  (200, ... ) == 0x0
 03416   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03417   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03418   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 03407  2016   NtUserWaitMessage  ... ) == 0x1
 03419  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03420  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 03421  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010053
 03422  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 03420  2016   NtUserRedrawWindow  ... ) == 0x1
 03419  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ) == 0x0
 03423  2016   NtUserWaitMessage  (...
 03418   896   NtUserMessageCall  ... ) == 0x6
 03424   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "\0J\0\0\210\216\31\0\0\0n.rf \0", ) , ) == 0x0
 03425   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03426   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03427   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ...
 03423  2016   NtUserWaitMessage  ... ) == 0x1
 03428  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03429  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 0, 670, 1, ... ) == 0x0
 03428  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ) == 0x0
 03430  2016   NtUserWaitMessage  (... ) == 0x1
 03431  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03432  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 0, 670, 1, ... ) == 0x0
 03431  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ) == 0x0
 03433  2016   NtUserWaitMessage  (... ) == 0x1
 03434  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03435  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 03434  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ) == 0x0
 03436  2016   NtUserWaitMessage  (...
 03427   896   NtReadFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "update\spcustom.dll\0\0F\6\0\210\330\31\0\0\0n.\34f`\0update\update.exe\0\207\223\0\0\210\36 \0\0\0\345.\35R \0update\update.inf\0\374\17\0\0\17\262 \0\0\0\201,\325\225 \0update\eula.txt\0\337\0\0\0\13\302 \0\0\0\345.\240R \0update\update.ver\0\250&\266o\3426\0\200[\200\200\215\17 7\377\231\216\0`\6\05!\0`\0\0\375O{\357\336{\336\336{\3333\273\3670\341F\330\236H\270\314f\206\305t\233\234j\330\330\326\346\334\330.$\242\20$I]\270$\4$\251\224\264$I'\225'\311$\311I\222\206k\40#Cg4\0w`\7\372\373\37\245", ) , ) == 0x0
 03437   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03438   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03439   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03440   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8a97c, 0, 688, 1, ...
 03436  2016   NtUserWaitMessage  ... ) == 0x1
 03441  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03442  2016   NtUserDefSetText  (655682, 8387696, ... ) == 0x1
 03443  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 03444  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03445  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03446  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03447  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03448  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03440   896   NtUserMessageCall  ... ) == 0x1
 03449   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\ed0e5e2507d6768a972ae1c0794a\update\spcustom.dll"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 03450   896   NtClose  (-2147481368, ... ) == 0x0
 03449   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 03451   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "MZ\220\0\3\0\0\0\4\0\0\0\377\377\0\0\270\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\350\0\0\0\16\37\272\16\0\264\11\315!\270\1L\315!This program cannot be run in DOS mode.\15\15\12$\0\0\0\0\0\0\0\321\12%\200\225kK\323\225kK\323\225kK\323\246In\323\227kK\323oH\13\323\224kK\323\225kJ\323\307kK\323oHR\323\204kK\323oHt\323\224kK\323\2H\16\323\224kK\323OHW\323\227kK\323oHv\323\224kK\323Rich\225kK\323\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0PE\0\0L\1\4\0\226\256o>\0\0\0\0\0\0\0\0\340\0\16-\13\1\7\0\0<\0\0\0\16\0\0\0\0\0\0p\36\0\0\0\20\0\0\0P\0\0\0\0@\0\0\20\0\0\0\2\0\0\5\0\1\0\5\0\1\0\4\0\0\0\0\0\0\0\0\200\0\0\0\4\0\0B0\1\0\3\0\0\0\0\0\4\0\0\20\0\0\0\0\20\0\0\20\0\0\0\0\0\0\20\0\0\0\20H\0\0\23\2\0\0,?\0\0\310\0\0\0\0`\0\0\30\4\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0p\0\0\370\2\0\0p\21\0\0\34\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\0l\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0.text\0\0\0#:\0\0\0\20\0\0\0<\0\0", 18944, 0x0, 0, ... , 18944, 0x0, 0, ...
 03452   896   NtContinue  (-135750188, 0, ...
 03451   896   NtWriteFile  ... {status=0x0, info=18944}, ) == 0x0
 03453   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 03454   896   NtClose  (200, ... ) == 0x0
 03441  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ) == 0x0
 03455  2016   NtUserWaitMessage  (...
 03456   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03457   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03458   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 03455  2016   NtUserWaitMessage  ... ) == 0x1
 03459  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03460  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 03461  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010053
 03462  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 03460  2016   NtUserRedrawWindow  ... ) == 0x1
 03459  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ) == 0x0
 03463  2016   NtUserWaitMessage  (...
 03458   896   NtUserMessageCall  ... ) == 0x7
 03464   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "\0F\6\0\210\330\31\0\0\0n.\34f`\0", ) , ) == 0x0
 03465   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03466   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03467   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256},  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "update\update.exe\0\207\223\0\0\210\36 \0\0\0\345.\35R \0update\update.inf\0\374\17\0\0\17\262 \0\0\0\201,\325\225 \0update\eula.txt\0\337\0\0\0\13\302 \0\0\0\345.\240R \0update\update.ver\0\250&\266o\3426\0\200[\200\200\215\17 7\377\231\216\0`\6\05!\0`\0\0\375O{\357\336{\336\336{\3333\273\3670\341F\330\236H\270\314f\206\305t\233\234j\330\330\326\346\334\330.$\242\20$I]\270$\4$\251\224\264$I'\225'\311$\311I\222\206k\40#Cg4\0w`\7\372\373\37\245>\337\213Z\363\345\316`M\34nB\263\244\314{\361\324\323^\253\36w\317\276\15\222A\222\316\365n\1\352\216\322", ) , ) == 0x0
 03468   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03469   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03470   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03471   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8a97c, 0, 688, 1, ...
 03463  2016   NtUserWaitMessage  ... ) == 0x1
 03472  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03473  2016   NtUserDefSetText  (655682, 8387700, ... ) == 0x1
 03474  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 03475  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03476  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03477  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03478  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03479  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03471   896   NtUserMessageCall  ... ) == 0x1
 03480   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\ed0e5e2507d6768a972ae1c0794a\update\update.exe"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 03481   896   NtClose  (-2147481368, ... ) == 0x0
 03472  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ) == 0x0
 03482  2016   NtUserWaitMessage  (...
 03480   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 03483   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "MZ\220\0\3\0\0\0\4\0\0\0\377\377\0\0\270\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\360\0\0\0\16\37\272\16\0\264\11\315!\270\1L\315!This program cannot be run in DOS mode.\15\15\12$\0\0\0\0\0\0\0N)\311\226\12H\247\305\12H\247\305\12H\247\3059j\202\305\10H\247\305\12H\247\305\10H\247\305\360k\347\305\13H\247\305\12H\246\305tI\247\305\360k\276\305#H\247\305\235k\342\305\13H\247\305\320k\273\305$H\247\305\360k\232\305\13H\247\305Rich\12H\247\305\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0PE\0\0L\1\3\0[\260o>\0\0\0\0\0\0\0\0\340\0\17\15\13\1\7\0\0\342\4\0\0\20\4\0\0\0\0\0\0\310\4\0\0\20\0\0\0\20\4\0\0\0\0\1\0\20\0\0\0\2\0\0\5\0\1\0CS P\4\0\0\0\0\0\0\0\0 \11\0\0\4\0\0\207\342\6\0\2\0\0\200\0\0\4\0\0\20\0\0\0\0\20\0\0\20\0\0\0\0\0\0\20\0\0\0\0\0\0\0\0\0\0\0\304\315\4\0\220\1\0\0\0\320\7\0\210B\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\200\361\4\08\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\04\6\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0.text\0\0\0\270\341\4\0", 10104, 0x0, 0, ... , 10104, 0x0, 0, ...
 03484   896   NtContinue  (-135750188, 0, ...
 03483   896   NtWriteFile  ... {status=0x0, info=10104}, ) == 0x0
 03485   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\260\23\24\326(.\0\200", ) , ) == 0x0
 03486   896   NtReadFile  (192, 0, 0, 0, 11816, 0x0, 0, ... {status=0x0, info=11816},  (192, 0, 0, 0, 11816, 0x0, 0, ... {status=0x0, info=11816}, "\211\23\342\3048qN\234\23'\304\211\350\342\320\322!\20\366\360UM(#??\203\15-\324\307\322\355\2244\331\34:\311\21\15\3\300rLvJ\230~\262\246\36\251\276\17yHA\330\261\277<\322\223\205pg\302=4A\15\20@u(\235\212\222M\256GPE\367\320s\335\226<\3K\222Z\222l\371(o\331\177.\210\34d\235\251\205\304\322\214\10rDwYG\2139\216&/2\337\245R\324GlJ\223\212X\242\20C\373\260\207Z(V\16Z\336\200CQ\372\235QK\331\360TVh\317\11\262uv\6\235\16\217j\271Xi\227\2151\362\356z\233K\322\33\356\16+\267\203el\235\364\317\233|\325\237\267\247`\370\371\251n\322\347L!\231*l\322P\242\333>\226Y\246\246\225\206l\241\316:\7\262\36\250JC\203\322\36\305\237\350\336<\23\35\327tT\270\223\263\17\303\203\217\330gg\376\260\12\235\215="\337\36tk\213\275\11b\223\237\353\243\370\372\314h\253\20\366\6a\36MJ\221#\335\202+>\210\21\323c\372\1^79&\212LP\32&\240\260jA\370&\3238\277K\230\341\345\365\341\344h2f\32\25\376!\223M\3253\31\253WZ\253/\211+!\362\324##\\37\20\3648\326\264\211\242\345\226\344\241B},\327V\253\347:P\20\223\252\206\17\244\262\374XK=\233~\366XIJ$\374\321\3556\255\201\260\211\22\322\4\177\224\357\275jM\273q\342\305`\321\325O\251e\370\351\212t\254\245\327\337\34\225\355\324TE\370\230K:\350g\10G\347\250\220\35W\21\257\237\366\12h\366\332\23Y\205\211\231.\3215p\364G\204dR\0\22\325J\363\311JPHQ\351Y \357\224W\222\340q\212\227O\354\330\263F\330J\21v\357\363'%I\222\274\3", ) \337\36tk\213\275\11b\223\237\353\243\370\372\314h\253\20\366\6a\36MJ\221#\335\202+>\210\21\323c\372\1^79&\212LP\32&\240\260jA\370&\3238\277K\230\341\345\365\341\344h2f\32\25\376!\223M\3253\31\253WZ\253/\211+!\362\324##\\37\20\3648\326\264\211\242\345\226\344\241B},\327V\253\347:P\20\223\252\206\17\244\262\374XK=\233~\366XIJ$\374\321\3556\255\201\260\211\22\322\4\177\224\357\275jM\273q\342\305`\321\325O\251e\370\351\212t\254\245\327\337\34\225\355\324TE\370\230K:\350g\10G\347\250\220\35W\21\257\237\366\12h\366\332\23Y\205\211\231.\3215p\364G\204dR\0\22\325J\363\311JPHQ\351Y \357\224W\222\340q\212\227O\354\330\263F\330J\21v\357\363'%I\222\274\3", ) == 0x0
 03487   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03488   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\3\260lV\230\32\0\200", ) , ) == 0x0
 03489   896   NtReadFile  (192, 0, 0, 0, 6808, 0x0, 0, ... {status=0x0, info=6808},  (192, 0, 0, 0, 6808, 0x0, 0, ... {status=0x0, info=6808}, "\357\26\244;\314X\354\226\331\243 G~<]c\363\205\364\206e\202A`+\347\315[\209(\215>\371\203\255q&\35{\240\366\243,\270\201W\313\200\332qs8\30\303\31/\220t\213%p'\3508\370\305\31\310\355X\216\274\316x*\220\215=\37AD\26\310\216T\10%'oY\246g\207\246\254\204g\230)\5\261p\340\15\365Mp\345\316\216\20\310\353:\362;\6\306:\345\223\365E\301rg\10\4}\236{8\307\363\202A\340pvi\210\261\320\275s\217\266\26\336;\205\31\5\241\357\242\267I\7\316\230\331\314\204\331G`\356\246\374\344p(\202\300g\310\307BT,93\206!\363\352-rB\2571\204j\367M\303\6\34\3634B\273#\203E8c\10\270\316\372\303\250\265y%\3037BEq\332\311\217\316\366\4\6+\16_\36\3473\325c\203z8"8\316\317\35\11\307\316g\221\20\353\343\2162:?6\204\6\373Y#G\35\333\27>l\362LT\234\364\236E\21\32&gW\221\326\345j\376_\346\352m\35\261N\317Y\4O\371\372#%y\257\177m\342ec\207/>\366\230\227\222\277\225u\272\245\271\2400\37ndg\177\3769\237\323>J\371\361\21\177\262\305`\2608\316\377\31\214}\360\375\340`\11g\355O\16\266\351A\246\271\370R#\217\362\246z\306\215h\236\225Ho\34\372Cf\240r\315\21B\247\374\305\250:\237E\322\201\316\21\276\314\260\215\34\202\2172B\1\346i\21,4\346\\4HnE\241\1\7a\25\327\316"\221\265z\356 \211\203\231\23\21R \202\15\307\362GH)\310\216\35,\371P\311}\341\2o\243H\204\257WpD\217\242\266\271\377\364Z\2446\343\306\31R2\361\205\377\304\177\10\341\373\322\227\225\231\342}\303\277\261\277\357"\237", ) 8\316\317\35\11\307\316g\221\20\353\343\2162:?6\204\6\373Y#G\35\333\27>l\362LT\234\364\236E\21\32&gW\221\326\345j\376_\346\352m\35\261N\317Y\4O\371\372#%y\257\177m\342ec\207/>\366\230\227\222\277\225u\272\245\271\2400\37ndg\177\3769\237\323>J\371\361\21\177\262\305`\2608\316\377\31\214}\360\375\340`\11g\355O\16\266\351A\246\271\370R#\217\362\246z\306\215h\236\225Ho\34\372Cf\240r\315\21B\247\374\305\250:\237E\322\201\316\21\276\314\260\215\34\202\2172B\1\346i\21,4\346\\4HnE\241\1\7a\25\327\316 (192, 0, 0, 0, 6808, 0x0, 0, ... {status=0x0, info=6808}, "\357\26\244;\314X\354\226\331\243 G~<]c\363\205\364\206e\202A`+\347\315[\209(\215>\371\203\255q&\35{\240\366\243,\270\201W\313\200\332qs8\30\303\31/\220t\213%p'\3508\370\305\31\310\355X\216\274\316x*\220\215=\37AD\26\310\216T\10%'oY\246g\207\246\254\204g\230)\5\261p\340\15\365Mp\345\316\216\20\310\353:\362;\6\306:\345\223\365E\301rg\10\4}\236{8\307\363\202A\340pvi\210\261\320\275s\217\266\26\336;\205\31\5\241\357\242\267I\7\316\230\331\314\204\331G`\356\246\374\344p(\202\300g\310\307BT,93\206!\363\352-rB\2571\204j\367M\303\6\34\3634B\273#\203E8c\10\270\316\372\303\250\265y%\3037BEq\332\311\217\316\366\4\6+\16_\36\3473\325c\203z8"8\316\317\35\11\307\316g\221\20\353\343\2162:?6\204\6\373Y#G\35\333\27>l\362LT\234\364\236E\21\32&gW\221\326\345j\376_\346\352m\35\261N\317Y\4O\371\372#%y\257\177m\342ec\207/>\366\230\227\222\277\225u\272\245\271\2400\37ndg\177\3769\237\323>J\371\361\21\177\262\305`\2608\316\377\31\214}\360\375\340`\11g\355O\16\266\351A\246\271\370R#\217\362\246z\306\215h\236\225Ho\34\372Cf\240r\315\21B\247\374\305\250:\237E\322\201\316\21\276\314\260\215\34\202\2172B\1\346i\21,4\346\\4HnE\241\1\7a\25\327\316"\221\265z\356 \211\203\231\23\21R \202\15\307\362GH)\310\216\35,\371P\311}\341\2o\243H\204\257WpD\217\242\266\271\377\364Z\2446\343\306\31R2\361\205\377\304\177\10\341\373\322\227\225\231\342}\303\277\261\277\357"\237", ) \237", ) == 0x0
 03490   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\377\377\377\351\276!\0\0\377\250\22\0\1\211\205x\377\377\377\213\205x\377\377\377\351\247!\0\0\353\21\213E\370\301\340\20\15\4\200\0\0P\350\310\371\377\377\213M\370\306\201\320\22\5\1\0\213U\370\306\202\270\22\5\1\0\213E\370\306\200\240\22\5\1\0\213M\370\213U\370\213\4\225x\17\5\1\211\4\215\350\15\5\1\213M\370\213\24\215\20\23\5\1\203:\377u\17\213E\370\306\200\374\22\5\1\0\351\262\0\0\0\213M\370\213\24\315l\20\5\1R\213\4\315h\20\5\1Pj\4\213M\370\215\24\215\310\17\5\1R\213E\370\215\14\205\310\17\5\1Q\350p$\0\0\213U\3703\300f\213\4UP\17\5\1\213M\370\213\24\215\310\17\5\1\3\320\213E\370\211\24\205\310\17\5\1\213M\370\213\24\315l\20\5\1R\213\4\315h\20\5\1Pj\4\213M\370\215\24\215\310\17\5\1R\213E\370\215\14\205\310\17\5\1Q\350\333&\0\0\213U\370\213\4\225\20\23\5\1\213M\370f\213\20f\211\24MP\17\5\1\213E\370\213\14\205\20\23\5\1\203\301\2\213U\370\211\14\225\20\23\5\1\213E\3703\311\212\210\0\24\5\1\205\311~7\213U\370\213\4\225\210\16\5\1P\377\25\\22\0\1\205\300u\27\377\250\22\0\1\211\205t\377\377\377\213\205t\377\377\377\351W \0\0\215\54\265\0\1\211E\350\353\10\215e\20\351\303\0\0\0\213E\350\351< \0\0\350\343(\0\0\211E\370\213M\3703\322\212\221\0\24\5\1\205\322~\13\215\5<\265\0\1\211E\350\353\10\215e\14\351\230\0\0\0\213E\350\351\12 \0\0\350\261(\0\0P\353\25\350\251(\0\0PP\3774\205\250\21\5\1\377\25\\22\0\1Xj\377\3774\205X\21\5\1\377\25X\22\0\1X\213\14\205\350\15\5\1\215\35\324\257", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03491   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\247'S\214\342\37\0\200", ) , ) == 0x0
 03492   896   NtReadFile  (192, 0, 0, 0, 8162, 0x0, 0, ... {status=0x0, info=8162},  (192, 0, 0, 0, 8162, 0x0, 0, ... {status=0x0, info=8162}, "b\16}C\12\354\312\3513#}\277\301\320\363>\275,\260s\257\261\275,R\314\3536uhoV\4\252\304\215\32\324\261i\324TlM\346E\277\304n@$ :\242\242\243b\266\237P\306\347\204\15B\22\311\21^\317!5a`d_\121\240\21BBB\270:\304\5!BP\370C\202c\210,\251qD-\330\27\372t\334\342\314\1\301O\211yc\322*/\307\23\260\362\361dD\24\351\370\214X\#\302\6\2140vp\354`H\10\35\327\10\214\337H\240\14G~\337\307\21\266]\310\30"\20\217\367\350\35b\214\5\314L\214P\234\204\366\350\161\271\14\3\210\355\262x\331\366\240'\226 B\3\345b\344\207OO\257'y\347\35\357,\270\30E\355s\23\207\355MY\177\264\230\350V\345n\362\14\337\16;\346\256\212\17+\342\367\273T>\370kKbN\251\\335c\257\340\276d|\17\25\207Wu\253\32\277\217|`\346\206\7\226u]\230\300s\362E\7E`\375n\372`%\235\365\337\300\36>h\33Y=\367F\22>\342BB\331\5\366\234\315\263G\340\200\321\356\3755\246awG\247\33m\362\210\22\361\351\14\305\34\245yY\3\260\230"\336Jw\307&\351<\177\366h:\216\326\375_t\347uq\260?\35\353\310\307\306\36\341\212\231\327\372\375C\35\200\307\14\26\22\26M\355y~\35\205\350\213\214\213k\222\222A\235(;\361m\305B\231\315/na\3011\177S\211\177\271\245t}\251\354\323~1]i\24p\260(i4\242\273\247F$\307\274\310\205\370w\335}\326TS\266\311\13B\337^&k\26j\14\4}\266\36%W\4\5\303\336\347\260\341\10c\377u0\6\353\305\373\234\303\352\17/\314\331\341\316cq\33rP\250\327\374l\232\247\321)r\303\341\201\14?\230", ) \20\217\367\350\35b\214\5\314L\214P\234\204\366\350\161\271\14\3\210\355\262x\331\366\240'\226 B\3\345b\344\207OO\257'y\347\35\357,\270\30E\355s\23\207\355MY\177\264\230\350V\345n\362\14\337\16;\346\256\212\17+\342\367\273T>\370kKbN\251\\335c\257\340\276d|\17\25\207Wu\253\32\277\217|`\346\206\7\226u]\230\300s\362E\7E`\375n\372`%\235\365\337\300\36>h\33Y=\367F\22>\342BB\331\5\366\234\315\263G\340\200\321\356\3755\246awG\247\33m\362\210\22\361\351\14\305\34\245yY\3\260\230 (192, 0, 0, 0, 8162, 0x0, 0, ... {status=0x0, info=8162}, "b\16}C\12\354\312\3513#}\277\301\320\363>\275,\260s\257\261\275,R\314\3536uhoV\4\252\304\215\32\324\261i\324TlM\346E\277\304n@$ :\242\242\243b\266\237P\306\347\204\15B\22\311\21^\317!5a`d_\121\240\21BBB\270:\304\5!BP\370C\202c\210,\251qD-\330\27\372t\334\342\314\1\301O\211yc\322*/\307\23\260\362\361dD\24\351\370\214X\#\302\6\2140vp\354`H\10\35\327\10\214\337H\240\14G~\337\307\21\266]\310\30"\20\217\367\350\35b\214\5\314L\214P\234\204\366\350\161\271\14\3\210\355\262x\331\366\240'\226 B\3\345b\344\207OO\257'y\347\35\357,\270\30E\355s\23\207\355MY\177\264\230\350V\345n\362\14\337\16;\346\256\212\17+\342\367\273T>\370kKbN\251\\335c\257\340\276d|\17\25\207Wu\253\32\277\217|`\346\206\7\226u]\230\300s\362E\7E`\375n\372`%\235\365\337\300\36>h\33Y=\367F\22>\342BB\331\5\366\234\315\263G\340\200\321\356\3755\246awG\247\33m\362\210\22\361\351\14\305\34\245yY\3\260\230"\336Jw\307&\351<\177\366h:\216\326\375_t\347uq\260?\35\353\310\307\306\36\341\212\231\327\372\375C\35\200\307\14\26\22\26M\355y~\35\205\350\213\214\213k\222\222A\235(;\361m\305B\231\315/na\3011\177S\211\177\271\245t}\251\354\323~1]i\24p\260(i4\242\273\247F$\307\274\310\205\370w\335}\326TS\266\311\13B\337^&k\26j\14\4}\266\36%W\4\5\303\336\347\260\341\10c\377u0\6\353\305\373\234\303\352\17/\314\331\341\316cq\33rP\250\327\374l\232\247\321)r\303\341\201\14?\230", ) , ) == 0x0
