Summary:


NtAddAtom(>)  1 
NtGdiGetWidthTable(>)  2 
NtUserFillWindow(>)  6 
NtOpenSection(>)  26 

NtConnectPort(>)  1 
NtGdiStretchDIBitsInternal(>)  2 
NtUserGetClassName(>)  6 
NtUnmapViewOfSection(>)  26 

NtCreateProcessEx(>)  1 
NtOpenEvent(>)  2 
NtUserPostThreadMessage(>)  6 
NtOpenDirectoryObject(>)  28 

NtEnumerateValueKey(>)  1 
NtQueryInstallUILanguage(>)  2 
NtUserSetWindowFNID(>)  6 
NtUserGetControlBrush(>)  29 

NtFlushVirtualMemory(>)  1 
NtRegisterThreadTerminatePort(>)  2 
NtAccessCheck(>)  7 
NtUserGetWindowDC(>)  29 

NtGdiCreateDIBitmapInternal(>)  1 
NtResumeThread(>)  2 
NtOpenThreadToken(>)  7 
NtGdiDrawStream(>)  30 

NtGdiExtCreateRegion(>)  1 
NtSetEvent(>)  2 
NtUserGetAncestor(>)  7 
NtWaitForSingleObject(>)  32 

NtGdiGetDCObject(>)  1 
NtTestAlert(>)  2 
NtCreateKey(>)  8 
NtGdiGetCharSet(>)  34 

NtGdiGetTextCharsetInfo(>)  1 
NtUserGetImeInfoEx(>)  2 
NtEnumerateKey(>)  8 
NtOpenProcessTokenEx(>)  36 

NtGdiInit(>)  1 
NtUserGetKeyboardLayoutList(>)  2 
NtSetValueKey(>)  8 
NtQueryVirtualMemory(>)  36 

NtGdiOffsetRgn(>)  1 
NtUserKillTimer(>)  2 
NtUserCallNoParam(>)  8 
NtOpenThreadTokenEx(>)  37 

NtGdiQueryFontAssocInfo(>)  1 
NtUserQueryInputContext(>)  2 
NtUserShowWindow(>)  8 
NtQueryInformationFile(>)  41 

NtNotifyChangeKey(>)  1 
NtUserSetFocus(>)  2 
NtUserCalcMenuBar(>)  9 
NtGdiIntersectClipRect(>)  45 

NtOpenKeyedEvent(>)  1 
NtUserSetWindowRgn(>)  2 
NtUserGetThreadState(>)  9 
NtQueryInformationToken(>)  47 

NtOpenMutant(>)  1 
NtUserUpdateInputContext(>)  2 
NtUserGetTitleBarInfo(>)  9 
NtUserEndPaint(>)  49 

NtOpenProcess(>)  1 
NtDuplicateObject(>)  3 
NtGdiFlush(>)  10 
NtQueryInformationProcess(>)  51 

NtQueryFullAttributesFile(>)  1 
NtDuplicateToken(>)  3 
NtQueryDebugFilterState(>)  10 
NtOpenSymbolicLinkObject(>)  52 

NtQueryInformationJobObject(>)  1 
NtGdiHfontCreate(>)  3 
NtCreateEvent(>)  11 
NtQueryAttributesFile(>)  52 

NtQueryInformationThread(>)  1 
NtReadVirtualMemory(>)  3 
NtQuerySection(>)  11 
NtAllocateVirtualMemory(>)  54 

NtQueryObject(>)  1 
NtSetInformationObject(>)  3 
NtUserSetProp(>)  11 
NtUserFindExistingCursorIcon(>)  56 

NtQueryPerformanceCounter(>)  1 
NtUserGetObjectInformation(>)  3 
NtUserSetWindowLong(>)  11 
NtMapViewOfSection(>)  58 

NtQuerySystemTime(>)  1 
NtUserGetThreadDesktop(>)  3 
NtQueryDefaultUILanguage(>)  12 
NtUserBeginPaint(>)  60 