 03493   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\0\220\220\220      TargetExists: %s\12\0      SP_COPY_???\12\0\220      SP_COPY_NOPRUNE\12\0\220      SP_COPY_REPLACE_BOOT_FILE\12\0\220\220\220      SP_COPY_OEMINF_CATALOG_ONLY\12\0\220      SP_COPY_SOURCE_SIS_MASTER\12\0\220\220\220      SP_COPY_NEWER_ONLY\12\0\220\220      SP_COPY_NOBROWSE\12\0      SP_COPY_WARNIFSKIP\12\0\220\220      SP_COPY_NEWER_OR_SAME\12\0\220\220\220      SP_COPY_FORCE_NEWER\12\0\220      SP_COPY_FORCE_NOOVERWRITE\12\0\220\220\220      SP_FLAG_CABINETCONTINUATION\12\0\220      SP_COPY_NOSKIP\12\0\220\220      SP_COPY_FORCE_IN_USE\12\0      SP_COPY_IN_USE_NEEDS_REBOOT\12\0\220      SP_COPY_SOURCE", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03494   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\5 l\360\2060\0\200", ) , ) == 0x0
 03495   896   NtReadFile  (192, 0, 0, 0, 12422, 0x0, 0, ... {status=0x0, info=12422},  (192, 0, 0, 0, 12422, 0x0, 0, ... {status=0x0, info=12422}, "\300\\12\26\252\257\221\321\26\35\264\360*J\\2261\266g\267\324\211\272\367\276\334\253\346\266\204|[G\226(\361|\363\3563o\340nd\323c\363\351\377\331\244\373G[\372\177\361/\315K\342\23\304'\375O\3\376\327<\230\261\211S\212\353\274\256\342[F\201\335\265e\215\344\3465\363r\35\11N\217pc\303\363D\35e%s\311\306\250\240\207\353\302/\22y\271\216\34\224\204\223\353\250\207\221<\351G\371\363\\361\330B?\256\243'g\363\344\35\245\217\202\364\203^'\32\230\353\\0X%P\372\7\222\225q\353f\0\257\223\7\313\7\221\372\6\343\354FA\216X\253\5\0\303$gy\362\336\3\216\7%\4\201\36H\22,N\200p\177\37%1\334\220\1\0\15\3\361\17\310=@\366@\334\3\200\17@>\6\373\74\16\340\216\201\35\3>\6\360\7\202\0x\301?\203\221\4%\31\4 8\312@\4\1\24\4 \10 \360\203\203\4,\20$e\260\313\240\227\2011\2034\4\300\2\1\212\210\2403\3h\6\220\10 <$?\250\310<8<`3\340f\20\377@<\0#\14\36\36\344\31$3\320x\300g\260\215\300?\3\200\6\220\4\2\20\15B\22\30hP\224\340H\3\250\4P\32\200%\200\364@\375\250~0=8=\2604\220z\240i@\365\201\323\300\372\240\365p\375\300~d?\274\36\240\11\17$\15b\32<5\200j\20\325@\252\1W\203", ) , ) == 0x0
 03496   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "      File      \15\12\0\220\12Enumerating fixes: %s \12\0\220\220\220\12Enumerating SPs: %s \12\0\220FileIsBlocked: File %14s version %016I64X is blocked from installation \12\0\220\220\220\356\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\1\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\13\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\220\220\220\220\0\0\0\0\2260\7w,a\16\356\272Q\11\231\31\304m\7\217\364jp5\245c\351\243\225d\2362\210\333\16\244\270\334y\36\351\325\340\210\331\322\227+L\266\11\275|\261~\7-\270\347\221\35\277\220d\20\267\35\362 \260jHq\271\363\336A\276\204}\324\332\32\353\344\335mQ\265\324\364\307\205\323\203V\230l\23\300\250kdz\371b\375\354\311e\212O\\1\24\331l\6cc=\17\372\365\15\10\215\310 n;^\20iL\344A`\325rqg\242\321\344\3, 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03497   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\242F\267b~9\0\200", ) , ) == 0x0
 03498   896   NtReadFile  (192, 0, 0, 0, 14718, 0x0, 0, ... {status=0x0, info=14718},  (192, 0, 0, 0, 14718, 0x0, 0, ... {status=0x0, info=14718}, "\333\23Y\10[\331\313i\3\323\376\3525\370\377v\267\220k&+E\305\236\320\314\214\362C>=\220\2058\212\217\22\235\214\201\324\373\304\25+9\246\363\360\262\330\367b=\337\332[%%z<\35;\37k!\4qD\377\277I\37\301\342\2437.Q\250,\16\312\375Qx\355\273\365\316\201\6\346\250\233\222\225,X\331\332\377"p\316\270\347\256sz\324A\343\307[\351\214]s\360:\275\10x \242\374\263\12o\233\306\230-1\343F\246IF\330\371\372;\226Cn\233\2646\235f\273\317\1776\253\361\236\205&\7(,\235\234Y\311\351\261\255\22\227n\316*/\214\326g\207\234L\4\342\313t\272\347\301\256\273\202\306\1\261\347\306\234\261E9/\311U\330H \30\371\312\222\340\333\16Pf\313\257\266\337#\10\312k\347\322\244Rp\27J\373\224X.r\6\234\223\363\302#vb\2\340\364\316B\221\261\363\33\304\330m\320C\203\234k\206>6\237GP\364\304ok\357qq\265q\177n\355\323.M\305|J\35>\205\261Q"\206\255\255GrH\244o\327\125\247\357|\212z\326\23\345w9\224\342{\217\244\226\233\1\3`\24\374\35\227d\271\332\273&\357\17\232\372\263V\313\204\223@\241`~h\23\2-?\24<\341\323\352b~3\375C\247\250\371No1-,b\335F\330\233e\267@\256?\346\37\370\326\353\36SS\7!Q\11\305\344^\215\36~D\372\304\234#K\306\331\232\341`\347\316\22 \10M\251v\30f\263\303\325\363L\233\230o\2769\346\327\246\14\355m\213\225\300\36\357\221\272\340\220\274\277g\224\324kW\246hL\372\237\253j\377\343\315\364\376\235\256\356\360:\2352Tr\313\352\201\256\336\275\270\360\363}\246\266\265N\306%\365\367\364\5\25>Q\203\373\217H\16>\14", ) p\316\270\347\256sz\324A\343\307[\351\214]s\360:\275\10x \242\374\263\12o\233\306\230-1\343F\246IF\330\371\372;\226Cn\233\2646\235f\273\317\1776\253\361\236\205&\7(,\235\234Y\311\351\261\255\22\227n\316*/\214\326g\207\234L\4\342\313t\272\347\301\256\273\202\306\1\261\347\306\234\261E9/\311U\330H \30\371\312\222\340\333\16Pf\313\257\266\337#\10\312k\347\322\244Rp\27J\373\224X.r\6\234\223\363\302#vb\2\340\364\316B\221\261\363\33\304\330m\320C\203\234k\206>6\237GP\364\304ok\357qq\265q\177n\355\323.M\305|J\35>\205\261Q (192, 0, 0, 0, 14718, 0x0, 0, ... {status=0x0, info=14718}, "\333\23Y\10[\331\313i\3\323\376\3525\370\377v\267\220k&+E\305\236\320\314\214\362C>=\220\2058\212\217\22\235\214\201\324\373\304\25+9\246\363\360\262\330\367b=\337\332[%%z<\35;\37k!\4qD\377\277I\37\301\342\2437.Q\250,\16\312\375Qx\355\273\365\316\201\6\346\250\233\222\225,X\331\332\377"p\316\270\347\256sz\324A\343\307[\351\214]s\360:\275\10x \242\374\263\12o\233\306\230-1\343F\246IF\330\371\372;\226Cn\233\2646\235f\273\317\1776\253\361\236\205&\7(,\235\234Y\311\351\261\255\22\227n\316*/\214\326g\207\234L\4\342\313t\272\347\301\256\273\202\306\1\261\347\306\234\261E9/\311U\330H \30\371\312\222\340\333\16Pf\313\257\266\337#\10\312k\347\322\244Rp\27J\373\224X.r\6\234\223\363\302#vb\2\340\364\316B\221\261\363\33\304\330m\320C\203\234k\206>6\237GP\364\304ok\357qq\265q\177n\355\323.M\305|J\35>\205\261Q"\206\255\255GrH\244o\327\125\247\357|\212z\326\23\345w9\224\342{\217\244\226\233\1\3`\24\374\35\227d\271\332\273&\357\17\232\372\263V\313\204\223@\241`~h\23\2-?\24<\341\323\352b~3\375C\247\250\371No1-,b\335F\330\233e\267@\256?\346\37\370\326\353\36SS\7!Q\11\305\344^\215\36~D\372\304\234#K\306\331\232\341`\347\316\22 \10M\251v\30f\263\303\325\363L\233\230o\2769\346\327\246\14\355m\213\225\300\36\357\221\272\340\220\274\277g\224\324kW\246hL\372\237\253j\377\343\315\364\376\235\256\356\360:\2352Tr\313\352\201\256\336\275\270\360\363}\246\266\265N\306%\365\367\364\5\25>Q\203\373\217H\16>\14", ) , ) == 0x0
 03499   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\377\377PS\215E\354P\377\326\205\300tCSW\215\205\344\375\377\377Pj\1\215E\354P\377\326\205\300t.\215\205\350\376\377\377hD\13\1\1P\377\25\310\23\0\1\205\300YYu\26SSS\215\205\344\375\377\377P\377u\14\350\321\372\377\377\205\300t\24\215E\354P\215E\354P\377\25D\25\0\1\205\300u\227\353\26\377\250\22\0\1Ph\4\13\1\1\350\302h\2\0YY\211]\374_^\213E\374[\311\302\10\0U\213\354\203}\20\11s\25h\244\13\1\1\350\316.\2\0jz\350\313\365\377\3773\300\3536V\215E\20P\377u\10\350\235\272\377\377\213\360\205\366t\26\377u\20h\234\13\1\1\377u\14\377\25\300\23\0\1\203\304\14\353\12hh\13\1\1\350\220.\2\0\213\306^]\302\14\0U\213\354\201\354@\1\0\0SV\213u\143\3339\36u^9]\20uYh\0\1\0\0\215\205\300\376\377\377Ph\27\360\0\0S\210\235\300\376\377\377\210]\300\350\11\277\377\377j@\215E\300Ph\20\360\0\0S\350\370\276\377\377h4\1\1\0\215E\300P\215\205\300\376\377\377P\377u\10\350\277X\2\0\203\370\6u\73\300@\211\6\353\73\300\353\33\300@^[\311\302\14\0U\213\354\201\354\10\6\0\0SW\3775\142\5\13\377G\350D\352\377\3773\333;\303u\21h\310\14\1\1\350\345-\2\03\300\351\342\0\0\0V\276\4\1\0\0V\215\215\370\375\377\377Qh\274\14\1\1P\350?"\2\0V\215\205\374\376\377\377Ph\254\14\1\1\215\205\370\375\377\377P\350&"\2\0Sj\2S\215\205\374\376\377\377P\377\25\24\25\0\1\213\360\203\376\377tzSh\0\4\0\0\215\205\370\371\377\377Ph\214\14\1\1h\204\14\1\1VS\377\25<\25\0\1\213\370;", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \2\0V\215\205\374\376\377\377Ph\254\14\1\1\215\205\370\375\377\377P\350& (200, 0, 0, 0, "\377\377PS\215E\354P\377\326\205\300tCSW\215\205\344\375\377\377Pj\1\215E\354P\377\326\205\300t.\215\205\350\376\377\377hD\13\1\1P\377\25\310\23\0\1\205\300YYu\26SSS\215\205\344\375\377\377P\377u\14\350\321\372\377\377\205\300t\24\215E\354P\215E\354P\377\25D\25\0\1\205\300u\227\353\26\377\250\22\0\1Ph\4\13\1\1\350\302h\2\0YY\211]\374_^\213E\374[\311\302\10\0U\213\354\203}\20\11s\25h\244\13\1\1\350\316.\2\0jz\350\313\365\377\3773\300\3536V\215E\20P\377u\10\350\235\272\377\377\213\360\205\366t\26\377u\20h\234\13\1\1\377u\14\377\25\300\23\0\1\203\304\14\353\12hh\13\1\1\350\220.\2\0\213\306^]\302\14\0U\213\354\201\354@\1\0\0SV\213u\143\3339\36u^9]\20uYh\0\1\0\0\215\205\300\376\377\377Ph\27\360\0\0S\210\235\300\376\377\377\210]\300\350\11\277\377\377j@\215E\300Ph\20\360\0\0S\350\370\276\377\377h4\1\1\0\215E\300P\215\205\300\376\377\377P\377u\10\350\277X\2\0\203\370\6u\73\300@\211\6\353\73\300\353\33\300@^[\311\302\14\0U\213\354\201\354\10\6\0\0SW\3775\142\5\13\377G\350D\352\377\3773\333;\303u\21h\310\14\1\1\350\345-\2\03\300\351\342\0\0\0V\276\4\1\0\0V\215\215\370\375\377\377Qh\274\14\1\1P\350?"\2\0V\215\205\374\376\377\377Ph\254\14\1\1\215\205\370\375\377\377P\350&"\2\0Sj\2S\215\205\374\376\377\377P\377\25\24\25\0\1\213\360\203\376\377tzSh\0\4\0\0\215\205\370\371\377\377Ph\214\14\1\1h\204\14\1\1VS\377\25<\25\0\1\213\370;", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03500   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "~\13v\257\3529\0\200", ) , ) == 0x0
 03501   896   NtReadFile  (192, 0, 0, 0, 14826, 0x0, 0, ... {status=0x0, info=14826},  (192, 0, 0, 0, 14826, 0x0, 0, ... {status=0x0, info=14826}, "\262d\316um\263(b\2\273\270\326\377H\211\215\37\364\34r\300\312\355\340Q\364\350\315\370\264+X\\356\204\255\32\375\177\17\373\24r.HI\22B\301Vw\226I.Q\23D\34\242\33\345\275g\14\34\371}Ej\69[Py\223L@\321\221\266\33b\307p\336\35nF\360\205\21\304\304|p\223\303\14\247\251(a\321\254\221\307?\343\3307\317+&-\357\5\266n\35\362\225\300^\366\221\34\275\11\2527eh\202*\235\315\374\270+C}o.s'%\316>\332\211V0\230\264\341\26\22,\12\320\373r%\235\252\347\21\232\263\200&\326.$\23\215%p\347\345R\265\108\247"y|3A\256\202\370\3746d\232\245\0\303\272\261\226@[k*op\340\333\241\301\231\213\306xG\230\243\13o\11\372\311\17\33c\244 \332\333\331\233\237h1>\324u\241\13VpF\216\351\300\362\275Z\203\334\20\223\330\254\367\24\330\271#\330\277\277\315K\315M\257w#\17uWn\206\310K\36_d\30\372\347\7\317\5\213\12\214\356\34\377\223\277\273\7\300{N\341\306\342_\206\17\364\251\350\333\256A\272\274@?\345\272\7\374z \232\337\22458\302\374^2\352\177u\323\261\227\233*\251\340H\3142<\14\367\311PTQ,jNM\200@\324eQ\207\234G!_z\305\317{\240\362\374s\207\254"N\230\346gU\242\300c\32\211}\357\232\356s\227\244\11\177O\212AMW\274\6\375\330\304N\262R\216@O\232)&\352\310\21\332L\15\355\270\222\241N\353\224f\357o\215\233^W\26\212\370\301\14\332\207\276\321#\327\26\273f\207\222\311\206 \262\3\34;\257\302\377\246;\3227A\343\204:\2332\305\1221R\1O\335\372\330P.\355\340!`\231\264\337\3,\266\21b\310\230=\240", ) y|3A\256\202\370\3746d\232\245\0\303\272\261\226@[k*op\340\333\241\301\231\213\306xG\230\243\13o\11\372\311\17\33c\244 \332\333\331\233\237h1>\324u\241\13VpF\216\351\300\362\275Z\203\334\20\223\330\254\367\24\330\271#\330\277\277\315K\315M\257w#\17uWn\206\310K\36_d\30\372\347\7\317\5\213\12\214\356\34\377\223\277\273\7\300{N\341\306\342_\206\17\364\251\350\333\256A\272\274@?\345\272\7\374z \232\337\22458\302\374^2\352\177u\323\261\227\233*\251\340H\3142<\14\367\311PTQ,jNM\200@\324eQ\207\234G!_z\305\317{\240\362\374s\207\254 (192, 0, 0, 0, 14826, 0x0, 0, ... {status=0x0, info=14826}, "\262d\316um\263(b\2\273\270\326\377H\211\215\37\364\34r\300\312\355\340Q\364\350\315\370\264+X\\356\204\255\32\375\177\17\373\24r.HI\22B\301Vw\226I.Q\23D\34\242\33\345\275g\14\34\371}Ej\69[Py\223L@\321\221\266\33b\307p\336\35nF\360\205\21\304\304|p\223\303\14\247\251(a\321\254\221\307?\343\3307\317+&-\357\5\266n\35\362\225\300^\366\221\34\275\11\2527eh\202*\235\315\374\270+C}o.s'%\316>\332\211V0\230\264\341\26\22,\12\320\373r%\235\252\347\21\232\263\200&\326.$\23\215%p\347\345R\265\108\247"y|3A\256\202\370\3746d\232\245\0\303\272\261\226@[k*op\340\333\241\301\231\213\306xG\230\243\13o\11\372\311\17\33c\244 \332\333\331\233\237h1>\324u\241\13VpF\216\351\300\362\275Z\203\334\20\223\330\254\367\24\330\271#\330\277\277\315K\315M\257w#\17uWn\206\310K\36_d\30\372\347\7\317\5\213\12\214\356\34\377\223\277\273\7\300{N\341\306\342_\206\17\364\251\350\333\256A\272\274@?\345\272\7\374z \232\337\22458\302\374^2\352\177u\323\261\227\233*\251\340H\3142<\14\367\311PTQ,jNM\200@\324eQ\207\234G!_z\305\317{\240\362\374s\207\254"N\230\346gU\242\300c\32\211}\357\232\356s\227\244\11\177O\212AMW\274\6\375\330\304N\262R\216@O\232)&\352\310\21\332L\15\355\270\222\241N\353\224f\357o\215\233^W\26\212\370\301\14\332\207\276\321#\327\26\273f\207\222\311\206 \262\3\34;\257\302\377\246;\3227A\343\204:\2332\305\1221R\1O\335\372\330P.\355\340!`\231\264\337\3,\266\21b\310\230=\240", ) , ) == 0x0
 03502   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\5\1\353\35\213\154\35\5\1\211\201\10\2\0\0\2434\35\5\1\353\12h\260?\1\1\350E\257\1\0_^[\311\302\14\0j$h\220A\1\1\350\265Y\1\03\366\211u\344\21150\35\5\1\21154\35\5\1\215E\340Pj\3Vh\A\1\1h\2\0\0\200\377\25\4\20\0\1\211E\334;\306\17\205\250\1\0\0\211u\374\215E\344PVVVh@A\1\1\377u\340\213=\10\20\0\1\377\327\211E\334;\306u^\377u\344\377\25(\23\0\1Y\213\330\211]\330;\336u\26h\10A\1\1\350\301\256\1\0\307E\334\10\0\0\0\351U\1\0\0\215E\344PSVVh@A\1\1\377u\340\377\327\211E\334;\306t Ph\340@\1\1\350d\350\1\0S\377\25\\23\0\1\203\304\14\211u\330\351 \1\0\0\213]\3309u\334\17\205\24\1\0\0\213\373\211}\324\213\303\215p\1\212\10@\204\311u\371+\306\215t\30\1\211u\320h\264@\1\1\350P\256\1\0\213E\344\3\303;\360sD\377u\10VW\350\276\374\377\377VW\350V\372\377\377\213\306\215x\1\212\10@\204\311u\371+\307\215|0\1\211}\324\213\307\215p\1\212\10@\204\311u\371+\306\215t8\1\211u\320j\1\350\345\361\377\377\353\263\215E\344PS\350\311\366\377\377\270\200@\1\1P\350\356\255\1\0\213\313\211M\324\213\303\215p\1\212\20@\204\322u\371+\306\215t\30\1\211u\320\213}\344\215\4;;\360s0VQ\350\343\371\377\377\213\306\215x\1\212\10@\204\311u\371+\307\215L0\1\211M\324\213\301\215p\1\212\20@\204\322u\371+\306\215t\10\1\353\303\213\303\215P\1\212\10@\204\311u\371+\302\211E\314t\26WSj\7j\0h@A\1\1\377u\340\377\25$\20\0\1\353", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03503   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "-\237\204\234n0\0\200", ) , ) == 0x0
 03504   896   NtReadFile  (192, 0, 0, 0, 12398, 0x0, 0, ... {status=0x0, info=12398},  (192, 0, 0, 0, 12398, 0x0, 0, ... {status=0x0, info=12398}, "@\5'\325\26\3633\17\377\340\340\3631\377a\372K\22\347\30\225\366\326\271\321\274\357\300\12\15\243\15 \257d\235-\251\3\210f\364\303h\335\227E\32\207\21\337\340\11\250\220\252e\222Lf\7\311\364\227Hr\262\222\36\271\365+\353nE4\275!\232\342\35+G\205y%"\223\332\370A\235=\336:y\257O(\373\315\316\17\337\353\2544\177\300\361L\6\370\207\2305\32\3459\4\177\360\34\267\242\203\247\21\3145\316\260&!\223Dq\263/}\251\373Px\215m)\275}\273\377\22\235sV/+\217\346\340\306\241\351+\376\260p\375w\224A\325a\247\272\377\300t\253\377\243\13\230}\340+\231\233G\235\224\220lk\6\256\254\266\311\3771X\177\271\33\3407\351Jp\307?~\254\2N7\242\261\362c\374\13 o{\301;\30\214\303+\241\373\177\235\260=223\332\370A\235=\336:y\257O(\373\315\316\17\337\353\2544\177\300\361L\6\370\207\2305\32\3459\4\177\360\34\267\242\203\247\21\3145\316\260&!\223Dq\263/}\251\373Px\215m)\275}\273\377\22\235sV/+\217\346\340\306\241\351+\376\260p\375w\224A\325a\247\272\377\300t\253\377\243\13\230}\340+\231\233G\235\224\220lk\6\256\254\266\311\3771X\177\271\33\3407\351Jp\307?~\254\2N7\242\261\362c\374\13 o{\301;\30\214\303+\241\373\177\235\260=316{8\36bA\5`)WJl\355'K\2\302\376^i\307\243_\352\211\361\21\211*\250\233\244Ml\341n\21\31.v8\26\6\226\31\23\334`\303g`L?\26\230h\372\220r\265p/\347\371Q..\312\3619V\324\354\315K\341yx\211\25\261\333\14a\17\273\363\315T\332\235}\257\247\351\372.SS\343\277t\220\272\307\244\342\222\350)\36,7\277\0\242\262\334{(=\353\207?<\270\374\357\3764\3\220O\350p\275\224\334X\37\251e&9\371\245}\11s\244\261\316n\254A<\17\331\210\336G\372\315\31\274\202P\17h4\237sn\227\311\21\300\254\262JL\213\356\305\14w\5W\234\35P\2742\5h\337\273\234H\210\302\347\241\270T\7L\233\33\4\203\211q\341\204Ds\223\7h$\356\266\273O\230TH\274\365\246|JWR\15[\346\206\279bs\322\0\1\233\0\224=\216w\302\275x\361*", ) == 0x0
 03505   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\20uFV\215\205\354\376\377\377Ph\224\371\0\1S\350\312#\1\0V\215\205\354\376\377\377P\215\205\324\374\377\377P\215\205\354\376\377\377P\350\257#\1\0W\377u\30\215\205\354\376\377\377\377u\24\377u\20WWP\350k\302\377\377\215\205\250\374\377\377P\377u\14\377\25\354\22\0\1\205\300u\235\377u\14\377\25\350\22\0\1\353\33\377\250\22\0\1P\215\205\354\376\377\377Ph\300l\1\1\350\270h\1\0\203\304\14\215E\360P\215E\360P\377\25D\25\0\1\205\300t\36WV\215\205\350\375\377\377PWW\215E\360WP\377\25<\25\0\1\205\300\17\205\375\376\377\377\215E\360PWh\204\371\0\1\377u\10\377\258\25\0\1\351\341\0\0\0V\215\205\354\376\377\377Phx\371\0\1S\350\2#\1\0V\215\205\354\376\377\377P\215\205\350\375\377\377P\215\205\354\376\377\377P\350\347"\1\0\215\205\250\374\377\377P\215\205\354\376\377\377P\377\25\360\22\0\1\203\370\377\211E\14tn\366\205\250\374\377\377\20uFV\215\205\354\376\377\377Phx\371\0\1S\350\257"\1\0V\215\205\354\376\377\377P\215\205\324\374\377\377P\215\205\354\376\377\377P\350\224"\1\0W\377u\30\215\205\354\376\377\377\377u\24\377u\20WWP\350P\301\377\377\215\205\250\374\377\377P\377u\14\377\25\354\22\0\1\205\300u\235\377u\14\377\25\350\22\0\1\353\33\377\250\22\0\1P\215\205\354\376\377\377Ph\300l\1\1\350\235g\1\0\203\304\14\215E\360P\215E\360P\377\25D\25\0\1\205\300t\36WV\215\205\350\375\377\377PWW\215E\360WP\377\25<\25\0\1\205\300\17\205\375\376\377\377\215E\360PWh\240l\1\1\377u\10\377\258\25\0\1\205\300\17\204\355\0\0\0\377%$\1\5\1\234`\377t$", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \1\0\215\205\250\374\377\377P\215\205\354\376\377\377P\377\25\360\22\0\1\203\370\377\211E\14tn\366\205\250\374\377\377\20uFV\215\205\354\376\377\377Phx\371\0\1S\350\257 (200, 0, 0, 0, "\20uFV\215\205\354\376\377\377Ph\224\371\0\1S\350\312#\1\0V\215\205\354\376\377\377P\215\205\324\374\377\377P\215\205\354\376\377\377P\350\257#\1\0W\377u\30\215\205\354\376\377\377\377u\24\377u\20WWP\350k\302\377\377\215\205\250\374\377\377P\377u\14\377\25\354\22\0\1\205\300u\235\377u\14\377\25\350\22\0\1\353\33\377\250\22\0\1P\215\205\354\376\377\377Ph\300l\1\1\350\270h\1\0\203\304\14\215E\360P\215E\360P\377\25D\25\0\1\205\300t\36WV\215\205\350\375\377\377PWW\215E\360WP\377\25<\25\0\1\205\300\17\205\375\376\377\377\215E\360PWh\204\371\0\1\377u\10\377\258\25\0\1\351\341\0\0\0V\215\205\354\376\377\377Phx\371\0\1S\350\2#\1\0V\215\205\354\376\377\377P\215\205\350\375\377\377P\215\205\354\376\377\377P\350\347"\1\0\215\205\250\374\377\377P\215\205\354\376\377\377P\377\25\360\22\0\1\203\370\377\211E\14tn\366\205\250\374\377\377\20uFV\215\205\354\376\377\377Phx\371\0\1S\350\257"\1\0V\215\205\354\376\377\377P\215\205\324\374\377\377P\215\205\354\376\377\377P\350\224"\1\0W\377u\30\215\205\354\376\377\377\377u\24\377u\20WWP\350P\301\377\377\215\205\250\374\377\377P\377u\14\377\25\354\22\0\1\205\300u\235\377u\14\377\25\350\22\0\1\353\33\377\250\22\0\1P\215\205\354\376\377\377Ph\300l\1\1\350\235g\1\0\203\304\14\215E\360P\215E\360P\377\25D\25\0\1\205\300t\36WV\215\205\350\375\377\377PWW\215E\360WP\377\25<\25\0\1\205\300\17\205\375\376\377\377\215E\360PWh\240l\1\1\377u\10\377\258\25\0\1\205\300\17\204\355\0\0\0\377%$\1\5\1\234`\377t$", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \1\0W\377u\30\215\205\354\376\377\377\377u\24\377u\20WWP\350P\301\377\377\215\205\250\374\377\377P\377u\14\377\25\354\22\0\1\205\300u\235\377u\14\377\25\350\22\0\1\353\33\377\250\22\0\1P\215\205\354\376\377\377Ph\300l\1\1\350\235g\1\0\203\304\14\215E\360P\215E\360P\377\25D\25\0\1\205\300t\36WV\215\205\350\375\377\377PWW\215E\360WP\377\25<\25\0\1\205\300\17\205\375\376\377\377\215E\360PWh\240l\1\1\377u\10\377\258\25\0\1\205\300\17\204\355\0\0\0\377%$\1\5\1\234`\377t$", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03506   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\275\323^\12\354D\0\200", ) , ) == 0x0
 03507   896   NtReadFile  (192, 0, 0, 0, 17644, 0x0, 0, ... {status=0x0, info=17644},  (192, 0, 0, 0, 17644, 0x0, 0, ... {status=0x0, info=17644}, "%t\305I\271\340\363a\345\266\253\371\344\327\35\273\232\316\15\37nI\347\206\305\15L\234\213\204\201\250{i\6j\337\237\230\37GX\23\352v\224\334\302g\312\347\332\13n\21\177\3340\237\203\256G3\361\1\301\231\246+R7RA+%+\236Fg\6\323hq\300\376\335=\317\234\320\26\10\2243\375z\240\227x\312\253\300\325\231F\271\321\337d\366\27\345\206\235\215(-]\221y\212\250\267]\21\2419\256\373\310j$\217\30#\206\332\341\33x\335V\326\253\2006cy9\252\340\332$<\264\2419\266\251g\376\254bU\34\243]_\361\227<\216\317\355\217\344\31\355\241-W\251\277<\25o\30\235\250\35\304%\372\267Y?\37\236H\243\4'\221c\303\300\227\254\242\347\347\330rE\215Q\306\306>\371l\342\332YFb\220\3420<\14\353hf\363\273\271\354\306"\351\375\2728\314\370\31\244\30#`\204\221\270\21\262+ <\!\365%!u\31\217,>\11\3\373Q\376D\334\355\265\347\236\335\315d\12\204~\30e\276\313\221\263\330\227\6T\07\345YUH\336K:\320\261b\224\325\3\376\2045\316\255\301\4&\241\30\305n\216\177\262\332\352\326K\354\301\275\302\321~:\246r\15\270\322s\223z\265\305\302\355\235\372\325\227\220\3454\344\332\322\25M\336\205\32\313\270\2236\352n\26h\333M5\216\373\352@\355F\234xR\214ou\376\213\204\206\256\27\2'O\354\210\362\377\30\257!\224\352\355c\216\35r\320\226\242\34s@x\256\225m#\311\3711[\225\204\27^QEgZ\343\266o\5\325Z\276\375t\244G7=\356\323sY\15@\252"L\377\372\233rl\252 \23Z\32\357\270\317#\372I\254_8\21\314d\347\300Y\307a>y=\227v\2771\303\234\254\337\357J\15\357\346\255", ) \351\375\2728\314\370\31\244\30#`\204\221\270\21\262+ <\!\365%!u\31\217,>\11\3\373Q\376D\334\355\265\347\236\335\315d\12\204~\30e\276\313\221\263\330\227\6T\07\345YUH\336K:\320\261b\224\325\3\376\2045\316\255\301\4&\241\30\305n\216\177\262\332\352\326K\354\301\275\302\321~:\246r\15\270\322s\223z\265\305\302\355\235\372\325\227\220\3454\344\332\322\25M\336\205\32\313\270\2236\352n\26h\333M5\216\373\352@\355F\234xR\214ou\376\213\204\206\256\27\2'O\354\210\362\377\30\257!\224\352\355c\216\35r\320\226\242\34s@x\256\225m#\311\3711[\225\204\27^QEgZ\343\266o\5\325Z\276\375t\244G7=\356\323sY\15@\252 (192, 0, 0, 0, 17644, 0x0, 0, ... {status=0x0, info=17644}, "%t\305I\271\340\363a\345\266\253\371\344\327\35\273\232\316\15\37nI\347\206\305\15L\234\213\204\201\250{i\6j\337\237\230\37GX\23\352v\224\334\302g\312\347\332\13n\21\177\3340\237\203\256G3\361\1\301\231\246+R7RA+%+\236Fg\6\323hq\300\376\335=\317\234\320\26\10\2243\375z\240\227x\312\253\300\325\231F\271\321\337d\366\27\345\206\235\215(-]\221y\212\250\267]\21\2419\256\373\310j$\217\30#\206\332\341\33x\335V\326\253\2006cy9\252\340\332$<\264\2419\266\251g\376\254bU\34\243]_\361\227<\216\317\355\217\344\31\355\241-W\251\277<\25o\30\235\250\35\304%\372\267Y?\37\236H\243\4'\221c\303\300\227\254\242\347\347\330rE\215Q\306\306>\371l\342\332YFb\220\3420<\14\353hf\363\273\271\354\306"\351\375\2728\314\370\31\244\30#`\204\221\270\21\262+ <\!\365%!u\31\217,>\11\3\373Q\376D\334\355\265\347\236\335\315d\12\204~\30e\276\313\221\263\330\227\6T\07\345YUH\336K:\320\261b\224\325\3\376\2045\316\255\301\4&\241\30\305n\216\177\262\332\352\326K\354\301\275\302\321~:\246r\15\270\322s\223z\265\305\302\355\235\372\325\227\220\3454\344\332\322\25M\336\205\32\313\270\2236\352n\26h\333M5\216\373\352@\355F\234xR\214ou\376\213\204\206\256\27\2'O\354\210\362\377\30\257!\224\352\355c\216\35r\320\226\242\34s@x\256\225m#\311\3711[\225\204\27^QEgZ\343\266o\5\325Z\276\375t\244G7=\356\323sY\15@\252"L\377\372\233rl\252 \23Z\32\357\270\317#\372I\254_8\21\314d\347\300Y\307a>y=\227v\2771\303\234\254\337\357J\15\357\346\255", ) , ) == 0x0
 03508   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\33M\374\211E\370\211M\374\203}\374\0w\11\201}\370\0F\303#r\6\213?\205\377u\260\205\377\17\205q\1\0\0\366C\10\20tX\215\2058\376\377\377;\330uNh\4\1\0\0\215\205\360\372\377\377Ph\20\225\1\1h\300\232\5\1\350\217\243\0\0\213E\360\377pT\215\205\360\372\377\377P\215ChP\350\270\26\377\377\205\300\17\204(\1\0\03\300\212\214\5\360\372\377\377\210\214\5\240\376\377\377@\204\311u\355j(\215E\260P\377u\24S\377u\360\3509\304\376\377\203\370\1\211E\354t\11\203\370\2\17\205\360\0\0\0\215\2058\376\377\377;\330\17\205\266\0\0\0\213E\10\212\10\213U\340\210\14\2@\204\311u\363\215\205\240\376\377\377\215H\1\212\20@\204\322u\371+\301\215\274\5\240\376\377\377\213F\14\273\377\377\377\177#\303P\215F\24PW\377\25\324\23\0\1\213F\14#\303\203\304\14\200$8\0\215\205\240\376\377\377\215H\1\212\20@\204\322u\371+\301\213\15\0\34\5\1\215Pp\350\37]\0\0\213\330\205\333tEj\34Y\215\2658\376\377\377\213\373\363\245\215\225\240\376\377\377\213\313+\312\215\205\240\376\377\377\215Qh\212\10\210\14\2@\204\311u\366\213E\360\213HH\211\13\211XH\203K\10\4\366C\10\20t\6\213@T\211CL\203}\354\2u&\205\333t"\215E\260PS\350\216\300\376\377\205\300u\24h\300\224\1\1\307\5H\240\5\1\1\0\0\0\350\317\255\0\0\200\275\360\372\377\377\0t\24\215\205\360\372\377\377P\377\25<\22\0\1\200\245\360\372\377\377\0\213E\350;E s\3\377E\350\215\205\370\374\377\377P\377u\364\377\25\354\22\0\1\205\300\17\205\253\374\377\377\377u\364\377\25\350\22\0\1\213u\344\377\25\320\22\0\1+E\334Ph\224\224\1\1\350A", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \215E\260PS\350\216\300\376\377\205\300u\24h\300\224\1\1\307\5H\240\5\1\1\0\0\0\350\317\255\0\0\200\275\360\372\377\377\0t\24\215\205\360\372\377\377P\377\25<\22\0\1\200\245\360\372\377\377\0\213E\350;E s\3\377E\350\215\205\370\374\377\377P\377u\364\377\25\354\22\0\1\205\300\17\205\253\374\377\377\377u\364\377\25\350\22\0\1\213u\344\377\25\320\22\0\1+E\334Ph\224\224\1\1\350A", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03509   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\363*\13Z\342'\0\200", ) , ) == 0x0
 03510   896   NtReadFile  (192, 0, 0, 0, 10210, 0x0, 0, ... {status=0x0, info=10210},  (192, 0, 0, 0, 10210, 0x0, 0, ... {status=0x0, info=10210}, "^p}\251\345-\374w\20\233\375\277d\243\20{\3619\227\262\257\337&\366\277f)H$\246\276\2655\340i(-Vl\315\242[\320\5|[6\374C\322\17bOHO\202\310\252\2477\253\266\354o\34 \346F\262\22\216\213P:\303t\32k\237W=\35\227\232\373,S\355\363\223\265mg\216\266d\323ABb\207\333/\344Q\312\265\327\366\372\276\261\373#\310\3562\16\3432n37\327\356d\30\317\374\16\350#\364\342\274=\306\247 \243\235]\314\60cy'\21\223\375b\365z\343)\275\12\234g$\356\15\261+t>\30eR\360\316k\31\277O\373B\336\22_{)\21\341\206\350w=M\346\355{\16C\215\320\312N\4`\234\362\270\204\343\32\325\210\240\350\220K\244\11\232\343\251\210\260\250\222\351\254\333pZ\204\324\265Xr1\325\272\245\255\14\331\232\20\267l\376\303;\35\30N\277$\374%\225\314\334\342\216\365\237Y?(\321f\203\241w\30\3\265\357Fc4M\275\344\331\7\7!\223SW5\371%\235)\330\16\325/\15\367R\220\240Y\313\372LW\3KK\226\330\271\177(<4\256\14d\35\227G\13\264\374E\271X\306\16d\262\37\222s4\306\1770\204\129.\364\233\11\270\6\235\16\27\360\364\255_n\212\317\343\344\354\254\370N\311\6\353\332\277\361S\253Ry\215k\272{\256\361\35B<\33\276U\345\210C\357>n\3151Y\230\342\246\353\305\2610\234\5\352\251'\332\261\206\376N\7\267~\311\357<\331\227j\241\356i\311z\225\177q\363\365\334\233\353\212\317\4\24`\365\304\34\257\21\321\34\264Sd\224q\205\302\222x\272]\336\20XP\330\375s~\266=\336\330'\344\267\267\1U\306$o\271v\332\333Ut\320g+\246\371qi\2-\33\247k$\365.\354.\260", ) , ) == 0x0
 03511   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\377\377\353\7\307F \1\0\0\0_^[]\302\10\0U\213\354\203\354$\377u\20\213M\10\377u\14\215E\350Pj\2Z\350\310\357\377\377\203e\374\0\205\300\211E\340tW\213M\350\203e\354\0Vj\0\3\310j\2\211M\344\213M\10Z\350h\357\377\377\213u\30\213\320\213\316\211U\364\350\276\363\377\377\377u\340\211E\370\213E\24\211E\360\215E\334P\211u\334\350h\376\377\377\203}\374\0^t\17h\4A\16\300\377\25|\21\0\13\300\353\33\300@\311\302\24\0j\20h\340\270\1\1\350G\331\377\3773\366\211u\3443\333C\211]\340\213E\34\213x\14;\376t\23\213H\43\300\213\321\301\351\2\363\253\213\312\203\341\3\363\2529u u\26\213M\24\350\342\334\377\377\211E\344\211E ;\306\17\204H\1\0\0\211u\374\377u \377u\24\377u\20\377u\14\350C\375\377\377\203M\374\377\353\163\300@\303\213e\350\203M\374\3773\333C\204]\10u$\211]\374\377u \377u\34\377u\24\377u\20\377u\14\350\17\364\377\377\353\73\300@\303\213e\350\203M\374\377j\2X\204E\10u$\211E\374\377u \377u\34\377u\24\377u\20\377u\14\350\205\370\377\377\353\73\300@\303\213e\350\203M\374\377\366E\10\4u(\307E\374\3\0\0\0\377u \377u\34\377u\24\377u\20\377u\14\350\24\367\377\377\353\73\300@\303\213e\350\203M\374\377\366E\10\10u(\307E\374\4\0\0\0\377u \377u\34\377u\24\377u\20\377u\14\350\336\371\377\377\353\73\300@\303\213e\350\203M\374\377\366E\10\20u(\307E\374\5\0\0\0\377u \377u\34\377u\24\377u\20\377u\14\350E\373\377\377\353\73\300@\303\213e\350\203M\374\377\366E\10 u/\203e", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03512   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\352\6d\24\10\33\0\200", ) , ) == 0x0
 03513   896   NtReadFile  (192, 0, 0, 0, 6920, 0x0, 0, ... {status=0x0, info=6920},  (192, 0, 0, 0, 6920, 0x0, 0, ... {status=0x0, info=6920}, "\310.\21 \243Z\233\263\336\266\32u:iG\10\200\364Z\356\235;\10\2\243\246ce\364\5\330_\347\0\257\251\13(\211\342f\265*\342@n\2025$\203\14\2466v\200;\240\375\4\342\226\224\347\235\2\315\2fV<\27Z\248\6b\343T\1l\24\376^\374\222-L^\12\376\316\216\11g\370\371\366\2025\306bO\365F\340\263`\211}\332\08H\315N\215\304R\236\262R\242\23\223\376\342\245\243\220\376\242\36\204CH\344c\216\13\306\275\300\25\355-\4\22\200\310\220#@`4U\12\7\354\12&\203@C\327[\311W\253wK\2468U\367\26U\15\37\32Q\245\201\314X\244-\3004\\275\256\27\323\226\4i\300)\330\233\33/\14\323P'\17\322\311\231\255\0b+#\7j7Tu\23\231\223\363\203(6\240\0D\302\334\364*H\371\262\265>\264L\370$N\320\311\345T\2\215\301\263\4\300A\304%\234\244\346\340V\202\321<\232T\345\3221N\33\367>\325\315(~\3121\315\206\332liR\320\232\331\177\6\237\325\254W\352\24\11\20\177\302m\250\352\215\265S&!\363\366T\263\3\374\374Q\245\336\243\351\254\177>\365\237/+{\341\362\2\204\344r\7\0g+\356_nb96T\203\6`\311\226\211\301\332\4\12\242a\264\354\230d\3\373\356P\331K \301\3\250\13[\17\246"\6;\364\10\215\334\247WzI\302\231CP\2\341\10F\343\314m\35  \11g\227a\360\300(%`\4\323\204A\23\224\24qV\6\&\251\212\223\342\310\364\355\235\260\257\213\13M\246n\201\331\3\225\30\200-\227 \351Y\221\320\300\352G\36\2526\340Q\14\316>&\324#\27\315\372\217\4L\265\3546\33t>`\341\6HZ\342\266H]\200\376h|\360P\265\354\12\203\20D\252", ) \6;\364\10\215\334\247WzI\302\231CP\2\341\10F\343\314m\35  \11g\227a\360\300(%`\4\323\204A\23\224\24qV\6\&\251\212\223\342\310\364\355\235\260\257\213\13M\246n\201\331\3\225\30\200-\227 \351Y\221\320\300\352G\36\2526\340Q\14\316>&\324#\27\315\372\217\4L\265\3546\33t>`\341\6HZ\342\266H]\200\376h|\360P\265\354\12\203\20D\252", ) == 0x0
 03514   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "]\364u2\377\250\22\0\1P\215\205\334\376\377\377Phh\322\1\1\353B\377u\20h\234r\1\1V\350\310\333\377\377\205\300t\35V\377\25\30\25\0\1\203M\374\377\377u\20\377u\14\377u\10\350\253\333\377\377\205\300u\35\377\250\22\0\1P\215\205\330\375\377\377Ph \322\1\1\350\330\350\377\377\203\304\14\353ES\215\205\334\376\377\377P\215\205\330\375\377\377P\377\25\224\22\0\1\205\300u$\377\250\22\0\1P\215\205\334\376\377\377P\215\205\330\375\377\377Ph\334\321\1\1\350\233\350\377\377\203\304\20\353\103\300@\211\7\211E\370\377u\20\377\25\340\21\0\18\235\330\375\377\377_^[t\15\215\205\330\375\377\377P\377\25<\22\0\1\203}\374\377t\11\377u\374\377\25\30\25\0\1\213E\370\311\302\14\0U\213\354\201\3540\5\0\0SV\273\4\1\0\0S\215\205\324\373\377\3773\366P\211u\374\377\258\22\0\1\205\300t\22S\215\205\320\372\377\377P\377\25\230\22\0\1\205\300u\73\300\351*\3\0\0W\215E\344PV\377u\20\377u\10\377\258\25\0\1\205\300\17\204\7\3\0\0V\351\247\2\0\0j\0S\215\205\334\375\377\377Pj\2\215E\344P\377\254\25\0\1\205\300u\23\212\214\5\340\376\377\377\210\214\5\334\375\377\377@\204\311u\355\213E\24\205\300tW\215\225\330\374\377\377+\320\212\10\210\14\2@\204\311u\366\215\205\340\376\377\377\213\320\212\10@\204\311u\371\215\275\330\374\377\377+\302O\212O\1G\204\311u\370\213\310\301\351\2\213\362\363\245\213\310\203\341\3\363\2443\300\212\214\5\330\374\377\377\210\214\5\340\376\377\377@\204\311u\355\200%\240\311\6\1\0\200%\240\311\5\1\0\276\372\377\0\0V\277\240\311\5\1W\215\205\340\376\377\377P\215\205\324\373\377\377P", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03515   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "[\117{\276\14\0\200", ) , ) == 0x0
 03516   896   NtReadFile  (192, 0, 0, 0, 3262, 0x0, 0, ... {status=0x0, info=3262},  (192, 0, 0, 0, 3262, 0x0, 0, ... {status=0x0, info=3262}, "\356\217\250\10\321\360\34n\325\222\6mW\320\347KiX>l\237g\354\224\207)\274p\17\355\371\215\301y\3158\223\245o\354\353l\315\362\265\322\267vfi\206e\261\354\357x\315\36\245\254\306\226\322f\21G\206\202\15\324z\276g\305S\347\257\372*\347\321\350F\243\301\323\313\363\356\251\260\213\346d\354\246\373R\274\274\355\1\265\357\254\207#\27Z\254\20F\276{\241\3255\371\35\210\225\215\363\377B\346"A\277Y\275TKs\373w'\31\371\207\222L\316k\202\221\210\333\273\2034\245\365\257v\337\210\361\326\333E\32\210G\256\253\301)\201C\364\323\224\201?\337\355\253\252\20\336d5ij\242\377\321M\7/\272xk\242\211\300\30\360\177\206\13\23Y\214\11\11\343\272>\374\267\226\24\271F\341\317su\315\356\37xk\341\356\242\342h\217\244oW\326G@\22U\251W\362M\240\22\177\263ti.xNrg\235\1^\210\241\273`/\203o\274\356m\202\317y\254*\356\354\300\211u\3?i\313\17\6\227l\254\207\33\363\235du%p\224y\340p\202\119\310\377MZ\366\254\376\235\346\241\373\236\374\363\323\371@\370\224\241\214"\270\3763\2337\337\2012\312w\15\211\206-\255\266\33\307\254\23w\315\14R\273\357O\12H\264\23]z\205-Eh\13\357*\334\314\23R\225\206\226\357H\2\153v\207\340Y\272a\346\222\372\365(\320\3009\225>\314U\211\321w\35)\30\365\370Q\20l\214\202\14Ol_\271\2411\331\254\253\20C\275|\260\2242E\210\341\\335-\322\374\217\1GU/\365\265Y"]\14\347#g\252\353\265\206\366H\5j*\237\352Q\217", ) \207)\274p\17\355\371\215\301y\3158\223\245o\354\353l\315\362\265\322\267vfi\206e\261\354\357x\315\36\245\254\306\226\322f\21G\206\202\15\324z\276g\305S\347\257\372*\347\321\350F\243\301\323\313\363\356\251\260\213\346d\354\246\373R\274\274\355\1\265\357\254\207#\27Z\254\20F\276{\241\3255\371\35\210\225\215\363\377B\346 (192, 0, 0, 0, 3262, 0x0, 0, ... {status=0x0, info=3262}, "\356\217\250\10\321\360\34n\325\222\6mW\320\347KiX>l\237g\354\224\207)\274p\17\355\371\215\301y\3158\223\245o\354\353l\315\362\265\322\267vfi\206e\261\354\357x\315\36\245\254\306\226\322f\21G\206\202\15\324z\276g\305S\347\257\372*\347\321\350F\243\301\323\313\363\356\251\260\213\346d\354\246\373R\274\274\355\1\265\357\254\207#\27Z\254\20F\276{\241\3255\371\35\210\225\215\363\377B\346"A\277Y\275TKs\373w'\31\371\207\222L\316k\202\221\210\333\273\2034\245\365\257v\337\210\361\326\333E\32\210G\256\253\301)\201C\364\323\224\201?\337\355\253\252\20\336d5ij\242\377\321M\7/\272xk\242\211\300\30\360\177\206\13\23Y\214\11\11\343\272>\374\267\226\24\271F\341\317su\315\356\37xk\341\356\242\342h\217\244oW\326G@\22U\251W\362M\240\22\177\263ti.xNrg\235\1^\210\241\273`/\203o\274\356m\202\317y\254*\356\354\300\211u\3?i\313\17\6\227l\254\207\33\363\235du%p\224y\340p\202\119\310\377MZ\366\254\376\235\346\241\373\236\374\363\323\371@\370\224\241\214"\270\3763\2337\337\2012\312w\15\211\206-\255\266\33\307\254\23w\315\14R\273\357O\12H\264\23]z\205-Eh\13\357*\334\314\23R\225\206\226\357H\2\153v\207\340Y\272a\346\222\372\365(\320\3009\225>\314U\211\321w\35)\30\365\370Q\20l\214\202\14Ol_\271\2411\331\254\253\20C\275|\260\2242E\210\341\\335-\322\374\217\1GU/\365\265Y"]\14\347#g\252\353\265\206\366H\5j*\237\352Q\217", ) \270\3763\2337\337\2012\312w\15\211\206-\255\266\33\307\254\23w\315\14R\273\357O\12H\264\23]z\205-Eh\13\357*\334\314\23R\225\206\226\357H\2\153v\207\340Y\272a\346\222\372\365(\320\3009\225>\314U\211\321w\35)\30\365\370Q\20l\214\202\14Ol_\271\2411\331\254\253\20C\275|\260\2242E\210\341\\335-\322\374\217\1GU/\365\265Y (192, 0, 0, 0, 3262, 0x0, 0, ... {status=0x0, info=3262}, "\356\217\250\10\321\360\34n\325\222\6mW\320\347KiX>l\237g\354\224\207)\274p\17\355\371\215\301y\3158\223\245o\354\353l\315\362\265\322\267vfi\206e\261\354\357x\315\36\245\254\306\226\322f\21G\206\202\15\324z\276g\305S\347\257\372*\347\321\350F\243\301\323\313\363\356\251\260\213\346d\354\246\373R\274\274\355\1\265\357\254\207#\27Z\254\20F\276{\241\3255\371\35\210\225\215\363\377B\346"A\277Y\275TKs\373w'\31\371\207\222L\316k\202\221\210\333\273\2034\245\365\257v\337\210\361\326\333E\32\210G\256\253\301)\201C\364\323\224\201?\337\355\253\252\20\336d5ij\242\377\321M\7/\272xk\242\211\300\30\360\177\206\13\23Y\214\11\11\343\272>\374\267\226\24\271F\341\317su\315\356\37xk\341\356\242\342h\217\244oW\326G@\22U\251W\362M\240\22\177\263ti.xNrg\235\1^\210\241\273`/\203o\274\356m\202\317y\254*\356\354\300\211u\3?i\313\17\6\227l\254\207\33\363\235du%p\224y\340p\202\119\310\377MZ\366\254\376\235\346\241\373\236\374\363\323\371@\370\224\241\214"\270\3763\2337\337\2012\312w\15\211\206-\255\266\33\307\254\23w\315\14R\273\357O\12H\264\23]z\205-Eh\13\357*\334\314\23R\225\206\226\357H\2\153v\207\340Y\272a\346\222\372\365(\320\3009\225>\314U\211\321w\35)\30\365\370Q\20l\214\202\14Ol_\271\2411\331\254\253\20C\275|\260\2242E\210\341\\335-\322\374\217\1GU/\365\265Y"]\14\347#g\252\353\265\206\366H\5j*\237\352Q\217", ) , ) == 0x0