NtSecureConnectPort(>)  1 
NtUserSetWindowPos(>)  3 
NtQueryVolumeInformationFile(>)  12 
NtUserRegisterClassExWOW(>)  64 

NtUserCallHwndParam(>)  1 
NtCreateSemaphore(>)  4 
NtSetInformationProcess(>)  12 
NtUserCallOneParam(>)  68 

NtUserFindWindowEx(>)  1 
NtGdiExtGetObjectW(>)  4 
NtUserQueryWindow(>)  12 
NtSetInformationFile(>)  73 

NtUserGetGUIThreadInfo(>)  1 
NtSetInformationThread(>)  4 
NtGdiCreateCompatibleDC(>)  13 
NtQueryDefaultLocale(>)  75 

NtUserGetIconInfo(>)  1 
NtUserGetClassInfo(>)  4 
NtOpenProcessToken(>)  13 
NtQuerySystemInformation(>)  76 

NtUserGetIconSize(>)  1 
NtUserSetWindowsHookEx(>)  4 
NtRequestWaitReplyPort(>)  14 
NtUserRedrawWindow(>)  79 

NtUserGetProcessWindowStation(>)  1 
NtWriteVirtualMemory(>)  4 
NtUserInternalGetWindowText(>)  14 
NtCreateSection(>)  87 

NtUserNotifyIMEStatus(>)  1 
NtFsControlFile(>)  5 
NtUserCallMsgFilter(>)  15 
NtCreateFile(>)  91 

NtUserSetCursor(>)  1 
NtGdiExcludeClipRect(>)  5 
NtGdiDeleteObjectApp(>)  16 
NtFlushInstructionCache(>)  91 

NtUserSetCursorIconData(>)  1 
NtUserBuildHwndList(>)  5 
NtUserCreateWindowEx(>)  16 
NtOpenFile(>)  93 

NtUserSetImeOwnerWindow(>)  1 
NtUserCallHwndLock(>)  5 
NtGdiExtSelectClipRgn(>)  17 
NtQueryValueKey(>)  95 

NtUserSetTimer(>)  1 
NtUserGetAtomName(>)  5 
NtGdiGetRandomRgn(>)  17 
NtUserWaitMessage(>)  154 

NtCallbackReturn(>)  2 
NtUserGetDCEx(>)  5 
NtUserSystemParametersInfo(>)  17 
NtWriteFile(>)  163 

NtCreateIoCompletion(>)  2 
NtUserGetForegroundWindow(>)  5 
NtQueryDirectoryFile(>)  18 
NtUserPeekMessage(>)  170 

NtCreateThread(>)  2 
NtUserRemoveProp(>)  5 
NtGdiSelectBitmap(>)  19 
NtOpenKey(>)  172 

NtFreeVirtualMemory(>)  2 
NtCreateMutant(>)  6 
NtContinue(>)  20 
NtProtectVirtualMemory(>)  184 

NtGdiCreateBitmap(>)  2 
NtGdiBitBlt(>)  6 
NtUserDispatchMessage(>)  21 
NtUserMessageCall(>)  265 

NtGdiCreatePatternBrushInternal(>)  2 
NtGdiCombineRgn(>)  6 
NtDeviceIoControlFile(>)  22 
NtReadFile(>)  403 

NtGdiCreateSolidBrush(>)  2 
NtGdiCreateCompatibleBitmap(>)  6 
NtUserDefSetText(>)  23 
NtUserValidateHandleSecure(>)  414 

NtGdiDoPalette(>)  2 
NtGdiCreateRectRgn(>)  6 
NtReleaseMutant(>)  24 
NtClose(>)  431 

NtGdiGetDIBitsInternal(>)  2 
NtGdiGetStockObject(>)  6 
NtUserGetDC(>)  25 

NtGdiGetTextMetricsW(>)  2 
NtQuerySymbolicLinkObject(>)  6 

Trace:
 00001   896   NtOpenFile  (0x80100000, {24, 0, 0x240, 0, 0,  (0x80100000, {24, 0, 0x240, 0, 0, "\SystemRoot\Prefetch\PACKED.EXE-09ED06A1.pf"}, 0, 32, ... -2147481368, {status=0x0, info=1}, ) }, 0, 32, ... -2147481368, {status=0x0, info=1}, ) == 0x0
 00002   896   NtQueryInformationFile  (-2147481368, -142414796, 24, Standard, ... {status=0x0, info=24}, ) == 0x0
 00003   896   NtReadFile  (-2147481368, 0, 0, 0, 13474, 0x0, 0, ... {status=0x0, info=13474},  (-2147481368, 0, 0, 0, 13474, 0x0, 0, ... {status=0x0, info=13474}, "\21\0\0\0SCCA\17\0\0\0\2424\0\0P\0A\0C\0K\0E\0D\0.\0E\0X\0E\0\0\0\0\00\366i\201\0\0\0\0\0\0\0\0\20\0\0\0@-\201\367\0@\300\367\30,\201\367x@s\201@-\201\367\241\6\355\11\0\0\0\0\230\0\0\0\34\0\0\0\310\2\0\0\331\2\0\0\364$\0\0\36\14\0\0\301\0\0\1\0\0\0\212\3\0\0\200\14V6\217\260\310\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\1\0\0\0\0\0\0\01\0\0\0\0\0\0\02\0\0\0\2\0\0\01\0\0\0%\1\0\0f\0\0\05\0\0\0\6\0\0\0V\1\0\0\5\0\0\0\322\0\0\04\0\0\0\4\0\0\0[\1\0\0\3\0\0\0<\1\0\03\0\0\0\4\0\0\0^\1\0\0\4\0\0\0\244\1\0\05\0\0\0\4\0\0\0b\1\0\0\32\0\0\0\20\2\0\03\0\0\0\2\0\0\0|\1\0\0\23\0\0\0x\2\0\02\0\0\0\2\0\0\0\217\1\0\0\7\0\0\0\336\2\0\02\0\0\0\6\0\0\0\226\1\0\0\22\0\0\0D\3\0\05\0\0\0\2\0\0\0\250\1\0\0\14\0\0\0\260\3\0\03\0\0\0\2\0\0\0\264\1\0\0\13\0\0\0\30\4\0\05\0\0\0\2\0\0\0\277\1\0\0*\0\0\0\204\4\0\03\0\0\0\2\0\0\0\351\1\0\0\21\0\0\0\354\4\0\02\0\0\0\2\0\0\0\372\1\0\0\2\0\0\0R\5\0\02\0\0\0\4\0\0\0\374\1\0\0\1\0\0\0\270\5\0\04\0\0\0\4\0\0\0\375\1\0\0\22\0\0\0"\6\0\04\0\0\0\6\0\0\0\17\2\0\0\36\0\0\0\214\6\0\04\0\0\0\2\0\0\0-\2\0\0\13\0\0\0", ) \6\0\04\0\0\0\6\0\0\0\17\2\0\0\36\0\0\0\214\6\0\04\0\0\0\2\0\0\0-\2\0\0\13\0\0\0", ) == 0x0
 00004   896   NtClose  (-2147481368, ... ) == 0x0
 00005   896   NtCreateFile  (0x100080, {24, 0, 0x240, 0, 0,  (0x100080, {24, 0, 0x240, 0, 0, "\DEVICE\HARDDISKVOLUME1"}, 0x0, 0, 7, 1, 32, 0, 0, ... -2147481368, {status=0x0, info=0}, ) }, 0x0, 0, 7, 1, 32, 0, 0, ... -2147481368, {status=0x0, info=0}, ) == 0x0
 00006   896   NtQueryVolumeInformationFile  (-2147481368, -142414840, 8, Device, ... {status=0x0, info=8}, ) == 0x0
 00007   896   NtClose  (-2147481368, ... ) == 0x0
 00008   896   NtCreateFile  (0x100180, {24, 0, 0x240, 0, 0,  (0x100180, {24, 0, 0x240, 0, 0, "\DEVICE\HARDDISKVOLUME1"}, 0x0, 0, 7, 1, 32, 0, 0, ... }, 0x0, 0, 7, 1, 32, 0, 0, ...
 00009   896   NtContinue  (-142419640, 0, ...
 00008   896   NtCreateFile  ... -2147481368, {status=0x0, info=1}, ) == 0x0
 00010   896   NtQueryVolumeInformationFile  (-2147481368, -142414852, 24, Volume, ... {status=0x0, info=18}, ) == 0x0
 00011   896   NtFsControlFile  (-2147481368, 0, 0x0, 0x0, 0x90120,  (-2147481368, 0, 0x0, 0x0, 0x90120, "\1\0\0\0!\0\0\0H\10\0\0\0\0\1\0\2309\0\0\0\0\2\0\15\1\0\0\0\0\1\0\357\0\0\0\0\3\0X\244\0\0\0\0\4\0\217\10\0\0\0\0\1\0\214;\0\0\0\0\2\0XK\0\0\0\0\3\0f\10\0\0\0\0\1\0Z\10\0\0\0\0\1\0\304\10\0\0\0\0\1\0Y\10\0\0\0\0\1\0C\10\0\0\0\0\1\0/:\0\0\0\0\3\0\235\244\0\0\0\0\3\0\26\11\0\0\0\0\1\0\201\246\0\0\0\0\3\0\224\246\0\0\0\0\3\0@C\0\0\0\0\2\0r\10\0\0\0\0\1\0g\10\0\0\0\0\1\0\2\1\0\0\0\0\1\0o%\0\0\0\0\3\0\243\10\0\0\0\0\1\0q\10\0\0\0\0\1\0p\10\0\0\0\0\1\0@\31\0\0\0\0\1\0\2339\0\0\0\0\1\0\5\0\0\0\0\0\5\0\34\0\0\0\0\0\1\0'\0\0\0\0\0\1\0\210\0\0\0\0\0\1\0\2329\0\0\0\0\1\0", 272, 0, ... {status=0x0, info=0}, 0x0, ) , 272, 0, ... {status=0x0, info=0}, 0x0, ) == 0x0