 03517   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\34\0$\0b\0(\0\6+\377\377\200\0\0\0\0\0\0\0\7\0\2P\0\0\0\0\33\0T\0\10\11\0\377\377\377\377\200\0U\0n\0i\0n\0s\0t\0a\0l\0l\0 \0F\0o\0l\0d\0e\0r\0\0\0\0\0\0\0\0 \3P\0\0\0\0\356\0i\0.\0\22\0\12+\377\377\200\0B\0&\0r\0o\0w\0s\0e\0.\0.\0.\0\0\0\0\0\0\0\4\10\0P\0\0\0\0\36\0\\0\311\0(\0\11+\377\377\201\0\0\0\0\0\0\0\0\0\0\0@\0\200H\0\0\0\0\6\0\0\0\0\0=\1\217\0\0\0\0\0\0\0\10\0M\0S\0 \0S\0h\0e\0l\0l\0 \0D\0l\0g\0\0\0\0\0\2P\0\0\0\0>\0\6\0\342\0\27\0\14+\377\377\202\0p\0l\0a\0c\0e\0 \0h\0o\0l\0d\0e\0r\0\0\0\0\0\0\0\0\0\2P\0\0\0\0A\0)\0\256\0\14\0\15+\377\377\202\0p\0l\0a\0c\0e\0 \0h\0o\0l\0d\0e\0r\0\0\0\0\0\0\0\1\0\200P\0\0\0\0B\0>\0\257\0\16\0\17+m\0s\0c\0t\0l\0s\0_\0p\0r\0o\0g\0r\0e\0s\0s\03\02\0\0\0P\0r\0o\0g\0r\0e\0s\0s\01\0\0\0\0\0\7\0\0P\0\0\0\0!\0X\0\373\01\0\374*\377\377\200\0p\0l\0a\0c\0e\0 \0h\0o\0l\0d\0e\0r\0\0\0\0\0\0\0\0\0\2P\0\0\0\0-\0e\0\324\0\35\0\20+\377\377\202\0I\0n\0s\0p\0e\0c\0t\0i\0n\0g\0:\0\0\0\0\0\13\0\0P\0\0\0\0", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03518   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, ",\272\222\35\200 \0\200", ) , ) == 0x0
 03519   896   NtReadFile  (192, 0, 0, 0, 8320, 0x0, 0, ... {status=0x0, info=8320},  (192, 0, 0, 0, 8320, 0x0, 0, ... {status=0x0, info=8320}, "\23\203\313\351\6\212\225\342~C\367\2)n\356\7Mk\372\312t|2>\302"\203\273\25\326\225\177\371^`\39N\371\307ci_L/\313\347\246\301\206\356i]\373\330\33,\300-;\355\331\21\306\251\374\264\267\243\233\250xJ\3367\227^9\321&Pl\220o\277~:\330\344\350\270\340\317\304\344\314u\347\345&x\250Pb\33\237e\225\312\17\250\301i\231m\14o\14\372B\26\207\37d%\3124\314h\333H*=\263\206\214\343\241\5\237f\265h\2164\376\344='a0\350^\321\334J\177\227\366\357j\37q\267V1\370\323\\331\340\341R\357\35u\257\36z\235f\30\377\344\233\31\342\325\224\362\317r\254\332HO\307p@9\311\332Z\0\362b\215H\35\210{\255\346\357\12\362\320\225\270\27\3636\24k,\347\16a\36\225\373\343\312\317\21[,\371\211\245,\247|\200\335\3111\253\322f\371\274\346\317O\245"\2179\2;u=GS\252\264\37\4)Z\343\330\312\213d\247\355\275\356\346\355U\310\320\365\355\251\222E\14L{\272\242gT\237\275\202R\321\341\332\313\22\346Y\246\36O)\2614\223c\2702\332p\231\265Iji\35\37K\225\26\0n3\341\331\315\370b<;\266Y\224J\311\34W\353\344c\347\36\227\206A\224\31\6k\374j:=\373\264\177\221?.\343\230\340\247\301\252\353\227\331 \337S\6+\320/\255\314\356.\332\243>\245\255\230\35\322\320\207\246O\323MY^\232\243\227\344\321b\334\5\256\351\335"\346|\243\235\12\22|\20\355\367\326\251"H\206\307a\6\370\313\256\330\31\2\207\341\354]\317I\37tKo\306u\31g#~\213\263\234\340D\266-\26776\225y\17\230\32466\330\201Y\255s\227a\22\355\367\250\374\221S\226v\355\360\230\323\217\3239", ) \203\273\25\326\225\177\371^`\39N\371\307ci_L/\313\347\246\301\206\356i]\373\330\33,\300-;\355\331\21\306\251\374\264\267\243\233\250xJ\3367\227^9\321&Pl\220o\277~:\330\344\350\270\340\317\304\344\314u\347\345&x\250Pb\33\237e\225\312\17\250\301i\231m\14o\14\372B\26\207\37d%\3124\314h\333H*=\263\206\214\343\241\5\237f\265h\2164\376\344='a0\350^\321\334J\177\227\366\357j\37q\267V1\370\323\\331\340\341R\357\35u\257\36z\235f\30\377\344\233\31\342\325\224\362\317r\254\332HO\307p@9\311\332Z\0\362b\215H\35\210{\255\346\357\12\362\320\225\270\27\3636\24k,\347\16a\36\225\373\343\312\317\21[,\371\211\245,\247|\200\335\3111\253\322f\371\274\346\317O\245 (192, 0, 0, 0, 8320, 0x0, 0, ... {status=0x0, info=8320}, "\23\203\313\351\6\212\225\342~C\367\2)n\356\7Mk\372\312t|2>\302"\203\273\25\326\225\177\371^`\39N\371\307ci_L/\313\347\246\301\206\356i]\373\330\33,\300-;\355\331\21\306\251\374\264\267\243\233\250xJ\3367\227^9\321&Pl\220o\277~:\330\344\350\270\340\317\304\344\314u\347\345&x\250Pb\33\237e\225\312\17\250\301i\231m\14o\14\372B\26\207\37d%\3124\314h\333H*=\263\206\214\343\241\5\237f\265h\2164\376\344='a0\350^\321\334J\177\227\366\357j\37q\267V1\370\323\\331\340\341R\357\35u\257\36z\235f\30\377\344\233\31\342\325\224\362\317r\254\332HO\307p@9\311\332Z\0\362b\215H\35\210{\255\346\357\12\362\320\225\270\27\3636\24k,\347\16a\36\225\373\343\312\317\21[,\371\211\245,\247|\200\335\3111\253\322f\371\274\346\317O\245"\2179\2;u=GS\252\264\37\4)Z\343\330\312\213d\247\355\275\356\346\355U\310\320\365\355\251\222E\14L{\272\242gT\237\275\202R\321\341\332\313\22\346Y\246\36O)\2614\223c\2702\332p\231\265Iji\35\37K\225\26\0n3\341\331\315\370b<;\266Y\224J\311\34W\353\344c\347\36\227\206A\224\31\6k\374j:=\373\264\177\221?.\343\230\340\247\301\252\353\227\331 \337S\6+\320/\255\314\356.\332\243>\245\255\230\35\322\320\207\246O\323MY^\232\243\227\344\321b\334\5\256\351\335"\346|\243\235\12\22|\20\355\367\326\251"H\206\307a\6\370\313\256\330\31\2\207\341\354]\317I\37tKo\306u\31g#~\213\263\234\340D\266-\26776\225y\17\230\32466\330\201Y\255s\227a\22\355\367\250\374\221S\226v\355\360\230\323\217\3239", ) \346|\243\235\12\22|\20\355\367\326\251 (192, 0, 0, 0, 8320, 0x0, 0, ... {status=0x0, info=8320}, "\23\203\313\351\6\212\225\342~C\367\2)n\356\7Mk\372\312t|2>\302"\203\273\25\326\225\177\371^`\39N\371\307ci_L/\313\347\246\301\206\356i]\373\330\33,\300-;\355\331\21\306\251\374\264\267\243\233\250xJ\3367\227^9\321&Pl\220o\277~:\330\344\350\270\340\317\304\344\314u\347\345&x\250Pb\33\237e\225\312\17\250\301i\231m\14o\14\372B\26\207\37d%\3124\314h\333H*=\263\206\214\343\241\5\237f\265h\2164\376\344='a0\350^\321\334J\177\227\366\357j\37q\267V1\370\323\\331\340\341R\357\35u\257\36z\235f\30\377\344\233\31\342\325\224\362\317r\254\332HO\307p@9\311\332Z\0\362b\215H\35\210{\255\346\357\12\362\320\225\270\27\3636\24k,\347\16a\36\225\373\343\312\317\21[,\371\211\245,\247|\200\335\3111\253\322f\371\274\346\317O\245"\2179\2;u=GS\252\264\37\4)Z\343\330\312\213d\247\355\275\356\346\355U\310\320\365\355\251\222E\14L{\272\242gT\237\275\202R\321\341\332\313\22\346Y\246\36O)\2614\223c\2702\332p\231\265Iji\35\37K\225\26\0n3\341\331\315\370b<;\266Y\224J\311\34W\353\344c\347\36\227\206A\224\31\6k\374j:=\373\264\177\221?.\343\230\340\247\301\252\353\227\331 \337S\6+\320/\255\314\356.\332\243>\245\255\230\35\322\320\207\246O\323MY^\232\243\227\344\321b\334\5\256\351\335"\346|\243\235\12\22|\20\355\367\326\251"H\206\307a\6\370\313\256\330\31\2\207\341\354]\317I\37tKo\306u\31g#~\213\263\234\340D\266-\26776\225y\17\230\32466\330\201Y\255s\227a\22\355\367\250\374\221S\226v\355\360\230\323\217\3239", ) , ) == 0x0
 03520   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\263\0\234\301\0\242\312\2\255\326\15\266\341\24\274\347\36\307\362%\323\375\37\321\374\20\317\377\1\314\376\0\300\361\0\267\345\0\205\244\247\260\263\312\310\307\370\370\370\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\0\0\377\377\377\377\377\377\377\377\377\371\254\231\375g=\375\206f\377\231}\377\255\225\377\265\242\377\252\222\377\243\210\377\230}\377\220q\377\207e\371xY\355fM\346WB\336I7\3237)\315\33\21\300\213\210\365\360\355N\271\321\0n\205\0\200\227\0\207\243\0\217\261\0\231\271\0\241\310\0\252\323\11\262\335\22\271\344\33\305\360$\320\372#\321\375\21\320\377\4\314\376\0\303\366\1\266\343\0\230\301m\230\233\325\313\313\346\346\346\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\0\0\377\377\377\377\377\377\377\377\377\373\312\276\374a7\375\200`\377\225w\377\247\216\377\267\241\377\255\225\377\245\214\377\233\177\377\223u\377\211i\374~\\360kP\350]F\337L9\327=-\317"\26\300[W\342\347\346\234\330\344\0t\222\0|\221\0\206\243\0\216\255\0\230\272\0\237\306\0\247\320\4\260\334\12\266\343\22\302\356\32\314\370"\323\377\27\322\377\7\316\377\0\307\371\0\272\352\0\246\321&z\213\354\333\330\313\314\314\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\0\0\377\377\377\377\377\377\377\377\377\372\347\346\373iB\374zW\377\222s\377\240\210\377\266\237\377\257\231\377\244\212\377\236\203\377\224v\377\213k\374\200_\363oS\351`H\342P<\330>.\321,\35\300,%\325\342\341\324\352\355\0y\233\0y\217\0\204\237\0\213\251\0\221\264\0\223\272\0\227\305\0\247\325\25\267\337*\301\347,\306\356&\311\361\0\306\372\0\314\377\0\311\377\0\273\354\0\262\340\0k\203\377", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \26\300[W\342\347\346\234\330\344\0t\222\0|\221\0\206\243\0\216\255\0\230\272\0\237\306\0\247\320\4\260\334\12\266\343\22\302\356\32\314\370 (200, 0, 0, 0, "\263\0\234\301\0\242\312\2\255\326\15\266\341\24\274\347\36\307\362%\323\375\37\321\374\20\317\377\1\314\376\0\300\361\0\267\345\0\205\244\247\260\263\312\310\307\370\370\370\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\0\0\377\377\377\377\377\377\377\377\377\371\254\231\375g=\375\206f\377\231}\377\255\225\377\265\242\377\252\222\377\243\210\377\230}\377\220q\377\207e\371xY\355fM\346WB\336I7\3237)\315\33\21\300\213\210\365\360\355N\271\321\0n\205\0\200\227\0\207\243\0\217\261\0\231\271\0\241\310\0\252\323\11\262\335\22\271\344\33\305\360$\320\372#\321\375\21\320\377\4\314\376\0\303\366\1\266\343\0\230\301m\230\233\325\313\313\346\346\346\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\0\0\377\377\377\377\377\377\377\377\377\373\312\276\374a7\375\200`\377\225w\377\247\216\377\267\241\377\255\225\377\245\214\377\233\177\377\223u\377\211i\374~\\360kP\350]F\337L9\327=-\317"\26\300[W\342\347\346\234\330\344\0t\222\0|\221\0\206\243\0\216\255\0\230\272\0\237\306\0\247\320\4\260\334\12\266\343\22\302\356\32\314\370"\323\377\27\322\377\7\316\377\0\307\371\0\272\352\0\246\321&z\213\354\333\330\313\314\314\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\0\0\377\377\377\377\377\377\377\377\377\372\347\346\373iB\374zW\377\222s\377\240\210\377\266\237\377\257\231\377\244\212\377\236\203\377\224v\377\213k\374\200_\363oS\351`H\342P<\330>.\321,\35\300,%\325\342\341\324\352\355\0y\233\0y\217\0\204\237\0\213\251\0\221\264\0\223\272\0\227\305\0\247\325\25\267\337*\301\347,\306\356&\311\361\0\306\372\0\314\377\0\311\377\0\273\354\0\262\340\0k\203\377", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03521   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\37\366\241\1(\21\0\200", ) , ) == 0x0
 03522   896   NtReadFile  (192, 0, 0, 0, 4392, 0x0, 0, ... {status=0x0, info=4392},  (192, 0, 0, 0, 4392, 0x0, 0, ... {status=0x0, info=4392}, "\217\321>\2472\232\360\13:0\243\30\235\0\2046Gy\20\326\313\252\324\303\32\253\223<@l\220H\210\365\350\343\212\361\317P\21\225^\311\252R\6G\312\304\232\250)'\16Z\325\205\220\217\334\21\27\230w\316\200~T\324\207\207E\362\241@\36\245\362Y\7\315Y"\230r=\210\267\261\17\21d\304 -\330\217wy\3\241Yi\347B\319\322%\342\24\324\265"\271\352\267\344(JXf\343\241\350\24\373.F\242\201\312E\243h(\306\245x\251\6\244Be\357C/q\330Q\275\25\36J\26\267h\237\377\205\253\330"dx\252\324\3730\325+\317\372#Z9\31\220"\23\302\321\343E\303}tj(d\7wO\303\40\326\213ds\212$\313o\331\36\306\37\350\366'\345o\2674Q\206\32;\371g&\207MvU\216@\3299\236\340T^\15N\30]\252\332\267aP\262\212\321|\2013\365\3123\21\336\26\24\244\351c\216\273#\34\25\306p\220Y\230\215\370\34\301.\202k^\177\276d\20\220\344\4\177\376\375\237%\377\260\330h\217\2162\235n\244\3>\2643\221dWn\203k\355S$>oy\0P\16\236\332\223\213\343aW\3\361u\233\3\32j\CZ\320\26\255\22\307\333?\27_\277\266U\246m4\3{\263(\334\205\252\366h\351\4\231\37\210\271[\371\354%_\350S\220\2140\34\232\2130\371\255\233\3611\302\215\370\35\217\211\264d\350\330U\3\27\351C\17\234\354\200\233KkH\371\363\347d\3569\204\306\346\35\1\250L\30\261\2\313q\25\177\344}\17M\177,\16wx\7\230\374mD\346-\275\262\333\257pF\255}t0\3669\220g\30Ww\332\21m-\242\324\340\314\265S6'", ) \230r=\210\267\261\17\21d\304 -\330\217wy\3\241Yi\347B\319\322%\342\24\324\265 (192, 0, 0, 0, 4392, 0x0, 0, ... {status=0x0, info=4392}, "\217\321>\2472\232\360\13:0\243\30\235\0\2046Gy\20\326\313\252\324\303\32\253\223<@l\220H\210\365\350\343\212\361\317P\21\225^\311\252R\6G\312\304\232\250)'\16Z\325\205\220\217\334\21\27\230w\316\200~T\324\207\207E\362\241@\36\245\362Y\7\315Y"\230r=\210\267\261\17\21d\304 -\330\217wy\3\241Yi\347B\319\322%\342\24\324\265"\271\352\267\344(JXf\343\241\350\24\373.F\242\201\312E\243h(\306\245x\251\6\244Be\357C/q\330Q\275\25\36J\26\267h\237\377\205\253\330"dx\252\324\3730\325+\317\372#Z9\31\220"\23\302\321\343E\303}tj(d\7wO\303\40\326\213ds\212$\313o\331\36\306\37\350\366'\345o\2674Q\206\32;\371g&\207MvU\216@\3299\236\340T^\15N\30]\252\332\267aP\262\212\321|\2013\365\3123\21\336\26\24\244\351c\216\273#\34\25\306p\220Y\230\215\370\34\301.\202k^\177\276d\20\220\344\4\177\376\375\237%\377\260\330h\217\2162\235n\244\3>\2643\221dWn\203k\355S$>oy\0P\16\236\332\223\213\343aW\3\361u\233\3\32j\CZ\320\26\255\22\307\333?\27_\277\266U\246m4\3{\263(\334\205\252\366h\351\4\231\37\210\271[\371\354%_\350S\220\2140\34\232\2130\371\255\233\3611\302\215\370\35\217\211\264d\350\330U\3\27\351C\17\234\354\200\233KkH\371\363\347d\3569\204\306\346\35\1\250L\30\261\2\313q\25\177\344}\17M\177,\16wx\7\230\374mD\346-\275\262\333\257pF\255}t0\3669\220g\30Ww\332\21m-\242\324\340\314\265S6'", ) dx\252\324\3730\325+\317\372#Z9\31\220 (192, 0, 0, 0, 4392, 0x0, 0, ... {status=0x0, info=4392}, "\217\321>\2472\232\360\13:0\243\30\235\0\2046Gy\20\326\313\252\324\303\32\253\223<@l\220H\210\365\350\343\212\361\317P\21\225^\311\252R\6G\312\304\232\250)'\16Z\325\205\220\217\334\21\27\230w\316\200~T\324\207\207E\362\241@\36\245\362Y\7\315Y"\230r=\210\267\261\17\21d\304 -\330\217wy\3\241Yi\347B\319\322%\342\24\324\265"\271\352\267\344(JXf\343\241\350\24\373.F\242\201\312E\243h(\306\245x\251\6\244Be\357C/q\330Q\275\25\36J\26\267h\237\377\205\253\330"dx\252\324\3730\325+\317\372#Z9\31\220"\23\302\321\343E\303}tj(d\7wO\303\40\326\213ds\212$\313o\331\36\306\37\350\366'\345o\2674Q\206\32;\371g&\207MvU\216@\3299\236\340T^\15N\30]\252\332\267aP\262\212\321|\2013\365\3123\21\336\26\24\244\351c\216\273#\34\25\306p\220Y\230\215\370\34\301.\202k^\177\276d\20\220\344\4\177\376\375\237%\377\260\330h\217\2162\235n\244\3>\2643\221dWn\203k\355S$>oy\0P\16\236\332\223\213\343aW\3\361u\233\3\32j\CZ\320\26\255\22\307\333?\27_\277\266U\246m4\3{\263(\334\205\252\366h\351\4\231\37\210\271[\371\354%_\350S\220\2140\34\232\2130\371\255\233\3611\302\215\370\35\217\211\264d\350\330U\3\27\351C\17\234\354\200\233KkH\371\363\347d\3569\204\306\346\35\1\250L\30\261\2\313q\25\177\344}\17M\177,\16wx\7\230\374mD\346-\275\262\333\257pF\255}t0\3669\220g\30Ww\332\21m-\242\324\340\314\265S6'", ) \2140\34\232\2130\371\255\233\3611\302\215\370\35\217\211\264d\350\330U\3\27\351C\17\234\354\200\233KkH\371\363\347d\3569\204\306\346\35\1\250L\30\261\2\313q\25\177\344}\17M\177,\16wx\7\230\374mD\346-\275\262\333\257pF\255}t0\3669\220g\30Ww\332\21m-\242\324\340\314\265S6'", ) == 0x0
 03523   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "t\0o\0 \0p\0r\0o\0v\0i\0d\0e\0 \0a\0 \0s\0t\0a\0b\0l\0e\0 \0e\0n\0v\0i\0r\0o\0n\0m\0e\0n\0t\0 \0f\0o\0r\0 \0y\0o\0u\0r\0 \0p\0r\0o\0g\0r\0a\0m\0s\0.\0 \0\12\0\12\0 \0I\0f\0 \0y\0o\0u\0 \0c\0l\0i\0c\0k\0 \0Y\0e\0s\0,\0 \0t\0h\0e\0 \0u\0p\0d\0a\0t\0e\0d\0 \0v\0e\0r\0s\0i\0o\0n\0s\0 \0w\0i\0l\0l\0 \0o\0v\0e\0r\0w\0r\0i\0t\0e\0 \0t\0h\0e\0 \0c\0u\0r\0r\0e\0n\0t\0 \0f\0i\0l\0e\0s\0 \0a\0n\0d\0 \0y\0o\0u\0 \0m\0i\0g\0h\0t\0 \0l\0o\0s\0e\0 \0c\0e\0r\0t\0a\0i\0n\0 \0c\0u\0s\0t\0o\0m\0i\0z\0a\0t\0i\0o\0n\0s\0 \0c\0r\0e\0a\0t\0e\0d\0 \0b\0y\0 \0t\0h\0i\0r\0d\0-\0p\0a\0r\0t\0y\0 \0p\0r\0o\0g\0r\0a\0m\0s\0,\0 \0e\0s\0p\0e\0c\0i\0a\0l\0l\0y\0 \0t\0h\0o\0s\0e\0 \0t\0h\0a\0t\0 \0a\0f\0f\0e\0c\0t\0 \0t\0h\0e\0 \0g\0r\0a\0p\0h\0i\0c\0 \0d\0i\0s\0p\0l\0a\0y\0e\0", 7816, 0x0, 0, ... {status=0x0, info=7816}, ) , 7816, 0x0, 0, ... {status=0x0, info=7816}, ) == 0x0
 03524   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 03525   896   NtClose  (200, ... ) == 0x0
 03526   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03527   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03528   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 03482  2016   NtUserWaitMessage  ... ) == 0x1
 03529  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03530  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 03531  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010053
 03532  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 03530  2016   NtUserRedrawWindow  ... ) == 0x1
 03529  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ) == 0x0
 03533  2016   NtUserWaitMessage  (...