 00012   896   NtCreateFile  (0x100001, {24, 0, 0x240, 0, 0,  (0x100001, {24, 0, 0x240, 0, 0, "\DEVICE\HARDDISKVOLUME1\"}, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) }, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) == 0x0
 00013   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446847, ... {status=0x0, info=1146}, ) == 0x0
 00014   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446848, ... ) == STATUS_NO_MORE_FILES
 00015   896   NtClose  (-2147482764, ... ) == 0x0
 00016   896   NtCreateFile  (0x100001, {24, 0, 0x240, 0, 0,  (0x100001, {24, 0, 0x240, 0, 0, "\DEVICE\HARDDISKVOLUME1\WINDOWS\"}, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) }, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) == 0x0
 00017   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446847, ... {status=0x0, info=15820}, ) == 0x0
 00018   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446848, ... ) == STATUS_NO_MORE_FILES
 00019   896   NtClose  (-2147482764, ... ) == 0x0
 00020   896   NtCreateFile  (0x100001, {24, 0, 0x240, 0, 0,  (0x100001, {24, 0, 0x240, 0, 0, "\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\"}, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) }, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) == 0x0
 00021   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446847, ... {status=0x0, info=16366}, ) == 0x0
 00022   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446848, ... {status=0x0, info=16354}, ) == 0x0
 00023   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446848, ... {status=0x0, info=16348}, ) == 0x0
 00024   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446848, ... {status=0x0, info=16364}, ) == 0x0
 00025   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446848, ... {status=0x0, info=11386}, ) == 0x0
 00026   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446848, ... ) == STATUS_NO_MORE_FILES
 00027   896   NtClose  (-2147482764, ... ) == 0x0
 00028   896   NtCreateFile  (0x100001, {24, 0, 0x240, 0, 0,  (0x100001, {24, 0, 0x240, 0, 0, "\DEVICE\HARDDISKVOLUME1\WINDOWS\WINSXS\"}, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) }, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) == 0x0
 00029   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446847, ... {status=0x0, info=2228}, ) == 0x0
 00030   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446848, ... ) == STATUS_NO_MORE_FILES
 00031   896   NtClose  (-2147482764, ... ) == 0x0
 00032   896   NtCreateFile  (0x100001, {24, 0, 0x240, 0, 0,  (0x100001, {24, 0, 0x240, 0, 0, "\DEVICE\HARDDISKVOLUME1\WINDOWS\WINSXS\X86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_6.0.2600.2982_X-WW_AC3F9C03\"}, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) }, 0x0, 0, 7, 1, 16417, 0, 0, ... -2147482764, {status=0x0, info=1}, ) == 0x0
 00033   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446847, ... {status=0x0, info=68}, ) == 0x0
 00034   896   NtQueryDirectoryFile  (-2147482764, 0, 0, 0, -504332288, 16384, Names, 0, 0x0, -518446848, ... ) == STATUS_NO_MORE_FILES
 00035   896   NtClose  (-2147482764, ... ) == 0x0
 00036   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482764, ... -2147482688, ) == 0x0
 00037   896   NtClose  (-2147482688, ... ) == 0x0