 03528   896   NtUserMessageCall  ... ) == 0x8
 03534   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "\207\223\0\0\210\36 \0\0\0\345.\35R \0", ) , ) == 0x0
 03535   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03536   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03537   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256},  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "update\update.inf\0\374\17\0\0\17\262 \0\0\0\201,\325\225 \0update\eula.txt\0\337\0\0\0\13\302 \0\0\0\345.\240R \0update\update.ver\0\250&\266o\3426\0\200[\200\200\215\17 7\377\231\216\0`\6\05!\0`\0\0\375O{\357\336{\336\336{\3333\273\3670\341F\330\236H\270\314f\206\305t\233\234j\330\330\326\346\334\330.$\242\20$I]\270$\4$\251\224\264$I'\225'\311$\311I\222\206k\40#Cg4\0w`\7\372\373\37\245>\337\213Z\363\345\316`M\34nB\263\244\314{\361\324\323^\253\36w\317\276\15\222A\222\316\365n\1\352\216\322\333f\267\321+\275\335\232A\234#\235\357&![\2417\205![V\225\223>\10\244T@9\2514\22\310", ) , ) == 0x0
 03538   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03539   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03540   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03541   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8a97c, 0, 688, 1, ...
 03533  2016   NtUserWaitMessage  ... ) == 0x1
 03542  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03543  2016   NtUserDefSetText  (655682, 8387700, ... ) == 0x1
 03544  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 03545  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03546  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03547  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03548  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03549  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03541   896   NtUserMessageCall  ... ) == 0x1
 03550   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\ed0e5e2507d6768a972ae1c0794a\update\update.inf"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 03551   896   NtClose  (-2147481368, ... ) == 0x0
 03550   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 03552   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "[Version]\15\12\15\12    Signature                 = "$Windows NT$"\15\12    LanguageType              = %LangTypeValue%\15\12    NtBuildToUpdate           = 2195\15\12    NtMajorVersionToUpdate    = 5\15\12    NtMinorVersionToUpdate    = 0\15\12    MaxNtBuildToUpdate        = 2195\15\12    MaxNtMajorVersionToUpdate = 5\15\12    MaxNtMinorVersionToUpdate = 0\15\12    MinNtServicePackVersion   = 512\15\12    MaxNtServicePackVersion = 1024\15\12    ThisServicePackVersion    = 1280\15\12    CatalogFile               = %SP_SHORT_TITLE%.cat\15\12\15\12[Regist", 24952, 0x0, 0, ... $Windows NT$ (200, 0, 0, 0, "[Version]\15\12\15\12    Signature                 = "$Windows NT$"\15\12    LanguageType              = %LangTypeValue%\15\12    NtBuildToUpdate           = 2195\15\12    NtMajorVersionToUpdate    = 5\15\12    NtMinorVersionToUpdate    = 0\15\12    MaxNtBuildToUpdate        = 2195\15\12    MaxNtMajorVersionToUpdate = 5\15\12    MaxNtMinorVersionToUpdate = 0\15\12    MinNtServicePackVersion   = 512\15\12    MaxNtServicePackVersion = 1024\15\12    ThisServicePackVersion    = 1280\15\12    CatalogFile               = %SP_SHORT_TITLE%.cat\15\12\15\12[Regist", 24952, 0x0, 0, ... , 24952, 0x0, 0, ...
 03553   896   NtContinue  (-135750188, 0, ...
 03552   896   NtWriteFile  ... {status=0x0, info=24952}, ) == 0x0
 03554   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ...
 03542  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ) == 0x0
 03555  2016   NtUserWaitMessage  (...
 03554   896   NtReadFile  ... {status=0x0, info=8},  ... {status=0x0, info=8}, "F\246\357\4\366\17\352B", ) , ) == 0x0
 03556   896   NtReadFile  (192, 0, 0, 0, 4086, 0x0, 0, ... {status=0x0, info=4086},  (192, 0, 0, 0, 4086, 0x0, 0, ... {status=0x0, info=4086}, "Hh[+o\5k"\341\0\372\243\10X\216\223K\203*\217\312\373\323bXZ\225\274_<\243j\207\14\350\205Wf\223\210\332\234\26\223;\2217\204\215N\30X\227E\357\205;\224t\275\13K\364\212\271\314\373\341\275W8FE \225y!\242R\330\257\326\310u#\342\373"N-\201\241\352f\267,\307\7x\255y\336\203\267#TIQ\325\32\315\346\241R[\230\200\33o%%z\244;\305\265ki\336\22\351x\203\13.\277\215"o\340(\270\362\223\320J\25Y\314\30\317\2\356\327@\2552\245F\253i\206\226\226\250)\215\215\321\343f\321\253\22\336\357W\2\357)V\313g\247Ns\206\201[\336 \377\34]\34+\372(.\10\345\375\356\240[_Y1Q\12\207\226\15\177w\200\351F\320%\3157j\34t\371\271\216mk\34\242\353\16+\336~\36>p\371\272x\15\332\365\256\254\35[Q\374\363A\36\336!\30?\306\306\217\204\274\16(\367\216\350\17[\266\276#\354\35\203t \234YR\276~,\304A\277s\204]1~}.`\252\317\17\26A;\276\351\340f=\37\230\364\335\1\360\271L\345\370\5\317\35\224\232\272y\16\356\16\346\355\254<\245\350\16\243\316\262\201\35J\362\345d\341H6\271D\12\233\323\231\300\336\303\13\374B?\274\327@\271\301\325\34Ci_\232\355\323\253\13\267\347\350\3551\242\315\15\321>\310\343\14\253\216\336\263\310A\320G\200\341?H \225\265\320a\324\314^\324\323-,\346\23\226\14\206\274\313\242xx\361Y\312d\344\25\306\274\305w\10\272 \202\3340W\334\272W\302\272@\2\335%\222\200\15\344\361#+\325\20.\310 \267\314\225\267.\2250.\320\362\271\212\310\200D\317\203\253\263$\1\352\4\215\305\365\253;\224\6-\300\365\16\364A\5\3457T\243", ) \341\0\372\243\10X\216\223K\203*\217\312\373\323bXZ\225\274_<\243j\207\14\350\205Wf\223\210\332\234\26\223;\2217\204\215N\30X\227E\357\205;\224t\275\13K\364\212\271\314\373\341\275W8FE \225y!\242R\330\257\326\310u#\342\373 (192, 0, 0, 0, 4086, 0x0, 0, ... {status=0x0, info=4086}, "Hh[+o\5k"\341\0\372\243\10X\216\223K\203*\217\312\373\323bXZ\225\274_<\243j\207\14\350\205Wf\223\210\332\234\26\223;\2217\204\215N\30X\227E\357\205;\224t\275\13K\364\212\271\314\373\341\275W8FE \225y!\242R\330\257\326\310u#\342\373"N-\201\241\352f\267,\307\7x\255y\336\203\267#TIQ\325\32\315\346\241R[\230\200\33o%%z\244;\305\265ki\336\22\351x\203\13.\277\215"o\340(\270\362\223\320J\25Y\314\30\317\2\356\327@\2552\245F\253i\206\226\226\250)\215\215\321\343f\321\253\22\336\357W\2\357)V\313g\247Ns\206\201[\336 \377\34]\34+\372(.\10\345\375\356\240[_Y1Q\12\207\226\15\177w\200\351F\320%\3157j\34t\371\271\216mk\34\242\353\16+\336~\36>p\371\272x\15\332\365\256\254\35[Q\374\363A\36\336!\30?\306\306\217\204\274\16(\367\216\350\17[\266\276#\354\35\203t \234YR\276~,\304A\277s\204]1~}.`\252\317\17\26A;\276\351\340f=\37\230\364\335\1\360\271L\345\370\5\317\35\224\232\272y\16\356\16\346\355\254<\245\350\16\243\316\262\201\35J\362\345d\341H6\271D\12\233\323\231\300\336\303\13\374B?\274\327@\271\301\325\34Ci_\232\355\323\253\13\267\347\350\3551\242\315\15\321>\310\343\14\253\216\336\263\310A\320G\200\341?H \225\265\320a\324\314^\324\323-,\346\23\226\14\206\274\313\242xx\361Y\312d\344\25\306\274\305w\10\272 \202\3340W\334\272W\302\272@\2\335%\222\200\15\344\361#+\325\20.\310 \267\314\225\267.\2250.\320\362\271\212\310\200D\317\203\253\263$\1\352\4\215\305\365\253;\224\6-\300\365\16\364A\5\3457T\243", ) o\340(\270\362\223\320J\25Y\314\30\317\2\356\327@\2552\245F\253i\206\226\226\250)\215\215\321\343f\321\253\22\336\357W\2\357)V\313g\247Ns\206\201[\336 \377\34]\34+\372(.\10\345\375\356\240[_Y1Q\12\207\226\15\177w\200\351F\320%\3157j\34t\371\271\216mk\34\242\353\16+\336~\36>p\371\272x\15\332\365\256\254\35[Q\374\363A\36\336!\30?\306\306\217\204\274\16(\367\216\350\17[\266\276#\354\35\203t \234YR\276~,\304A\277s\204]1~}.`\252\317\17\26A;\276\351\340f=\37\230\364\335\1\360\271L\345\370\5\317\35\224\232\272y\16\356\16\346\355\254<\245\350\16\243\316\262\201\35J\362\345d\341H6\271D\12\233\323\231\300\336\303\13\374B?\274\327@\271\301\325\34Ci_\232\355\323\253\13\267\347\350\3551\242\315\15\321>\310\343\14\253\216\336\263\310A\320G\200\341?H \225\265\320a\324\314^\324\323-,\346\23\226\14\206\274\313\242xx\361Y\312d\344\25\306\274\305w\10\272 \202\3340W\334\272W\302\272@\2\335%\222\200\15\344\361#+\325\20.\310 \267\314\225\267.\2250.\320\362\271\212\310\200D\317\203\253\263$\1\352\4\215\305\365\253;\224\6-\300\365\16\364A\5\3457T\243", ) == 0x0
 03557   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "Files=65618,"windows media components\tools"\15\12    MediaPlayer.Files=65618,"Windows Media Player"  ; program files\windows media player\15\12    MSInfo.Files=65620,"Microsoft Shared\msinfo"\15\12    DAO.Files=65620,"Microsoft Shared\DAO"   ; Common Files\Microsoft Shared\DAO\15\12    MSADC.Files=65620,"System\MSADC"         ; Common files\System\MSADC (RIE)\15\12    ADO.Files=65620,"System\ADO"             ; common files\system\ado   (RIE)\15\12    OE.Files=65618,"Outlook Express"         ; program files\outlook exp", 12815, 0x0, 0, ... {status=0x0, info=12815}, ) windows media components\tools (200, 0, 0, 0, "Files=65618,"windows media components\tools"\15\12    MediaPlayer.Files=65618,"Windows Media Player"  ; program files\windows media player\15\12    MSInfo.Files=65620,"Microsoft Shared\msinfo"\15\12    DAO.Files=65620,"Microsoft Shared\DAO"   ; Common Files\Microsoft Shared\DAO\15\12    MSADC.Files=65620,"System\MSADC"         ; Common files\System\MSADC (RIE)\15\12    ADO.Files=65620,"System\ADO"             ; common files\system\ado   (RIE)\15\12    OE.Files=65618,"Outlook Express"         ; program files\outlook exp", 12815, 0x0, 0, ... {status=0x0, info=12815}, ) Windows Media Player (200, 0, 0, 0, "Files=65618,"windows media components\tools"\15\12    MediaPlayer.Files=65618,"Windows Media Player"  ; program files\windows media player\15\12    MSInfo.Files=65620,"Microsoft Shared\msinfo"\15\12    DAO.Files=65620,"Microsoft Shared\DAO"   ; Common Files\Microsoft Shared\DAO\15\12    MSADC.Files=65620,"System\MSADC"         ; Common files\System\MSADC (RIE)\15\12    ADO.Files=65620,"System\ADO"             ; common files\system\ado   (RIE)\15\12    OE.Files=65618,"Outlook Express"         ; program files\outlook exp", 12815, 0x0, 0, ... {status=0x0, info=12815}, ) Microsoft Shared\msinfo (200, 0, 0, 0, "Files=65618,"windows media components\tools"\15\12    MediaPlayer.Files=65618,"Windows Media Player"  ; program files\windows media player\15\12    MSInfo.Files=65620,"Microsoft Shared\msinfo"\15\12    DAO.Files=65620,"Microsoft Shared\DAO"   ; Common Files\Microsoft Shared\DAO\15\12    MSADC.Files=65620,"System\MSADC"         ; Common files\System\MSADC (RIE)\15\12    ADO.Files=65620,"System\ADO"             ; common files\system\ado   (RIE)\15\12    OE.Files=65618,"Outlook Express"         ; program files\outlook exp", 12815, 0x0, 0, ... {status=0x0, info=12815}, ) Microsoft Shared\DAO (200, 0, 0, 0, "Files=65618,"windows media components\tools"\15\12    MediaPlayer.Files=65618,"Windows Media Player"  ; program files\windows media player\15\12    MSInfo.Files=65620,"Microsoft Shared\msinfo"\15\12    DAO.Files=65620,"Microsoft Shared\DAO"   ; Common Files\Microsoft Shared\DAO\15\12    MSADC.Files=65620,"System\MSADC"         ; Common files\System\MSADC (RIE)\15\12    ADO.Files=65620,"System\ADO"             ; common files\system\ado   (RIE)\15\12    OE.Files=65618,"Outlook Express"         ; program files\outlook exp", 12815, 0x0, 0, ... {status=0x0, info=12815}, ) System\MSADC (200, 0, 0, 0, "Files=65618,"windows media components\tools"\15\12    MediaPlayer.Files=65618,"Windows Media Player"  ; program files\windows media player\15\12    MSInfo.Files=65620,"Microsoft Shared\msinfo"\15\12    DAO.Files=65620,"Microsoft Shared\DAO"   ; Common Files\Microsoft Shared\DAO\15\12    MSADC.Files=65620,"System\MSADC"         ; Common files\System\MSADC (RIE)\15\12    ADO.Files=65620,"System\ADO"             ; common files\system\ado   (RIE)\15\12    OE.Files=65618,"Outlook Express"         ; program files\outlook exp", 12815, 0x0, 0, ... {status=0x0, info=12815}, ) System\ADO (200, 0, 0, 0, "Files=65618,"windows media components\tools"\15\12    MediaPlayer.Files=65618,"Windows Media Player"  ; program files\windows media player\15\12    MSInfo.Files=65620,"Microsoft Shared\msinfo"\15\12    DAO.Files=65620,"Microsoft Shared\DAO"   ; Common Files\Microsoft Shared\DAO\15\12    MSADC.Files=65620,"System\MSADC"         ; Common files\System\MSADC (RIE)\15\12    ADO.Files=65620,"System\ADO"             ; common files\system\ado   (RIE)\15\12    OE.Files=65618,"Outlook Express"         ; program files\outlook exp", 12815, 0x0, 0, ... {status=0x0, info=12815}, ) Outlook Express (200, 0, 0, 0, "Files=65618,"windows media components\tools"\15\12    MediaPlayer.Files=65618,"Windows Media Player"  ; program files\windows media player\15\12    MSInfo.Files=65620,"Microsoft Shared\msinfo"\15\12    DAO.Files=65620,"Microsoft Shared\DAO"   ; Common Files\Microsoft Shared\DAO\15\12    MSADC.Files=65620,"System\MSADC"         ; Common files\System\MSADC (RIE)\15\12    ADO.Files=65620,"System\ADO"             ; common files\system\ado   (RIE)\15\12    OE.Files=65618,"Outlook Express"         ; program files\outlook exp", 12815, 0x0, 0, ... {status=0x0, info=12815}, ) , 12815, 0x0, 0, ... {status=0x0, info=12815}, ) == 0x0
 03558   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 03559   896   NtClose  (200, ... ) == 0x0
 03560   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03561   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03562   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 03555  2016   NtUserWaitMessage  ... ) == 0x1
 03563  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03564  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 03565  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010053
 03566  2016   NtGdiFlush  (... ) == 0x0
 03567  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 03564  2016   NtUserRedrawWindow  ... ) == 0x1
 03563  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ) == 0x0
 03568  2016   NtUserWaitMessage  (...
 03562   896   NtUserMessageCall  ... ) == 0x9
 03569   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "\374\17\0\0\17\262 \0\0\0\201,\325\225 \0", ) , ) == 0x0
 03570   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03571   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03572   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256},  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "update\eula.txt\0\337\0\0\0\13\302 \0\0\0\345.\240R \0update\update.ver\0\250&\266o\3426\0\200[\200\200\215\17 7\377\231\216\0`\6\05!\0`\0\0\375O{\357\336{\336\336{\3333\273\3670\341F\330\236H\270\314f\206\305t\233\234j\330\330\326\346\334\330.$\242\20$I]\270$\4$\251\224\264$I'\225'\311$\311I\222\206k\40#Cg4\0w`\7\372\373\37\245>\337\213Z\363\345\316`M\34nB\263\244\314{\361\324\323^\253\36w\317\276\15\222A\222\316\365n\1\352\216\322\333f\267\321+\275\335\232A\234#\235\357&![\2417\205![V\225\223>\10\244T@9\2514\22\310\344\246Qe\34\302=\206Iu\324\1\307\333O\242`\267\223\3760O+\357\177\352\375\0 4\0D3", ) , ) == 0x0
 03573   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03574   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03575   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03576   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8a97c, 0, 688, 1, ...
 03568  2016   NtUserWaitMessage  ... ) == 0x1
 03577  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03578  2016   NtUserDefSetText  (655682, 8387700, ... ) == 0x1
 03579  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 03580  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03581  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03582  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03583  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03584  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03576   896   NtUserMessageCall  ... ) == 0x1
 03585   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\ed0e5e2507d6768a972ae1c0794a\update\eula.txt"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 03586   896   NtClose  (-2147481368, ... ) == 0x0
 03585   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 03587   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "SUPPLEMENTAL END USER LICENSE AGREEMENT FOR\15\12MICROSOFT SOFTWARE ("Supplemental EULA")\15\12\15\12IMPORTANT:  READ CAREFULLY - The Microsoft operating system components accompanying this Supplemental EULA, including any "online" or electronic documentation ("OS Components") are subject to the terms and conditions of the agreement under which you have licensed the applicable Microsoft operating system product described below (each an "End User License Agreement" or "EULA") and the terms and conditions of ", 4092, 0x0, 0, ... Supplemental EULA (200, 0, 0, 0, "SUPPLEMENTAL END USER LICENSE AGREEMENT FOR\15\12MICROSOFT SOFTWARE ("Supplemental EULA")\15\12\15\12IMPORTANT:  READ CAREFULLY - The Microsoft operating system components accompanying this Supplemental EULA, including any "online" or electronic documentation ("OS Components") are subject to the terms and conditions of the agreement under which you have licensed the applicable Microsoft operating system product described below (each an "End User License Agreement" or "EULA") and the terms and conditions of ", 4092, 0x0, 0, ... online (200, 0, 0, 0, "SUPPLEMENTAL END USER LICENSE AGREEMENT FOR\15\12MICROSOFT SOFTWARE ("Supplemental EULA")\15\12\15\12IMPORTANT:  READ CAREFULLY - The Microsoft operating system components accompanying this Supplemental EULA, including any "online" or electronic documentation ("OS Components") are subject to the terms and conditions of the agreement under which you have licensed the applicable Microsoft operating system product described below (each an "End User License Agreement" or "EULA") and the terms and conditions of ", 4092, 0x0, 0, ... OS Components (200, 0, 0, 0, "SUPPLEMENTAL END USER LICENSE AGREEMENT FOR\15\12MICROSOFT SOFTWARE ("Supplemental EULA")\15\12\15\12IMPORTANT:  READ CAREFULLY - The Microsoft operating system components accompanying this Supplemental EULA, including any "online" or electronic documentation ("OS Components") are subject to the terms and conditions of the agreement under which you have licensed the applicable Microsoft operating system product described below (each an "End User License Agreement" or "EULA") and the terms and conditions of ", 4092, 0x0, 0, ... End User License Agreement (200, 0, 0, 0, "SUPPLEMENTAL END USER LICENSE AGREEMENT FOR\15\12MICROSOFT SOFTWARE ("Supplemental EULA")\15\12\15\12IMPORTANT:  READ CAREFULLY - The Microsoft operating system components accompanying this Supplemental EULA, including any "online" or electronic documentation ("OS Components") are subject to the terms and conditions of the agreement under which you have licensed the applicable Microsoft operating system product described below (each an "End User License Agreement" or "EULA") and the terms and conditions of ", 4092, 0x0, 0, ... EULA (200, 0, 0, 0, "SUPPLEMENTAL END USER LICENSE AGREEMENT FOR\15\12MICROSOFT SOFTWARE ("Supplemental EULA")\15\12\15\12IMPORTANT:  READ CAREFULLY - The Microsoft operating system components accompanying this Supplemental EULA, including any "online" or electronic documentation ("OS Components") are subject to the terms and conditions of the agreement under which you have licensed the applicable Microsoft operating system product described below (each an "End User License Agreement" or "EULA") and the terms and conditions of ", 4092, 0x0, 0, ... , 4092, 0x0, 0, ...
 03588   896   NtContinue  (-135750188, 0, ...
 03587   896   NtWriteFile  ... {status=0x0, info=4092}, ) == 0x0
 03589   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 03590   896   NtClose  (200, ... ) == 0x0
 03577  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ) == 0x0
 03591  2016   NtUserWaitMessage  (...
 03592   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03593   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03594   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 03591  2016   NtUserWaitMessage  ... ) == 0x1
 03595  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03596  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 03597  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010053
 03598  2016   NtGdiFlush  (... ) == 0x0
 03599  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 03596  2016   NtUserRedrawWindow  ... ) == 0x1
 03595  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ) == 0x0
 03600  2016   NtUserWaitMessage  (...