 00038   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482688, ... -2147482660, ) == 0x0
 00039   896   NtClose  (-2147482660, ... ) == 0x0
 00040   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482660, ... -2147482656, ) == 0x0
 00041   896   NtClose  (-2147482656, ... ) == 0x0
 00042   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482656, ... -2147482652, ) == 0x0
 00043   896   NtClose  (-2147482652, ... ) == 0x0
 00044   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482652, ... -2147482724, ) == 0x0
 00045   896   NtClose  (-2147482724, ... ) == 0x0
 00046   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482724, ... -2147481452, ) == 0x0
 00047   896   NtClose  (-2147481452, ... ) == 0x0
 00048   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481452, ... -2147482684, ) == 0x0
 00049   896   NtClose  (-2147482684, ... ) == 0x0
 00050   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482684, ... -2147482680, ) == 0x0
 00051   896   NtClose  (-2147482680, ... ) == 0x0
 00052   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482680, ... -2147482760, ) == 0x0
 00053   896   NtClose  (-2147482760, ... ) == 0x0
 00054   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482760, ... -2147481628, ) == 0x0
 00055   896   NtClose  (-2147481628, ... ) == 0x0
 00056   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481628, ... -2147481484, ) == 0x0
 00057   896   NtClose  (-2147481484, ... ) == 0x0
 00058   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481484, ... -2147481480, ) == 0x0
 00059   896   NtClose  (-2147481480, ... ) == 0x0
 00060   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481480, ... -2147482136, ) == 0x0
 00061   896   NtClose  (-2147482136, ... ) == 0x0
 00062   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482136, ... -2147482748, ) == 0x0
 00063   896   NtClose  (-2147482748, ... ) == 0x0
 00064   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482748, ... -2147482676, ) == 0x0
 00065   896   NtClose  (-2147482676, ... ) == 0x0
 00066   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482676, ... -2147482672, ) == 0x0
 00067   896   NtClose  (-2147482672, ... ) == 0x0
 00068   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482672, ... -2147482668, ) == 0x0
 00069   896   NtClose  (-2147482668, ... ) == 0x0
 00070   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482668, ... -2147482664, ) == 0x0
 00071   896   NtClose  (-2147482664, ... ) == 0x0
 00072   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482664, ... -2147481588, ) == 0x0
 00073   896   NtClose  (-2147481588, ... ) == 0x0
 00074   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481588, ... -2147481584, ) == 0x0
 00075   896   NtClose  (-2147481584, ... ) == 0x0
 00076   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481584, ... -2147482692, ) == 0x0
 00077   896   NtClose  (-2147482692, ... ) == 0x0
 00078   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482692, ... -2147481512, ) == 0x0
 00079   896   NtClose  (-2147481512, ... ) == 0x0
 00080   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481512, ... -2147481580, ) == 0x0
 00081   896   NtClose  (-2147481580, ... ) == 0x0
 00082   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481580, ... -2147481552, ) == 0x0
 00083   896   NtClose  (-2147481552, ... ) == 0x0
 00084   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481552, ... -2147481592, ) == 0x0
 00085   896   NtClose  (-2147481592, ... ) == 0x0
 00086   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481592, ... -2147481596, ) == 0x0
 00087   896   NtClose  (-2147481596, ... ) == 0x0
 00088   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147481596, ... -2147482108, ) == 0x0
 00089   896   NtClose  (-2147482108, ... ) == 0x0
 00090   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 4, 67108864, -2147482108, ... -2147482732, ) == 0x0
 00091   896   NtClose  (-2147482732, ... ) == 0x0
 00092   896   NtClose  (-2147482764, ... ) == 0x0
 00093   896   NtClose  (-2147482688, ... ) == 0x0
 00094   896   NtClose  (-2147482660, ... ) == 0x0
 00095   896   NtClose  (-2147482656, ... ) == 0x0
 00096   896   NtClose  (-2147482652, ... ) == 0x0
 00097   896   NtClose  (-2147482724, ... ) == 0x0
 00098   896   NtClose  (-2147481452, ... ) == 0x0
 00099   896   NtClose  (-2147482684, ... ) == 0x0
 00100   896   NtClose  (-2147482680, ... ) == 0x0
 00101   896   NtClose  (-2147482760, ... ) == 0x0
 00102   896   NtClose  (-2147481628, ... ) == 0x0
 00103   896   NtClose  (-2147481484, ... ) == 0x0
 00104   896   NtClose  (-2147481480, ... ) == 0x0
 00105   896   NtClose  (-2147482136, ... ) == 0x0
 00106   896   NtClose  (-2147482748, ... ) == 0x0
 00107   896   NtClose  (-2147482676, ... ) == 0x0
 00108   896   NtClose  (-2147482672, ... ) == 0x0
 00109   896   NtClose  (-2147482668, ... ) == 0x0
 00110   896   NtClose  (-2147482664, ... ) == 0x0
 00111   896   NtClose  (-2147481588, ... ) == 0x0
 00112   896   NtClose  (-2147481584, ... ) == 0x0
 00113   896   NtClose  (-2147482692, ... ) == 0x0
 00114   896   NtClose  (-2147481512, ... ) == 0x0
 00115   896   NtClose  (-2147481580, ... ) == 0x0
 00116   896   NtClose  (-2147481552, ... ) == 0x0
 00117   896   NtClose  (-2147481592, ... ) == 0x0
 00118   896   NtClose  (-2147481596, ... ) == 0x0
 00119   896   NtClose  (-2147482108, ... ) == 0x0
 00120   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482108, ... -2147481596, ) == 0x0
 00121   896   NtClose  (-2147481596, ... ) == 0x0
 00122   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481596, ... -2147481592, ) == 0x0
 00123   896   NtClose  (-2147481592, ... ) == 0x0
 00124   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481592, ... -2147481552, ) == 0x0
 00125   896   NtClose  (-2147481552, ... ) == 0x0
 00126   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481552, ... -2147481580, ) == 0x0
 00127   896   NtClose  (-2147481580, ... ) == 0x0
 00128   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481580, ... -2147481512, ) == 0x0
 00129   896   NtClose  (-2147481512, ... ) == 0x0
 00130   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481512, ... -2147482692, ) == 0x0
 00131   896   NtClose  (-2147482692, ... ) == 0x0
 00132   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482692, ... -2147481584, ) == 0x0
 00133   896   NtClose  (-2147481584, ... ) == 0x0
 00134   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481584, ... -2147481588, ) == 0x0
 00135   896   NtClose  (-2147481588, ... ) == 0x0
 00136   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481588, ... -2147482664, ) == 0x0
 00137   896   NtClose  (-2147482664, ... ) == 0x0
 00138   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482664, ... -2147482668, ) == 0x0