 03594   896   NtUserMessageCall  ... ) == 0xa
 03601   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "\337\0\0\0\13\302 \0\0\0\345.\240R \0", ) , ) == 0x0
 03602   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03603   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03604   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256},  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "update\update.ver\0\250&\266o\3426\0\200[\200\200\215\17 7\377\231\216\0`\6\05!\0`\0\0\375O{\357\336{\336\336{\3333\273\3670\341F\330\236H\270\314f\206\305t\233\234j\330\330\326\346\334\330.$\242\20$I]\270$\4$\251\224\264$I'\225'\311$\311I\222\206k\40#Cg4\0w`\7\372\373\37\245>\337\213Z\363\345\316`M\34nB\263\244\314{\361\324\323^\253\36w\317\276\15\222A\222\316\365n\1\352\216\322\333f\267\321+\275\335\232A\234#\235\357&![\2417\205![V\225\223>\10\244T@9\2514\22\310\344\246Qe\34\302=\206Iu\324\1\307\333O\242`\267\223\3760O+\357\177\352\375\0 4\0D3`DP\6\356\336\373\355\262{\357\372fs\311d$/\226uK\233\313[UrI5PU\300", ) , ) == 0x0
 03605   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03606   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03607   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03608   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8a97c, 0, 688, 1, ...
 03600  2016   NtUserWaitMessage  ... ) == 0x1
 03609  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03610  2016   NtUserDefSetText  (655682, 8387700, ... ) == 0x1
 03611  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 03612  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03613  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03614  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03615  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03616  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03608   896   NtUserMessageCall  ... ) == 0x1
 03617   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\ed0e5e2507d6768a972ae1c0794a\update\update.ver"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 03618   896   NtClose  (-2147481368, ... ) == 0x0
 03617   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 03619   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "[SourceFileInfo]\15\12ole32.dll=771A727AF77DFC258681239432C83CFD,0005000008931A71,944912\15\12rpcrt4.dll=00CEBB717E2D7C041D427323FAFAFBE5,0005000008931A61,432400\15\12rpcss.dll=F2096A09599496237540E3B5B571A9E0,0005000008931A71,188688\15\12", 223, 0x0, 0, ... {status=0x0, info=223}, ) , 223, 0x0, 0, ... {status=0x0, info=223}, ) == 0x0
 03620   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 03621   896   NtClose  (200, ... ) == 0x0
 03622   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03609  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ) == 0x0
 03623  2016   NtUserWaitMessage  (...
 03624   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03625   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 03623  2016   NtUserWaitMessage  ... ) == 0x1
 03626  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03627  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 03628  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010053
 03629  2016   NtGdiFlush  (... ) == 0x0
 03630  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 03627  2016   NtUserRedrawWindow  ... ) == 0x1
 03626  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ) == 0x0
 03631  2016   NtUserWaitMessage  (...
 03625   896   NtUserMessageCall  ... ) == 0xb
 03632   896   NtQueryInformationFile  (196, 458424, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03633   896   NtSetInformationFile  (196, 458424, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03634   896   NtClose  (196, ... ) == 0x0
 03635   896   NtClose  (192, ... ) == 0x0
 03636   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03637   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03638   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x95e08, 0, 688, 1, ...
 03631  2016   NtUserWaitMessage  ... ) == 0x1
 03639  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03640  2016   NtUserDefSetText  (655682, 8387700, ... ) == 0x1
 03641  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 03642  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03643  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03644  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03645  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03646  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03638   896   NtUserMessageCall  ... ) == 0x1
 03647   896   NtQueryVirtualMemory  (-1, 0x10000, Basic, 28, ... {BaseAddress=0x10000,AllocationBase=0x10000,AllocationProtect=0x4,RegionSize=0x2000,State=0x1000,Protect=0x4,Type=0x20000,}, 0x0, ) == 0x0
 03648   896   NtCreateFile  (0xc0110080, {24, 0, 0x40, 0, 458396,  (0xc0110080, {24, 0, 0x40, 0, 458396, "\??\c:\ed0e5e2507d6768a972ae1c0794a\$shtdwn$.req"}, 0x0, 2, 3, 2, 4192, 0, 0, ... }, 0x0, 2, 3, 2, 4192, 0, 0, ...
 03639  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ) == 0x0
 03649  2016   NtUserWaitMessage  (...
 03648   896   NtCreateFile  ... 192, {status=0x0, info=2}, ) == 0x0
 03650   896   NtWriteFile  (192, 0, 0, 0,  (192, 0, 0, 0, "Sdwn\0\0\1\0\23\0\0\300\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 528, 0x0, 0, ... {status=0x0, info=528}, ) , 528, 0x0, 0, ... {status=0x0, info=528}, ) == 0x0
 03651   896   NtQueryVirtualMemory  (-1, 0x10000, Basic, 28, ... {BaseAddress=0x10000,AllocationBase=0x10000,AllocationProtect=0x4,RegionSize=0x2000,State=0x1000,Protect=0x4,Type=0x20000,}, 0x0, ) == 0x0
 03652   896   NtQueryInformationJobObject  (0, BasicUIRestrictions, 4, ... ) == STATUS_ACCESS_DENIED
 03653   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\c:\ed0e5e2507d6768a972ae1c0794a\update\update.exe"}, 454772, ... ) }, 454772, ... ) == 0x0
 03654   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\c:\ed0e5e2507d6768a972ae1c0794a\update\update.exe"}, 455508, ... ) }, 455508, ... ) == 0x0
 03655   896   NtOpenFile  (0x1000a1, {24, 0, 0x40, 0, 0,  (0x1000a1, {24, 0, 0x40, 0, 0, "\??\c:\ed0e5e2507d6768a972ae1c0794a\update\update.exe"}, 5, 96, ... 196, {status=0x0, info=1}, ) }, 5, 96, ... 196, {status=0x0, info=1}, ) == 0x0
 03656   896   NtCreateSection  (0xf001f, 0x0, 0x0, 16, 16777216, 196, ...
 03649  2016   NtUserWaitMessage  ... ) == 0x1
 03657  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03658  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 0, 670, 1, ... ) == 0x0
 03657  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ) == 0x0
 03659  2016   NtUserWaitMessage  (... ) == 0x1
 03660  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03661  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 0, 670, 1, ... ) == 0x0
 03660  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ) == 0x0
 03662  2016   NtUserWaitMessage  (... ) == 0x1
 03663  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03664  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 03663  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ) == 0x0
 03665  2016   NtUserWaitMessage  (...
 03656   896   NtCreateSection  ... 200, ) == 0x0
 03666   896   NtOpenKey  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\Registry\MACHINE\System\CurrentControlSet\Control\Session Manager\AppCertDlls"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03667   896   NtOpenKey  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\Registry\MACHINE\System\CurrentControlSet\Control\Session Manager\AppCompatibility"}, ... 204, ) }, ... 204, ) == 0x0
 03668   896   NtQueryValueKey  (204,  (204, "DisableAppCompat", Partial, 20, ... ) , Partial, 20, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03669   896   NtClose  (204, ... ) == 0x0
 03670   896   NtQueryVolumeInformationFile  (196, 454784, 8, Device, ... {status=0x0, info=8}, ) == 0x0
 03671   896   NtWaitForSingleObject  (112, 0, {-1000000, -1}, ... ) == 0x0
 03672   896   NtReleaseMutant  (112, ... 0x0, ) == 0x0
 03673   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\Apphelp.dll"}, 452716, ... ) }, 452716, ... ) == 0x0
 03674   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\Apphelp.dll"}, 5, 96, ... 204, {status=0x0, info=1}, ) }, 5, 96, ... 204, {status=0x0, info=1}, ) == 0x0
 03675   896   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 204, ... 208, ) == 0x0
 03676   896   NtClose  (204, ... ) == 0x0
 03677   896   NtMapViewOfSection  (208, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x810000), 0x0, 126976, ) == 0x0
 03678   896   NtClose  (208, ... ) == 0x0
 03679   896   NtUnmapViewOfSection  (-1, 0x810000, ... ) == 0x0
 03680   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\Apphelp.dll"}, 453024, ... ) }, 453024, ... ) == 0x0
 03681   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\Apphelp.dll"}, 5, 96, ... 208, {status=0x0, info=1}, ) }, 5, 96, ... 208, {status=0x0, info=1}, ) == 0x0
 03682   896   NtCreateSection  (0xf, 0x0, 0x0, 16, 16777216, 208, ... 204, ) == 0x0
 03683   896   NtQuerySection  (204, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 03684   896   NtClose  (208, ... ) == 0x0
 03685   896   NtMapViewOfSection  (204, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77b40000), 0x0, 139264, ) == 0x0
 03686   896   NtClose  (204, ... ) == 0x0
 03687   896   NtProtectVirtualMemory  (-1, (0x77b41000), 524, 4, ... (0x77b41000), 4096, 32, ) == 0x0
 03688   896   NtProtectVirtualMemory  (-1, (0x77b41000), 4096, 32, ... (0x77b41000), 4096, 4, ) == 0x0
 03689   896   NtFlushInstructionCache  (-1, 2008289280, 524, ... ) == 0x0
 03690   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Apphelp.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03691   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 0,  (0x80100080, {24, 0, 0x40, 0, 0, "\SystemRoot\AppPatch\sysmain.sdb"}, 0x0, 128, 1, 1, 96, 0, 0, ... 204, {status=0x0, info=1}, ) }, 0x0, 128, 1, 1, 96, 0, 0, ... 204, {status=0x0, info=1}, ) == 0x0
 03692   896   NtQueryInformationFile  (204, 453040, 24, Standard, ... {status=0x0, info=24}, ) == 0x0
 03693   896   NtCreateSection  (0x4, 0x0, 0x0, 2, 134217728, 204, ... 208, ) == 0x0
 03694   896   NtMapViewOfSection  (208, -1, (0x0), 0, 0, 0x0, 0, 2, 0, 2, ... (0xb60000), 0x0, 1191936, ) == 0x0
 03695   896   NtQueryInformationFile  (204, 453140, 24, Standard, ... {status=0x0, info=24}, ) == 0x0
 03696   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 0,  (0x80100080, {24, 0, 0x40, 0, 0, "\SystemRoot\AppPatch\systest.sdb"}, 0x0, 128, 1, 1, 96, 0, 0, ... ) }, 0x0, 128, 1, 1, 96, 0, 0, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03697   896   NtQuerySystemInformation  (Processor, 12, ... {system info, class 1, size 12}, 0x0, ) == 0x0
 03698   896   NtQueryInformationProcess  (-1, Wow64, 4, ... {process info, class 26, size 4}, 0x0, ) == 0x0
 03699   896   NtOpenKey  (0x101, {24, 0, 0x40, 0, 0,  (0x101, {24, 0, 0x40, 0, 0, "\Registry\Machine\System\WPA\TabletPC"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03700   896   NtOpenKey  (0x101, {24, 0, 0x40, 0, 0,  (0x101, {24, 0, 0x40, 0, 0, "\Registry\Machine\SYSTEM\WPA\MediaCenter"}, ... 212, ) }, ... 212, ) == 0x0
 03701   896   NtQueryValueKey  (212,  (212, "Installed", Partial, 256, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 256, ... TitleIdx=0, Type=4, Data= (212, "Installed", Partial, 256, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 03702   896   NtClose  (212, ... ) == 0x0
 03703   896   NtCreateFile  (0x120116, {24, 0, 0x40, 0, 0,  (0x120116, {24, 0, 0x40, 0, 0, "\Device\NamedPipe\ShimViewer"}, 0x0, 128, 0, 1, 0, 0, 0, ... ) }, 0x0, 128, 0, 1, 0, 0, 0, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03704   896   NtOpenFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\c:\ed0e5e2507d6768a972ae1c0794a\update\"}, 3, 16417, ... 212, {status=0x0, info=1}, ) }, 3, 16417, ... 212, {status=0x0, info=1}, ) == 0x0
 03705   896   NtQueryDirectoryFile  (212, 0, 0, 0, 450736, 616, BothDirectory, 1,  (212, 0, 0, 0, 450736, 616, BothDirectory, 1, "update.exe", 0, ... {status=0x0, info=114}, ) , 0, ... {status=0x0, info=114}, ) == 0x0
 03706   896   NtClose  (212, ... ) == 0x0
 03707   896   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 03708   896   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 03709   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\c:\ed0e5e2507d6768a972ae1c0794a\update\update.exe"}, 451112, ... ) }, 451112, ... ) == 0x0
 03710   896   NtOpenFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\c:\ed0e5e2507d6768a972ae1c0794a\"}, 3, 16417, ... 212, {status=0x0, info=1}, ) }, 3, 16417, ... 212, {status=0x0, info=1}, ) == 0x0
 03711   896   NtQueryDirectoryFile  (212, 0, 0, 0, 450540, 616, BothDirectory, 1,  (212, 0, 0, 0, 450540, 616, BothDirectory, 1, "update", 0, ... {status=0x0, info=106}, ) , 0, ... {status=0x0, info=106}, ) == 0x0
 03712   896   NtClose  (212, ... ) == 0x0
 03713   896   NtOpenFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\c:\ed0e5e2507d6768a972ae1c0794a\update\"}, 3, 16417, ... 212, {status=0x0, info=1}, ) }, 3, 16417, ... 212, {status=0x0, info=1}, ) == 0x0
 03714   896   NtQueryDirectoryFile  (212, 0, 0, 0, 450540, 616, BothDirectory, 1,  (212, 0, 0, 0, 450540, 616, BothDirectory, 1, "update.exe", 0, ... {status=0x0, info=114}, ) , 0, ... {status=0x0, info=114}, ) == 0x0
 03715   896   NtClose  (212, ... ) == 0x0
 03716   896   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 03717   896   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 03718   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 03719   896   NtOpenKey  (0x80000100, {24, 0, 0x40, 0, 0,  (0x80000100, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03720   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 03721   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 212, ) == 0x0
 03722   896   NtQueryInformationToken  (212, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 03723   896   NtClose  (212, ... ) == 0x0
 03724   896   NtOpenKey  (0x80000100, {24, 0, 0x40, 0, 0,  (0x80000100, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03725   896   NtOpenKey  (0x80000100, {24, 0, 0x40, 0, 0,  (0x80000100, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom\update.exe"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03726   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\c:\ed0e5e2507d6768a972ae1c0794a\update\update.exe"}, 451904, ... ) }, 451904, ... ) == 0x0
 03727   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "VERSION.dll"}, ... 212, ) }, ... 212, ) == 0x0
 03728   896   NtMapViewOfSection  (212, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77c00000), 0x0, 32768, ) == 0x0
 03729   896   NtClose  (212, ... ) == 0x0
 03730   896   NtProtectVirtualMemory  (-1, (0x77c01000), 304, 4, ... (0x77c01000), 4096, 32, ) == 0x0
 03731   896   NtProtectVirtualMemory  (-1, (0x77c01000), 4096, 32, ... (0x77c01000), 4096, 4, ) == 0x0
 03732   896   NtFlushInstructionCache  (-1, 2009075712, 304, ... ) == 0x0
 03733   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VERSION.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03734   896   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 03735   896   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 03736   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\c:\ed0e5e2507d6768a972ae1c0794a\update\update.exe"}, 450812, ... ) }, 450812, ... ) == 0x0
 03737   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\c:\ed0e5e2507d6768a972ae1c0794a\update\update.exe"}, 5, 96, ... 212, {status=0x0, info=1}, ) }, 5, 96, ... 212, {status=0x0, info=1}, ) == 0x0
 03738   896   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 212, ... 216, ) == 0x0
 03739   896   NtClose  (212, ... ) == 0x0
 03740   896   NtMapViewOfSection  (216, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0xc90000), 0x0, 413696, ) == 0x0
 03741   896   NtClose  (216, ... ) == 0x0
 03742   896   NtUnmapViewOfSection  (-1, 0xc90000, ... ) == 0x0
 03743   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\c:\ed0e5e2507d6768a972ae1c0794a\update\update.exe"}, 450408, ... ) }, 450408, ... ) == 0x0
 03744   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 451152,  (0x80100080, {24, 0, 0x40, 0, 451152, "\??\c:\ed0e5e2507d6768a972ae1c0794a\update\update.exe"}, 0x0, 0, 5, 1, 96, 0, 0, ... 216, {status=0x0, info=1}, ) }, 0x0, 0, 5, 1, 96, 0, 0, ... 216, {status=0x0, info=1}, ) == 0x0
 03745   896   NtCreateSection  (0xf0005, 0x0, 0x0, 2, 134217728, 216, ... 212, ) == 0x0
 03746   896   NtClose  (216, ... ) == 0x0
 03747   896   NtMapViewOfSection  (212, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 2, ... (0xc90000), {0, 0}, 413696, ) == 0x0
 03748   896   NtClose  (212, ... ) == 0x0
 03749   896   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 03750   896   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 03751   896   NtQueryDefaultLocale  (1, 451772, ... ) == 0x0
 03752   896   NtQueryVirtualMemory  (-1, 0xc90000, Basic, 28, ... {BaseAddress=0xc90000,AllocationBase=0xc90000,AllocationProtect=0x2,RegionSize=0x65000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 03753   896   NtQueryVirtualMemory  (-1, 0xc90000, Basic, 28, ... {BaseAddress=0xc90000,AllocationBase=0xc90000,AllocationProtect=0x2,RegionSize=0x65000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 03754   896   NtUnmapViewOfSection  (-1, 0xc90000, ... ) == 0x0
 03755   896   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 03756   896   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 03757   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\c:\ed0e5e2507d6768a972ae1c0794a\update\update.exe"}, 450804, ... ) }, 450804, ... ) == 0x0
 03758   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\c:\ed0e5e2507d6768a972ae1c0794a\update\update.exe"}, 5, 96, ... 212, {status=0x0, info=1}, ) }, 5, 96, ... 212, {status=0x0, info=1}, ) == 0x0
 03759   896   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 212, ... 216, ) == 0x0
 03760   896   NtClose  (212, ... ) == 0x0
 03761   896   NtMapViewOfSection  (216, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0xc90000), 0x0, 413696, ) == 0x0
 03762   896   NtClose  (216, ... ) == 0x0
 03763   896   NtUnmapViewOfSection  (-1, 0xc90000, ... ) == 0x0
 03764   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\c:\ed0e5e2507d6768a972ae1c0794a\update\update.exe"}, 450400, ... ) }, 450400, ... ) == 0x0
 03765   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 451144,  (0x80100080, {24, 0, 0x40, 0, 451144, "\??\c:\ed0e5e2507d6768a972ae1c0794a\update\update.exe"}, 0x0, 0, 5, 1, 96, 0, 0, ... 216, {status=0x0, info=1}, ) }, 0x0, 0, 5, 1, 96, 0, 0, ... 216, {status=0x0, info=1}, ) == 0x0
 03766   896   NtCreateSection  (0xf0005, 0x0, 0x0, 2, 134217728, 216, ... 212, ) == 0x0
 03767   896   NtClose  (216, ... ) == 0x0
 03768   896   NtMapViewOfSection  (212, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 2, ... (0xc90000), {0, 0}, 413696, ) == 0x0
 03769   896   NtClose  (212, ... ) == 0x0
 03770   896   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 03771   896   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 03772   896   NtQueryDefaultLocale  (1, 451764, ... ) == 0x0
 03773   896   NtQueryVirtualMemory  (-1, 0xc90000, Basic, 28, ... {BaseAddress=0xc90000,AllocationBase=0xc90000,AllocationProtect=0x2,RegionSize=0x65000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 03774   896   NtUnmapViewOfSection  (-1, 0xc90000, ... ) == 0x0
 03775   896   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 03776   896   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 03777   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\c:\ed0e5e2507d6768a972ae1c0794a\update\update.exe"}, 452364, ... ) }, 452364, ... ) == 0x0
 03778   896   NtOpenFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\c:\ed0e5e2507d6768a972ae1c0794a\"}, 3, 16417, ... 212, {status=0x0, info=1}, ) }, 3, 16417, ... 212, {status=0x0, info=1}, ) == 0x0
 03779   896   NtQueryDirectoryFile  (212, 0, 0, 0, 451792, 616, BothDirectory, 1,  (212, 0, 0, 0, 451792, 616, BothDirectory, 1, "update", 0, ... {status=0x0, info=106}, ) , 0, ... {status=0x0, info=106}, ) == 0x0
 03780   896   NtClose  (212, ... ) == 0x0
 03781   896   NtOpenFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\c:\ed0e5e2507d6768a972ae1c0794a\update\"}, 3, 16417, ... 212, {status=0x0, info=1}, ) }, 3, 16417, ... 212, {status=0x0, info=1}, ) == 0x0
 03782   896   NtQueryDirectoryFile  (212, 0, 0, 0, 451792, 616, BothDirectory, 1,  (212, 0, 0, 0, 451792, 616, BothDirectory, 1, "update.exe", 0, ... {status=0x0, info=114}, ) , 0, ... {status=0x0, info=114}, ) == 0x0
 03783   896   NtClose  (212, ... ) == 0x0
 03784   896   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 03785   896   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 03786   896   NtWaitForSingleObject  (112, 0, {-1000000, -1}, ... ) == 0x0
 03787   896   NtQueryVolumeInformationFile  (196, 453020, 8, Device, ... {status=0x0, info=8}, ) == 0x0
 03788   896   NtQueryInformationFile  (196, 453000, 40, Basic, ... {status=0x0, info=40}, ) == 0x0
 03789   896   NtQueryInformationFile  (196, 453040, 24, Standard, ... {status=0x0, info=24}, ) == 0x0
 03790   896   NtReleaseMutant  (112, ... 0x0, ) == 0x0
 03791   896   NtUnmapViewOfSection  (-1, 0xb60000, ... ) == 0x0
 03792   896   NtClose  (208, ... ) == 0x0
 03793   896   NtClose  (204, ... ) == 0x0
 03794   896   NtOpenThreadToken  (-2, 0x2000000, 1, ... ) == STATUS_NO_TOKEN
 03795   896   NtOpenProcessToken  (-1, 0xa, ... 204, ) == 0x0
 03796   896   NtQueryInformationToken  (204, User, 136, ... {token info, class 1, size 36}, 36, ) == 0x0
 03797   896   NtOpenKey  (0x3, {24, 0, 0x40, 0, 0,  (0x3, {24, 0, 0x40, 0, 0, "\Registry\MACHINE\System\CurrentControlSet\Control\SafeBoot\Option"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03798   896   NtOpenKey  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers"}, ... 208, ) }, ... 208, ) == 0x0
 03799   896   NtQueryValueKey  (208,  (208, "TransparentEnabled", Partial, 80, ... TitleIdx=0, Type=4, Data="\1\0\0\0"}, 16, ) , Partial, 80, ... TitleIdx=0, Type=4, Data= (208, "TransparentEnabled", Partial, 80, ... TitleIdx=0, Type=4, Data="\1\0\0\0"}, 16, ) }, 16, ) == 0x0
 03800   896   NtQueryValueKey  (208,  (208, "AuthenticodeEnabled", Partial, 80, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 80, ... TitleIdx=0, Type=4, Data= (208, "AuthenticodeEnabled", Partial, 80, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 03801   896   NtClose  (208, ... ) == 0x0
 03802   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\LevelObjects"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03803   896   NtOpenKey  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers"}, ... 208, ) }, ... 208, ) == 0x0
 03804   896   NtQueryValueKey  (208,  (208, "Levels", Partial, 536, ... ) , Partial, 536, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03805   896   NtClose  (208, ... ) == 0x0
 03806   896   NtQueryDefaultLocale  (1, 454212, ... ) == 0x0
 03807   896   NtQueryDefaultLocale  (1, 454212, ... ) == 0x0
 03808   896   NtQueryDefaultLocale  (1, 454212, ... ) == 0x0
 03809   896   NtQueryDefaultLocale  (1, 454212, ... ) == 0x0
 03810   896   NtQueryDefaultLocale  (1, 454212, ... ) == 0x0
 03811   896   NtQueryDefaultLocale  (1, 454212, ... ) == 0x0
 03812   896   NtQueryDefaultLocale  (1, 454212, ... ) == 0x0
 03813   896   NtQueryDefaultLocale  (1, 454212, ... ) == 0x0
 03814   896   NtQueryDefaultLocale  (1, 454212, ... ) == 0x0
 03815   896   NtQueryDefaultLocale  (1, 454212, ... ) == 0x0
 03816   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths"}, ... 208, ) }, ... 208, ) == 0x0
 03817   896   NtEnumerateKey  (208, 0, Basic, 280, ... {LastWrite={0x3a5edea,0x1c74da9}, TitleIdx=0, Name= (208, 0, Basic, 280, ... {LastWrite={0x3a5edea,0x1c74da9}, TitleIdx=0, Name="{dda3f824-d8cb-441b-834d-be2efd2c1a33}"}, 92, ) }, 92, ) == 0x0
 03818   896   NtOpenKey  (0x20019, {24, 208, 0x40, 0, 0,  (0x20019, {24, 208, 0x40, 0, 0, "{dda3f824-d8cb-441b-834d-be2efd2c1a33}"}, ... 212, ) }, ... 212, ) == 0x0
 03819   896   NtQueryValueKey  (212,  (212, "ItemData", Partial, 280, ... TitleIdx=0, Type=2, Data="%\0H\0K\0E\0Y\0_\0C\0U\0R\0R\0E\0N\0T\0_\0U\0S\0E\0R\0\\0S\0o\0f\0t\0w\0a\0r\0e\0\\0M\0i\0c\0r\0o\0s\0o\0f\0t\0\\0W\0i\0n\0d\0o\0w\0s\0\\0C\0u\0r\0r\0e\0n\0t\0V\0e\0r\0s\0i\0o\0n\0\\0E\0x\0p\0l\0o\0r\0e\0r\0\\0S\0h\0e\0l\0l\0 \0F\0o\0l\0d\0e\0r\0s\0\\0C\0a\0c\0h\0e\0%\0O\0L\0K\0*\0\0\0"}, 202, ) , Partial, 280, ... TitleIdx=0, Type=2, Data= (212, "ItemData", Partial, 280, ... TitleIdx=0, Type=2, Data="%\0H\0K\0E\0Y\0_\0C\0U\0R\0R\0E\0N\0T\0_\0U\0S\0E\0R\0\\0S\0o\0f\0t\0w\0a\0r\0e\0\\0M\0i\0c\0r\0o\0s\0o\0f\0t\0\\0W\0i\0n\0d\0o\0w\0s\0\\0C\0u\0r\0r\0e\0n\0t\0V\0e\0r\0s\0i\0o\0n\0\\0E\0x\0p\0l\0o\0r\0e\0r\0\\0S\0h\0e\0l\0l\0 \0F\0o\0l\0d\0e\0r\0s\0\\0C\0a\0c\0h\0e\0%\0O\0L\0K\0*\0\0\0"}, 202, ) }, 202, ) == 0x0
 03820   896   NtQueryValueKey  (212,  (212, "SaferFlags", Partial, 280, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 280, ... TitleIdx=0, Type=4, Data= (212, "SaferFlags", Partial, 280, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 03821   896   NtClose  (212, ... ) == 0x0
 03822   896   NtEnumerateKey  (208, 1, Basic, 280, ... ) == STATUS_NO_MORE_ENTRIES
 03823   896   NtClose  (208, ... ) == 0x0
 03824   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes"}, ... 208, ) }, ... 208, ) == 0x0
 03825   896   NtEnumerateKey  (208, 0, Basic, 280, ... {LastWrite={0x38ab3b74,0x1c74d7e}, TitleIdx=0, Name= (208, 0, Basic, 280, ... {LastWrite={0x38ab3b74,0x1c74d7e}, TitleIdx=0, Name="{349d35ab-37b5-462f-9b89-edd5fbde1328}"}, 92, ) }, 92, ) == 0x0
 03826   896   NtOpenKey  (0x20019, {24, 208, 0x40, 0, 0,  (0x20019, {24, 208, 0x40, 0, 0, "{349d35ab-37b5-462f-9b89-edd5fbde1328}"}, ... 212, ) }, ... 212, ) == 0x0
 03827   896   NtQueryValueKey  (212,  (212, "ItemData", Partial, 280, ... TitleIdx=0, Type=3, Data="^\2530O\225zI\211j\0l\341\25@\25"}, 28, ) , Partial, 280, ... TitleIdx=0, Type=3, Data= (212, "ItemData", Partial, 280, ... TitleIdx=0, Type=3, Data="^\2530O\225zI\211j\0l\341\25@\25"}, 28, ) }, 28, ) == 0x0
 03828   896   NtQueryValueKey  (212,  (212, "HashAlg", Partial, 280, ... TitleIdx=0, Type=4, Data="\3\200\0\0"}, 16, ) , Partial, 280, ... TitleIdx=0, Type=4, Data= (212, "HashAlg", Partial, 280, ... TitleIdx=0, Type=4, Data="\3\200\0\0"}, 16, ) }, 16, ) == 0x0
 03829   896   NtQueryValueKey  (212,  (212, "ItemSize", Partial, 280, ... TitleIdx=0, Type=11, Data="\13\3\0\0\0\0\0\0"}, 20, ) , Partial, 280, ... TitleIdx=0, Type=11, Data= (212, "ItemSize", Partial, 280, ... TitleIdx=0, Type=11, Data="\13\3\0\0\0\0\0\0"}, 20, ) }, 20, ) == 0x0
 03830   896   NtQueryValueKey  (212,  (212, "SaferFlags", Partial, 280, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 280, ... TitleIdx=0, Type=4, Data= (212, "SaferFlags", Partial, 280, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 03831   896   NtClose  (212, ... ) == 0x0
 03832   896   NtEnumerateKey  (208, 1, Basic, 280, ... {LastWrite={0x38ab3b74,0x1c74d7e}, TitleIdx=0, Name= (208, 1, Basic, 280, ... {LastWrite={0x38ab3b74,0x1c74d7e}, TitleIdx=0, Name="{7fb9cd2e-3076-4df9-a57b-b813f72dbb91}"}, 92, ) }, 92, ) == 0x0
 03833   896   NtOpenKey  (0x20019, {24, 208, 0x40, 0, 0,  (0x20019, {24, 208, 0x40, 0, 0, "{7fb9cd2e-3076-4df9-a57b-b813f72dbb91}"}, ... 212, ) }, ... 212, ) == 0x0
 03834   896   NtQueryValueKey  (212,  (212, "ItemData", Partial, 280, ... TitleIdx=0, Type=3, Data="g\260\324\2134:?\323\274\351\334dg\4\363\224"}, 28, ) , Partial, 280, ... TitleIdx=0, Type=3, Data= (212, "ItemData", Partial, 280, ... TitleIdx=0, Type=3, Data="g\260\324\2134:?\323\274\351\334dg\4\363\224"}, 28, ) }, 28, ) == 0x0
 03835   896   NtQueryValueKey  (212,  (212, "HashAlg", Partial, 280, ... TitleIdx=0, Type=4, Data="\3\200\0\0"}, 16, ) , Partial, 280, ... TitleIdx=0, Type=4, Data= (212, "HashAlg", Partial, 280, ... TitleIdx=0, Type=4, Data="\3\200\0\0"}, 16, ) }, 16, ) == 0x0
 03836   896   NtQueryValueKey  (212,  (212, "ItemSize", Partial, 280, ... TitleIdx=0, Type=11, Data="\5\2\0\0\0\0\0\0"}, 20, ) , Partial, 280, ... TitleIdx=0, Type=11, Data= (212, "ItemSize", Partial, 280, ... TitleIdx=0, Type=11, Data="\5\2\0\0\0\0\0\0"}, 20, ) }, 20, ) == 0x0
 03837   896   NtQueryValueKey  (212,  (212, "SaferFlags", Partial, 280, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 280, ... TitleIdx=0, Type=4, Data= (212, "SaferFlags", Partial, 280, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 03838   896   NtClose  (212, ... ) == 0x0
 03839   896   NtEnumerateKey  (208, 2, Basic, 280, ... {LastWrite={0x38ab3b74,0x1c74d7e}, TitleIdx=0, Name= (208, 2, Basic, 280, ... {LastWrite={0x38ab3b74,0x1c74d7e}, TitleIdx=0, Name="{81d1fe15-dd9d-4762-b16d-7c29ddecae3f}"}, 92, ) }, 92, ) == 0x0
 03840   896   NtOpenKey  (0x20019, {24, 208, 0x40, 0, 0,  (0x20019, {24, 208, 0x40, 0, 0, "{81d1fe15-dd9d-4762-b16d-7c29ddecae3f}"}, ... 212, ) }, ... 212, ) == 0x0
 03841   896   NtQueryValueKey  (212,  (212, "ItemData", Partial, 280, ... TitleIdx=0, Type=3, Data="2x\2\334\376\370\310\223\334\212\260\6\335\204}\35"}, 28, ) , Partial, 280, ... TitleIdx=0, Type=3, Data= (212, "ItemData", Partial, 280, ... TitleIdx=0, Type=3, Data="2x\2\334\376\370\310\223\334\212\260\6\335\204}\35"}, 28, ) }, 28, ) == 0x0
 03842   896   NtQueryValueKey  (212,  (212, "HashAlg", Partial, 280, ... TitleIdx=0, Type=4, Data="\3\200\0\0"}, 16, ) , Partial, 280, ... TitleIdx=0, Type=4, Data= (212, "HashAlg", Partial, 280, ... TitleIdx=0, Type=4, Data="\3\200\0\0"}, 16, ) }, 16, ) == 0x0
 03843   896   NtQueryValueKey  (212,  (212, "ItemSize", Partial, 280, ... TitleIdx=0, Type=11, Data="\226\3\0\0\0\0\0\0"}, 20, ) , Partial, 280, ... TitleIdx=0, Type=11, Data= (212, "ItemSize", Partial, 280, ... TitleIdx=0, Type=11, Data="\226\3\0\0\0\0\0\0"}, 20, ) }, 20, ) == 0x0
 03844   896   NtQueryValueKey  (212,  (212, "SaferFlags", Partial, 280, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 280, ... TitleIdx=0, Type=4, Data= (212, "SaferFlags", Partial, 280, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 03845   896   NtClose  (212, ... ) == 0x0
 03846   896   NtEnumerateKey  (208, 3, Basic, 280, ... {LastWrite={0x38ab3b74,0x1c74d7e}, TitleIdx=0, Name= (208, 3, Basic, 280, ... {LastWrite={0x38ab3b74,0x1c74d7e}, TitleIdx=0, Name="{94e3e076-8f53-42a5-8411-085bcc18a68d}"}, 92, ) }, 92, ) == 0x0
 03847   896   NtOpenKey  (0x20019, {24, 208, 0x40, 0, 0,  (0x20019, {24, 208, 0x40, 0, 0, "{94e3e076-8f53-42a5-8411-085bcc18a68d}"}, ... 212, ) }, ... 212, ) == 0x0
 03848   896   NtQueryValueKey  (212,  (212, "ItemData", Partial, 280, ... TitleIdx=0, Type=3, Data="\275\232*\333B\353\330V\16%\16M\370\26/g"}, 28, ) , Partial, 280, ... TitleIdx=0, Type=3, Data= (212, "ItemData", Partial, 280, ... TitleIdx=0, Type=3, Data="\275\232*\333B\353\330V\16%\16M\370\26/g"}, 28, ) }, 28, ) == 0x0
 03849   896   NtQueryValueKey  (212,  (212, "HashAlg", Partial, 280, ... TitleIdx=0, Type=4, Data="\3\200\0\0"}, 16, ) , Partial, 280, ... TitleIdx=0, Type=4, Data= (212, "HashAlg", Partial, 280, ... TitleIdx=0, Type=4, Data="\3\200\0\0"}, 16, ) }, 16, ) == 0x0
 03850   896   NtQueryValueKey  (212,  (212, "ItemSize", Partial, 280, ... TitleIdx=0, Type=11, Data="\345\0\0\0\0\0\0\0"}, 20, ) , Partial, 280, ... TitleIdx=0, Type=11, Data= (212, "ItemSize", Partial, 280, ... TitleIdx=0, Type=11, Data="\345\0\0\0\0\0\0\0"}, 20, ) }, 20, ) == 0x0
 03851   896   NtQueryValueKey  (212,  (212, "SaferFlags", Partial, 280, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 280, ... TitleIdx=0, Type=4, Data= (212, "SaferFlags", Partial, 280, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 03852   896   NtClose  (212, ... ) == 0x0
 03853   896   NtEnumerateKey  (208, 4, Basic, 280, ... {LastWrite={0x38ab3b74,0x1c74d7e}, TitleIdx=0, Name= (208, 4, Basic, 280, ... {LastWrite={0x38ab3b74,0x1c74d7e}, TitleIdx=0, Name="{dc971ee5-44eb-4fe4-ae2e-b91490411bfc}"}, 92, ) }, 92, ) == 0x0
 03854   896   NtOpenKey  (0x20019, {24, 208, 0x40, 0, 0,  (0x20019, {24, 208, 0x40, 0, 0, "{dc971ee5-44eb-4fe4-ae2e-b91490411bfc}"}, ... 212, ) }, ... 212, ) == 0x0
 03855   896   NtQueryValueKey  (212,  (212, "ItemData", Partial, 280, ... TitleIdx=0, Type=3, Data="8k\10_\204\354\366i\323k\225j"\300\36\200"}, 28, ) , Partial, 280, ... TitleIdx=0, Type=3, Data= (212, "ItemData", Partial, 280, ... TitleIdx=0, Type=3, Data="8k\10_\204\354\366i\323k\225j"\300\36\200"}, 28, ) \300\36\200"}, 28, ) == 0x0
 03856   896   NtQueryValueKey  (212,  (212, "HashAlg", Partial, 280, ... TitleIdx=0, Type=4, Data="\3\200\0\0"}, 16, ) , Partial, 280, ... TitleIdx=0, Type=4, Data= (212, "HashAlg", Partial, 280, ... TitleIdx=0, Type=4, Data="\3\200\0\0"}, 16, ) }, 16, ) == 0x0
 03857   896   NtQueryValueKey  (212,  (212, "ItemSize", Partial, 280, ... TitleIdx=0, Type=11, Data="r\1\0\0\0\0\0\0"}, 20, ) , Partial, 280, ... TitleIdx=0, Type=11, Data= (212, "ItemSize", Partial, 280, ... TitleIdx=0, Type=11, Data="r\1\0\0\0\0\0\0"}, 20, ) }, 20, ) == 0x0
 03858   896   NtQueryValueKey  (212,  (212, "SaferFlags", Partial, 280, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 280, ... TitleIdx=0, Type=4, Data= (212, "SaferFlags", Partial, 280, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 03859   896   NtClose  (212, ... ) == 0x0
 03860   896   NtEnumerateKey  (208, 5, Basic, 280, ... ) == STATUS_NO_MORE_ENTRIES
 03861   896   NtClose  (208, ... ) == 0x0
 03862   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\UrlZones"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03863   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\4096\Paths"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03864   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\4096\Hashes"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03865   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\4096\UrlZones"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03866   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\65536\Paths"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03867   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\65536\Hashes"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03868   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\65536\UrlZones"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03869   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Paths"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03870   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Hashes"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03871   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\UrlZones"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03872   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Paths"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03873   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Hashes"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03874   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\UrlZones"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03875   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 03876   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 03877   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 03878   896   NtClose  (208, ... ) == 0x0
 03879   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03880   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 03881   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 03882   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 03883   896   NtClose  (208, ... ) == 0x0
 03884   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03885   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 03886   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 03887   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 03888   896   NtClose  (208, ... ) == 0x0
 03889   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\UrlZones"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03890   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 03891   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 03892   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 03893   896   NtClose  (208, ... ) == 0x0
 03894   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\4096\Paths"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03895   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 03896   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 03897   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 03898   896   NtClose  (208, ... ) == 0x0
 03899   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\4096\Hashes"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03900   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 03901   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 03902   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 03903   896   NtClose  (208, ... ) == 0x0
 03904   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\4096\UrlZones"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03905   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 03906   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 03907   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 03908   896   NtClose  (208, ... ) == 0x0
 03909   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\65536\Paths"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03910   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 03911   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 03912   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 03913   896   NtClose  (208, ... ) == 0x0
 03914   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\65536\Hashes"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03915   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 03916   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 03917   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 03918   896   NtClose  (208, ... ) == 0x0
 03919   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\65536\UrlZones"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03920   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 03921   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 03922   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 03923   896   NtClose  (208, ... ) == 0x0
 03924   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Paths"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03925   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 03926   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 03927   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 03928   896   NtClose  (208, ... ) == 0x0
 03929   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Hashes"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03930   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 03931   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 03932   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 03933   896   NtClose  (208, ... ) == 0x0
 03934   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\UrlZones"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03935   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 03936   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 03937   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 03938   896   NtClose  (208, ... ) == 0x0
 03939   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Paths"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03940   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 03941   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 03942   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 03943   896   NtClose  (208, ... ) == 0x0
 03944   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Hashes"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03945   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 03946   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 03947   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 03948   896   NtClose  (208, ... ) == 0x0
 03949   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\UrlZones"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03950   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers"}, ... 208, ) }, ... 208, ) == 0x0
 03951   896   NtQueryValueKey  (208,  (208, "DefaultLevel", Full, 524, ... TitleIdx=0, Type=4, Name="DefaultLevel", Data="\0\0\4\0"}, 48, ) , Full, 524, ... TitleIdx=0, Type=4, Name= (208, "DefaultLevel", Full, 524, ... TitleIdx=0, Type=4, Name="DefaultLevel", Data="\0\0\4\0"}, 48, ) , Data= (208, "DefaultLevel", Full, 524, ... TitleIdx=0, Type=4, Name="DefaultLevel", Data="\0\0\4\0"}, 48, ) }, 48, ) == 0x0
 03952   896   NtClose  (208, ... ) == 0x0
 03953   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 03954   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 03955   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 03956   896   NtClose  (208, ... ) == 0x0
 03957   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03958   896   NtOpenThreadToken  (-2, 0x8, 0, ... ) == STATUS_NO_TOKEN
 03959   896   NtOpenProcessToken  (-1, 0xa, ... 208, ) == 0x0
 03960   896   NtDuplicateToken  (208, 0xc, {24, 0, 0x0, 0, 454644, 0x0}, 0, 2, ... 212, ) == 0x0
 03961   896   NtClose  (208, ... ) == 0x0
 03962   896   NtAccessCheck  (624816, 212, 0x1, 454720, 454772, 56, 454752, ... (0x1), ) == 0x0
 03963   896   NtClose  (212, ... ) == 0x0
 03964   896   NtOpenKey  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers"}, ... 212, ) }, ... 212, ) == 0x0
 03965   896   NtQueryValueKey  (212,  (212, "PolicyScope", Partial, 80, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 80, ... TitleIdx=0, Type=4, Data= (212, "PolicyScope", Partial, 80, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 03966   896   NtClose  (212, ... ) == 0x0
 03967   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\C:"}, ... 212, ) }, ... 212, ) == 0x0
 03968   896   NtQuerySymbolicLinkObject  (212, ...  (212, ... "\Device\HarddiskVolume1", 48, ) , 48, ) == 0x0
 03969   896   NtClose  (212, ... ) == 0x0
 03970   896   NtQueryVolumeInformationFile  (196, 452476, 8, Device, ... {status=0x0, info=8}, ) == 0x0
 03971   896   NtQueryInformationFile  (196, 452592, 528, Name, ... {status=0x0, info=98}, ) == 0x0
 03972   896   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 03973   896   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 03974   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\ed0e5e2507d6768a972ae1c0794a\update\update.exe"}, 451764, ... ) }, 451764, ... ) == 0x0
 03975   896   NtOpenFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\C:\ed0e5e2507d6768a972ae1c0794a\"}, 3, 16417, ... 212, {status=0x0, info=1}, ) }, 3, 16417, ... 212, {status=0x0, info=1}, ) == 0x0
 03976   896   NtQueryDirectoryFile  (212, 0, 0, 0, 451192, 616, BothDirectory, 1,  (212, 0, 0, 0, 451192, 616, BothDirectory, 1, "update", 0, ... {status=0x0, info=106}, ) , 0, ... {status=0x0, info=106}, ) == 0x0
 03977   896   NtClose  (212, ... ) == 0x0
 03978   896   NtOpenFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\C:\ed0e5e2507d6768a972ae1c0794a\update\"}, 3, 16417, ... 212, {status=0x0, info=1}, ) }, 3, 16417, ... 212, {status=0x0, info=1}, ) == 0x0
 03979   896   NtQueryDirectoryFile  (212, 0, 0, 0, 451192, 616, BothDirectory, 1,  (212, 0, 0, 0, 451192, 616, BothDirectory, 1, "update.exe", 0, ... {status=0x0, info=114}, ) , 0, ... {status=0x0, info=114}, ) == 0x0
 03980   896   NtClose  (212, ... ) == 0x0
 03981   896   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 03982   896   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 03983   896   NtQueryInformationFile  (196, 454632, 24, Standard, ... {status=0x0, info=24}, ) == 0x0
 03984   896   NtCreateSection  (0xf0005, 0x0, {411136, 0}, 2, 134217728, 196, ... 212, ) == 0x0
 03985   896   NtMapViewOfSection  (212, -1, (0x0), 0, 0, {0, 0}, 411136, 1, 0, 2, ... (0xb60000), {0, 0}, 413696, ) == 0x0
 03986   896   NtClose  (212, ... ) == 0x0
 03987   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 03988   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 212, ) == 0x0
 03989   896   NtQueryInformationToken  (212, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 03990   896   NtClose  (212, ... ) == 0x0
 03991   896   NtOpenKey  (0x20019, {24, 0, 0x640, 0, 0,  (0x20019, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... 212, ) }, ... 212, ) == 0x0
 03992   896   NtOpenKey  (0x20019, {24, 212, 0x40, 0, 0,  (0x20019, {24, 212, 0x40, 0, 0, "Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders"}, ... 208, ) }, ... 208, ) == 0x0
 03993   896   NtClose  (212, ... ) == 0x0
 03994   896   NtQueryValueKey  (208,  (208, "Cache", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_BUFFER_OVERFLOW
 03995   896   NtQueryValueKey  (208,  (208, "Cache", Partial, 174, ... TitleIdx=0, Type=1, Data="C\0:\0\\0D\0o\0c\0u\0m\0e\0n\0t\0s\0 \0a\0n\0d\0 \0S\0e\0t\0t\0i\0n\0g\0s\0\\0M\0a\0r\0t\0i\0m\0 \0C\0a\0r\0b\0o\0n\0e\0\\0L\0o\0c\0a\0l\0 \0S\0e\0t\0t\0i\0n\0g\0s\0\\0T\0e\0m\0p\0o\0r\0a\0r\0y\0 \0I\0n\0t\0e\0r\0n\0e\0t\0 \0F\0i\0l\0e\0s\0\0\0"}, 174, ) , Partial, 174, ... TitleIdx=0, Type=1, Data= (208, "Cache", Partial, 174, ... TitleIdx=0, Type=1, Data="C\0:\0\\0D\0o\0c\0u\0m\0e\0n\0t\0s\0 \0a\0n\0d\0 \0S\0e\0t\0t\0i\0n\0g\0s\0\\0M\0a\0r\0t\0i\0m\0 \0C\0a\0r\0b\0o\0n\0e\0\\0L\0o\0c\0a\0l\0 \0S\0e\0t\0t\0i\0n\0g\0s\0\\0T\0e\0m\0p\0o\0r\0a\0r\0y\0 \0I\0n\0t\0e\0r\0n\0e\0t\0 \0F\0i\0l\0e\0s\0\0\0"}, 174, ) }, 174, ) == 0x0
 03996   896   NtClose  (208, ... ) == 0x0
 03997   896   NtUnmapViewOfSection  (-1, 0xb60000, ... ) == 0x0
 03998   896   NtAllocateVirtualMemory  (-1, 0, 0, 4096, 8192, 4, ... 8454144, 4096, ) == 0x0
 03999   896   NtAllocateVirtualMemory  (-1, 8454144, 0, 4096, 4096, 4, ... 8454144, 4096, ) == 0x0
 04000   896   NtOpenKey  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers"}, ... 208, ) }, ... 208, ) == 0x0
 04001   896   NtQueryValueKey  (208,  (208, "LogFileName", Partial, 536, ... ) , Partial, 536, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04002   896   NtClose  (208, ... ) == 0x0
 04003   896   NtOpenKey  (0x3, {24, 0, 0x40, 0, 0,  (0x3, {24, 0, 0x40, 0, 0, "\Registry\MACHINE\System\CurrentControlSet\Control\SafeBoot\Option"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04004   896   NtQueryInformationToken  (204, User, 128, ... {token info, class 1, size 36}, 36, ) == 0x0
 04005   896   NtQueryInformationToken  (204, 15, 4, ... {token info, class 15, size 4}, 4, ) == 0x0
 04006   896   NtClose  (204, ... ) == 0x0
 04007   896   NtQuerySection  (200, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 04008   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\update.exe"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04009   896   NtQuerySystemInformation  (71, 4, ... {system info, class 71, size 4}, 0x0, ) == 0x0
 04010   896   NtCreateProcessEx  (456556, 2035711, 0, -1, 0, 200, 0, 0, 0, ... ) == 0x0
 04011   896   NtSetInformationProcess  (204, PriorityClass, {process info, class 18, size 2}, 512, ... ) == 0x0
 04012   896   NtQueryInformationProcess  (204, Basic, 24, ... {ExitStatus=0x103,PebBaseAddress=0x7ffde000,AffinityMask=0x1,BasePriority=8,Pid=476,ParentPid=1252,}, 0x0, ) == 0x0
 04013   896   NtReadVirtualMemory  (204, 0x7ffde008, 4, ...  (204, 0x7ffde008, 4, ... "\0\0\0\1", 0x0, ) , 0x0, ) == 0x0
 04014   896   NtOpenFile  (0x1200a9, {24, 0, 0x40, 0, 0,  (0x1200a9, {24, 0, 0x40, 0, 0, "\??\c:\ed0e5e2507d6768a972ae1c0794a\update\update.exe.Manifest"}, 1, 96, ... ) }, 1, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04015   896   NtReadVirtualMemory  (204, 0x1000000, 4096, ...  (204, 0x1000000, 4096, ... "MZ\220\0\3\0\0\0\4\0\0\0\377\377\0\0\270\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\360\0\0\0\16\37\272\16\0\264\11\315!\270\1L\315!This program cannot be run in DOS mode.\15\15\12$\0\0\0\0\0\0\0N)\311\226\12H\247\305\12H\247\305\12H\247\3059j\202\305\10H\247\305\12H\247\305\10H\247\305\360k\347\305\13H\247\305\12H\246\305tI\247\305\360k\276\305#H\247\305\235k\342\305\13H\247\305\320k\273\305$H\247\305\360k\232\305\13H\247\305Rich\12H\247\305\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0PE\0\0L\1\3\0[\260o>\0\0\0\0\0\0\0\0\340\0\17\15\13\1\7\0\0\342\4\0\0\20\4\0\0\0\0\0\0\310\4\0\0\20\0\0\0\20\4\0\0\0\0\1\0\20\0\0\0\2\0\0\5\0\1\0CS P\4\0\0\0\0\0\0\0\0 \11\0\0\4\0\0\207\342\6\0\2\0\0\200\0\0\4\0\0\20\0\0\0\0\20\0\0\20\0\0\0\0\0\0\20\0\0\0\0\0\0\0\0\0\0\0\304\315\4\0\220\1\0\0\0\320\7\0\210B\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\200\361\4\08\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\04\6\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0.text\0\0\0\270\341\4\0", 4096, ) , 4096, ) == 0x0
 04016   896   NtReadVirtualMemory  (204, 0x107d000, 256, ...  (204, 0x107d000, 256, ... "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\6\0\2\0\0\0@\0\0\200\3\0\0\0x\0\0\200\5\0\0\0\250\0\0\200\6\0\0\0(\1\0\200\16\0\0\0\260\1\0\200\20\0\0\0\320\1\0\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\5\0M\4\0\0\350\1\0\200N\4\0\0\0\2\0\200O\4\0\0\30\2\0\200\15+\0\00\2\0\200\326+\0\0H\2\0\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\4\0\1\0\0\0`\2\0\200\2\0\0\0x\2\0\200\3\0\0\0\220\2\0\200\4\0\0\0\250\2\0\200\0\0\0\0\0\0\0\0\0\0\0\0\2\0\14\0\212\10\0\200\300\2\0\200P\10\0\200\330\2\0\200e\0\0\0\360\2\0\200i\0\0\0\10\3\0\200k\0\0\0 \3\0\200q\0\0\08\3\0\200\311\0\0\0P\3\0\200S\4\0\0h\3\0\200T\4\0\0\200\3\0\200", 256, ) , 256, ) == 0x0
 04017   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 04018   896   NtQueryInformationProcess  (204, Basic, 24, ... {ExitStatus=0x103,PebBaseAddress=0x7ffde000,AffinityMask=0x1,BasePriority=8,Pid=476,ParentPid=1252,}, 0x0, ) == 0x0
 04019   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\c:\ed0e5e2507d6768a972ae1c0794a\update"}, 455508, ... ) }, 455508, ... ) == 0x0
 04020   896   NtAllocateVirtualMemory  (-1, 0, 0, 2564, 4096, 4, ... 8519680, 4096, ) == 0x0
 04021   896   NtAllocateVirtualMemory  (204, 0, 0, 6674, 4096, 4, ... 65536, 8192, ) == 0x0
 04022   896   NtWriteVirtualMemory  (204, 0x10000,  (204, 0x10000, "=\0A\0:\0=\0A\0:\0\\0\0\0=\0C\0:\0=\0C\0:\0\\0s\0c\0r\0i\0p\0t\0s\0\0\0=\0U\0:\0=\0U\0:\0\\0\0\0A\0L\0L\0U\0S\0E\0R\0S\0P\0R\0O\0F\0I\0L\0E\0=\0C\0:\0\\0D\0o\0c\0u\0m\0e\0n\0t\0s\0 \0a\0n\0d\0 \0S\0e\0t\0t\0i\0n\0g\0s\0\\0A\0l\0l\0 \0U\0s\0e\0r\0s\0\0\0A\0P\0P\0D\0A\0T\0A\0=\0C\0:\0\\0D\0o\0c\0u\0m\0e\0n\0t\0s\0 \0a\0n\0d\0 \0S\0e\0t\0t\0i\0n\0g\0s\0\\0M\0a\0r\0t\0i\0m\0 \0C\0a\0r\0b\0o\0n\0e\0\\0A\0p\0p\0l\0i\0c\0a\0t\0i\0o\0n\0 \0D\0a\0t\0a\0\0\0A\0T\0L\0_\0I\0N\0C\0_\0P\0A\0T\0H\0=\0C\0:\0\\0W\0I\0N\0D\0D\0K\0\\03\07\09\00\0~\01\0.\01\08\03\0\\0i\0n\0c\0\0\0A\0T\0L\0_\0I\0N\0C\0_\0R\0O\0O\0T\0=\0C\0:\0\\0W\0I\0N\0D\0D\0K\0\\03\07\09\00\0~\01\0.\01\08\03\0\\0i\0n\0c\0\0\0A\0T\0L\0_\0L\0I\0B\0_\0P\0A\0T\0H\0=\0C\0:\0\\0W\0I\0N\0D\0D\0K\0\\03\07\0", 6674, ... 0x0, ) , 6674, ... 0x0, ) == 0x0
 04023   896   NtAllocateVirtualMemory  (204, 0, 0, 2564, 4096, 4, ... 131072, 4096, ) == 0x0
 04024   896   NtWriteVirtualMemory  (204, 0x20000,  (204, 0x20000, "\0\20\0\0\4\12\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\3\0\0\0\0\0\0\0\13\0\0\0L\0\10\2\220\2\0\0\0\0\0\0\32\4\34\4\230\4\0\0b\0d\0\264\10\0\0b\0d\0\30\11\0\0\0\0\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\1\0\0\0b\0d\0|\11\0\0\36\0 \0\340\11\0\0\0\0\2\0\0\12\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 2564, ... 0x0, ) , 2564, ... 0x0, ) == 0x0
 04025   896   NtWriteVirtualMemory  (204, 0x7ffde010,  (204, 0x7ffde010, "\0\0\2\0", 4, ... 0x0, ) , 4, ... 0x0, ) == 0x0
 04026   896   NtWriteVirtualMemory  (204, 0x7ffde1e8,  (204, 0x7ffde1e8, "\0\0\0\0", 4, ... 0x0, ) , 4, ... 0x0, ) == 0x0
 04027   896   NtFreeVirtualMemory  (-1, (0x820000), 0, 32768, ... (0x820000), 4096, ) == 0x0
 04028   896   NtAllocateVirtualMemory  (204, 0, 0, 262144, 8192, 4, ... 196608, 262144, ) == 0x0
 04029   896   NtAllocateVirtualMemory  (204, 450560, 0, 8192, 4096, 4, ... 450560, 8192, ) == 0x0
 04030   896   NtProtectVirtualMemory  (204, (0x6e000), 4096, 260, ... (0x6e000), 4096, 4, ) == 0x0
 04031   896   NtCreateThread  (0x1f03ff, 0x0, 204, 456564, 456228, 1, ... 208, {476, 1744}, ) == 0x0
 04032   896   NtRequestWaitReplyPort  (24, {168, 196, new_msg, 0, 2090329280, 2089894127, 2089894075, 0}  (24, {168, 196, new_msg, 0, 2090329280, 2089894127, 2089894075, 0} "\0\0\0\0\0\0\1\0\2\0\0\05\0\0\0\317\0\0\0\320\0\0\0\334\1\0\0\320\6\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\0\0\10\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\340\375\177\0\0\0\0\0\0p\0d\0a\0" ... {168, 196, reply, 0, 1252, 896, 81849, 0} "\0\0\0\0\0\0\1\0\0\0\0\05\0\0\0\314\0\0\0\320\0\0\0\334\1\0\0\320\6\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\0\0\10\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\340\375\177\0\0\0\0\0\0p\0d\0a\0" )  ... {168, 196, reply, 0, 1252, 896, 81849, 0}  (24, {168, 196, new_msg, 0, 2090329280, 2089894127, 2089894075, 0} "\0\0\0\0\0\0\1\0\2\0\0\05\0\0\0\317\0\0\0\320\0\0\0\334\1\0\0\320\6\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\0\0\10\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\340\375\177\0\0\0\0\0\0p\0d\0a\0" ... {168, 196, reply, 0, 1252, 896, 81849, 0} "\0\0\0\0\0\0\1\0\0\0\0\05\0\0\0\314\0\0\0\320\0\0\0\334\1\0\0\320\6\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\0\0\10\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\340\375\177\0\0\0\0\0\0p\0d\0a\0" )  ) == 0x0
 04033   896   NtResumeThread  (208, ... 1, ) == 0x0
 04034   896   NtClose  (196, ... ) == 0x0
 04035   896   NtClose  (200, ... ) == 0x0
 04036   896   NtUserShowWindow  (590128, 0, ...
 03665  2016   NtUserWaitMessage  ... ) == 0x1
 04037  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 04038  2016   NtUserGetThreadState  (0, ... ) == 0xc0144
 04039  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 04037  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ) == 0x0
 04040  2016   NtUserWaitMessage  (... ) == 0x1
 04041  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ) == 0x0
 04042  2016   NtUserWaitMessage  (... ) == 0x1
 04043  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 04044  2016   NtUserInternalGetWindowText  (0x90130, 260, ...  (0x90130, 260, ... "Extracting Files", ) , ) == 0x10
 04045  2016   NtUserGetWindowDC  (590128, ... ) == 0x1010050
 04046  2016   NtGdiGetRandomRgn  (16842832, -855374215, 1, ... ) == 0x0
 04047  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 0, 0, ... ) == 0x3
 04048  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 04049  2016   NtGdiExtSelectClipRgn  (16842832, 0, 5, ... ) == 0x1
 04050  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 04051  2016   NtUserCalcMenuBar  (590128, 3, 3, 29, 2501400, ... ) == 0x0
 04052  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 8386792, 690, 0, ...
 04053  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 0, 670, 1, ... ) == 0x0
 04052  2016   NtUserMessageCall  ... ) == 0x0
 04054  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 8386792, 690, 0, ...
 04055  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 0, 670, 1, ... ) == 0x0
 04054  2016   NtUserMessageCall  ... ) == 0x0
 04056  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 8386792, 690, 0, ...
 04057  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 04056  2016   NtUserMessageCall  ... ) == 0x0
 04058  2016   NtUserGetTitleBarInfo  (590128, 8387424, ... ) == 0x1
 04059  2016   NtUserBuildHwndList  (0, 590128, 1, 0, 64, ... (0xc0144, 0xa0132, 0xa0142, 0xb0116, 0x100100, 0x1, ), 6, ) == 0x0
 04060  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 04061  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 04062  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 04063  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 04064  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 04065  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 04066  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 04067  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 04068  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 04069  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 04070  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 04071  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 04072  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 04073  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 04074  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 04036   896   NtUserShowWindow  ... ) == 0x10
 04075   896   NtWaitForSingleObject  (204, 0, 0x0, ...
 04043  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114d4, {0, 0}}, ) == 0x0
 04076  2016   NtUserWaitMessage  (... ) == 0x1
 04077  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13116e7, {0, 0}}, ) == 0x1
 04078  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04079  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 04080  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04081  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04082  2016   NtUserDispatchMessage  ({0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13116e7, {0, 0}}, ... ) == 0x0
 04083  2016   NtUserWaitMessage  (... ) == 0x1
 04084  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13118fb, {0, 0}}, ) == 0x1
 04085  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04086  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 04087  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04088  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04089  2016   NtUserDispatchMessage  ({0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13118fb, {0, 0}}, ... ) == 0x0
 04090  2016   NtUserWaitMessage  (... ) == 0x1
 04091  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x1311b0e, {0, 0}}, ) == 0x1
 04092  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04093  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 04094  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04095  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04096  2016   NtUserDispatchMessage  ({0x90130, 0x118, 0xfff8, 0xbf807d10, 0x1311b0e, {0, 0}}, ... ) == 0x0
 04097  2016   NtUserWaitMessage  (... ) == 0x1
 04098  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x1311d21, {0, 0}}, ) == 0x1
 04099  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04100  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 04101  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04102  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04103  2016   NtUserDispatchMessage  ({0x90130, 0x118, 0xfff8, 0xbf807d10, 0x1311d21, {0, 0}}, ... ) == 0x0
 04104  2016   NtUserWaitMessage  (... ) == 0x1
 04105  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x1311f34, {0, 0}}, ) == 0x1
 04106  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04107  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 04108  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04109  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04110  2016   NtUserDispatchMessage  ({0x90130, 0x118, 0xfff8, 0xbf807d10, 0x1311f34, {0, 0}}, ...
 04111  2016   NtUserMessageCall  (0x90130, WM_NCACTIVATE, 0x0, 0xffffffff, 0, 670, 1, ... ) == 0x1
 04112  2016   NtUserInternalGetWindowText  (0x90130, 260, ...  (0x90130, 260, ... "Extracting Files", ) , ) == 0x10
 04113  2016   NtUserGetWindowDC  (590128, ... ) == 0x1010050
 04114  2016   NtGdiGetRandomRgn  (16842832, -838596999, 1, ... ) == 0x0
 04115  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 0, 0, ... ) == 0x3
 04116  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 04117  2016   NtGdiExtSelectClipRgn  (16842832, 0, 5, ... ) == 0x1
 04118  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 04119  2016   NtUserCalcMenuBar  (590128, 3, 3, 29, 2501400, ... ) == 0x0
 04120  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 8386476, 690, 0, ...
 04121  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 0, 670, 1, ... ) == 0x0
 04120  2016   NtUserMessageCall  ... ) == 0x0
 04122  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 8386476, 690, 0, ...
 04123  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 0, 670, 1, ... ) == 0x0
 04122  2016   NtUserMessageCall  ... ) == 0x0
 04124  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 8386476, 690, 0, ...
 04125  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 04124  2016   NtUserMessageCall  ... ) == 0x0
 04126  2016   NtUserGetTitleBarInfo  (590128, 8387108, ... ) == 0x1
 04127  2016   NtUserGetDCEx  (590128, 0, 66561, ... ) == 0x1010053
 04128  2016   NtGdiExcludeClipRect  (16842835, 3, 29, 333, 127, ... ) == 0x3
 04129  2016   NtGdiDrawStream  (16842835, 96, 8386592, ... ) == 0x1
 04130  2016   NtGdiDrawStream  (16842835, 96, 8386592, ... ) == 0x1
 04131  2016   NtGdiDrawStream  (16842835, 96, 8386592, ... ) == 0x1
 04132  2016   NtGdiCreateCompatibleBitmap  (16842835, 336, 29, ... ) == 0x6050501
 04133  2016   NtGdiCreateCompatibleDC  (16842835, ... ) == 0xdb010609
 04134  2016   NtGdiSelectBitmap  (-620689911, 100992257, ... ) == 0x185000f
 04135  2016   NtGdiDrawStream  (-620689911, 96, 8386484, ... ) == 0x1
 04136  2016   NtGdiDrawStream  (-620689911, 96, 8386440, ... ) == 0x1
 04137  2016   NtGdiDrawStream  (-620689911, 96, 8386440, ... ) == 0x1
 04138  2016   NtUserInternalGetWindowText  (0x90130, 260, ...  (0x90130, 260, ... "Extracting Files", ) , ) == 0x10
 04139  2016   NtGdiGetRandomRgn  (-620689911, -821819783, 1, ... ) == 0x0
 04140  2016   NtGdiIntersectClipRect  (-620689911, 7, 7, 307, 25, ... ) == 0x3
 04141  2016   NtGdiExtSelectClipRgn  (-620689911, 0, 5, ... ) == 0x2
 04142  2016   NtGdiBitBlt  (16842835, 0, 0, 336, 29, -620689911, 0, 0, 13369376, -1, 0, ... ) == 0x1
 04143  2016   NtGdiSelectBitmap  (-620689911, 25493519, ... ) == 0x6050501
 04144  2016   NtGdiDeleteObjectApp  (-620689911, ... ) == 0x1
 04145  2016   NtGdiDeleteObjectApp  (100992257, ... ) == 0x1
 04146  2016   NtUserCallOneParam  (16842835, 57, ... ) == 0x1
 04110  2016   NtUserDispatchMessage  ... ) == 0x0
 04147  2016   NtUserWaitMessage  (...
NtAddAtom(>)	1	NtGdiGetWidthTable(>)	2	NtQuerySymbolicLinkObject(>)	6	NtUserRegisterWindowMessage(>)	25
NtConnectPort(>)	1	NtGdiStretchDIBitsInternal(>)	2	NtUserFillWindow(>)	6	NtOpenDirectoryObject(>)	28
NtCreateProcessEx(>)	1	NtOpenEvent(>)	2	NtUserGetClassName(>)	6	NtOpenSection(>)	28
NtEnumerateValueKey(>)	1	NtQueryInstallUILanguage(>)	2	NtUserSetWindowFNID(>)	6	NtGdiGetCharSet(>)	29
NtFlushVirtualMemory(>)	1	NtRegisterThreadTerminatePort(>)	2	NtAccessCheck(>)	7	NtUserGetWindowDC(>)	29
NtGdiCreateDIBitmapInternal(>)	1	NtResumeThread(>)	2	NtGdiFlush(>)	7	NtWaitForSingleObject(>)	29
NtGdiExtCreateRegion(>)	1	NtSetEvent(>)	2	NtOpenThreadToken(>)	7	NtGdiDrawStream(>)	30
NtGdiGetDCObject(>)	1	NtTestAlert(>)	2	NtUserGetAncestor(>)	7	NtUnmapViewOfSection(>)	30
NtGdiGetTextCharsetInfo(>)	1	NtUserGetImeInfoEx(>)	2	NtCreateKey(>)	8	NtQueryInformationFile(>)	35
NtGdiInit(>)	1	NtUserGetKeyboardLayoutList(>)	2	NtEnumerateKey(>)	8	NtOpenProcessTokenEx(>)	36
NtGdiOffsetRgn(>)	1	NtUserKillTimer(>)	2	NtSetValueKey(>)	8	NtOpenThreadTokenEx(>)	36
NtGdiQueryFontAssocInfo(>)	1	NtUserQueryInputContext(>)	2	NtUserCallNoParam(>)	8	NtUserEndPaint(>)	38
NtNotifyChangeKey(>)	1	NtUserSetFocus(>)	2	NtUserShowWindow(>)	8	NtGdiIntersectClipRect(>)	39
NtOpenKeyedEvent(>)	1	NtUserSetWindowRgn(>)	2	NtUserCalcMenuBar(>)	9	NtQueryVirtualMemory(>)	40
NtOpenMutant(>)	1	NtUserUpdateInputContext(>)	2	NtUserGetThreadState(>)	9	NtQueryInformationToken(>)	47
NtOpenProcess(>)	1	NtDuplicateObject(>)	3	NtUserGetTitleBarInfo(>)	9	NtUserBeginPaint(>)	48
NtQueryFullAttributesFile(>)	1	NtDuplicateToken(>)	3	NtQueryDebugFilterState(>)	10	NtOpenSymbolicLinkObject(>)	52
NtQueryInformationJobObject(>)	1	NtGdiHfontCreate(>)	3	NtCreateEvent(>)	11	NtAllocateVirtualMemory(>)	54
NtQueryInformationThread(>)	1	NtReadVirtualMemory(>)	3	NtQuerySection(>)	11	NtQueryInformationProcess(>)	55
NtQueryObject(>)	1	NtSetInformationObject(>)	3	NtQueryVolumeInformationFile(>)	11	NtSetInformationFile(>)	55
NtQueryPerformanceCounter(>)	1	NtUserGetObjectInformation(>)	3	NtUserSetProp(>)	11	NtUserRedrawWindow(>)	55
NtQuerySystemTime(>)	1	NtUserGetThreadDesktop(>)	3	NtUserSetWindowLong(>)	11	NtUserFindExistingCursorIcon(>)	56
NtSecureConnectPort(>)	1	NtUserSetWindowPos(>)	3	NtQueryDefaultUILanguage(>)	12	NtQueryAttributesFile(>)	57
NtUserCallHwndParam(>)	1	NtCreateSemaphore(>)	4	NtUserQueryWindow(>)	12	NtCreateFile(>)	62
NtUserFindWindowEx(>)	1	NtGdiExtGetObjectW(>)	4	NtGdiCreateCompatibleDC(>)	13	NtUserCallOneParam(>)	62
NtUserGetGUIThreadInfo(>)	1	NtSetInformationThread(>)	4	NtOpenProcessToken(>)	13	NtMapViewOfSection(>)	63
NtUserGetIconInfo(>)	1	NtUserGetClassInfo(>)	4	NtRequestWaitReplyPort(>)	14	NtUserRegisterClassExWOW(>)	64
NtUserGetIconSize(>)	1	NtUserSetWindowsHookEx(>)	4	NtUserInternalGetWindowText(>)	14	NtQuerySystemInformation(>)	76
NtUserGetProcessWindowStation(>)	1	NtWriteVirtualMemory(>)	4	NtContinue(>)	15	NtQueryDefaultLocale(>)	77
NtUserNotifyIMEStatus(>)	1	NtFsControlFile(>)	5	NtUserCallMsgFilter(>)	15	NtCreateSection(>)	91
NtUserSetCursor(>)	1	NtGdiExcludeClipRect(>)	5	NtGdiDeleteObjectApp(>)	16	NtWriteFile(>)	91
NtUserSetCursorIconData(>)	1	NtUserBuildHwndList(>)	5	NtSetInformationProcess(>)	16	NtFlushInstructionCache(>)	92
NtUserSetImeOwnerWindow(>)	1	NtUserCallHwndLock(>)	5	NtUserCreateWindowEx(>)	16	NtQueryValueKey(>)	95
NtUserSetTimer(>)	1	NtUserGetAtomName(>)	5	NtGdiExtSelectClipRgn(>)	17	NtOpenFile(>)	98
NtCallbackReturn(>)	2	NtUserGetDCEx(>)	5	NtGdiGetRandomRgn(>)	17	NtUserWaitMessage(>)	118
NtCreateIoCompletion(>)	2	NtUserGetForegroundWindow(>)	5	NtUserDefSetText(>)	17	NtUserPeekMessage(>)	133
NtCreateThread(>)	2	NtUserPostThreadMessage(>)	5	NtUserSystemParametersInfo(>)	17	NtOpenKey(>)	172
NtFreeVirtualMemory(>)	2	NtUserRemoveProp(>)	5	NtGdiSelectBitmap(>)	19	NtProtectVirtualMemory(>)	186
NtGdiCreateBitmap(>)	2	NtCreateMutant(>)	6	NtUserGetDC(>)	19	NtUserMessageCall(>)	227
NtGdiCreatePatternBrushInternal(>)	2	NtGdiBitBlt(>)	6	NtQueryDirectoryFile(>)	21	NtReadFile(>)	269
NtGdiCreateSolidBrush(>)	2	NtGdiCombineRgn(>)	6	NtUserDispatchMessage(>)	21	NtUserValidateHandleSecure(>)	373
NtGdiDoPalette(>)	2	NtGdiCreateCompatibleBitmap(>)	6	NtDeviceIoControlFile(>)	22	NtClose(>)	426
NtGdiGetDIBitsInternal(>)	2	NtGdiCreateRectRgn(>)	6	NtUserGetControlBrush(>)	22
NtGdiGetTextMetricsW(>)	2	NtGdiGetStockObject(>)	6