 00139   896   NtClose  (-2147482668, ... ) == 0x0
 00140   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482668, ... -2147482672, ) == 0x0
 00141   896   NtClose  (-2147482672, ... ) == 0x0
 00142   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482672, ... -2147482676, ) == 0x0
 00143   896   NtClose  (-2147482676, ... ) == 0x0
 00144   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482676, ... -2147482748, ) == 0x0
 00145   896   NtClose  (-2147482748, ... ) == 0x0
 00146   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482748, ... -2147482136, ) == 0x0
 00147   896   NtClose  (-2147482136, ... ) == 0x0
 00148   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482136, ... -2147481480, ) == 0x0
 00149   896   NtClose  (-2147481480, ... ) == 0x0
 00150   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481480, ... -2147481484, ) == 0x0
 00151   896   NtClose  (-2147481484, ... ) == 0x0
 00152   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481484, ... -2147481628, ) == 0x0
 00153   896   NtClose  (-2147481628, ... ) == 0x0
 00154   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481628, ... -2147482760, ) == 0x0
 00155   896   NtClose  (-2147482760, ... ) == 0x0
 00156   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482760, ... -2147482680, ) == 0x0
 00157   896   NtClose  (-2147482680, ... ) == 0x0
 00158   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482680, ... -2147482684, ) == 0x0
 00159   896   NtClose  (-2147482684, ... ) == 0x0
 00160   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147482684, ... -2147481452, ) == 0x0
 00161   896   NtClose  (-2147481452, ... ) == 0x0
 00162   896   NtCreateSection  (0xd, {24, 0, 0x240, 0, 0, 0x0}, 0x0, 16, 16777216, -2147481452, ... -2147482724, ) == 0x0
 00163   896   NtClose  (-2147482724, ... ) == 0x0
 00164   896   NtClose  (-2147482108, ... ) == 0x0
 00165   896   NtClose  (-2147481596, ... ) == 0x0
 00166   896   NtClose  (-2147481592, ... ) == 0x0
 00167   896   NtClose  (-2147481552, ... ) == 0x0
 00168   896   NtClose  (-2147481580, ... ) == 0x0
 00169   896   NtClose  (-2147481512, ... ) == 0x0
 00170   896   NtClose  (-2147482692, ... ) == 0x0
 00171   896   NtClose  (-2147481584, ... ) == 0x0
 00172   896   NtClose  (-2147481588, ... ) == 0x0
 00173   896   NtClose  (-2147482664, ... ) == 0x0
 00174   896   NtClose  (-2147482668, ... ) == 0x0
 00175   896   NtClose  (-2147482672, ... ) == 0x0
 00176   896   NtClose  (-2147482676, ... ) == 0x0
 00177   896   NtClose  (-2147482748, ... ) == 0x0
 00178   896   NtClose  (-2147482136, ... ) == 0x0
 00179   896   NtClose  (-2147481480, ... ) == 0x0
 00180   896   NtClose  (-2147481484, ... ) == 0x0
 00181   896   NtClose  (-2147481628, ... ) == 0x0
 00182   896   NtClose  (-2147482760, ... ) == 0x0
 00183   896   NtClose  (-2147482680, ... ) == 0x0
 00184   896   NtClose  (-2147482684, ... ) == 0x0
 00185   896   NtClose  (-2147481452, ... ) == 0x0
 00186   896   NtClose  (-2147481368, ... ) == 0x0
 00187   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\packed.exe"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00188   896   NtOpenKeyedEvent  (0x2000000, {24, 0, 0x0, 0, 0,  (0x2000000, {24, 0, 0x0, 0, 0, "\KernelObjects\CritSecOutOfMemoryEvent"}, ... 4, ) }, ... 4, ) == 0x0
 00189   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00190   896   NtAllocateVirtualMemory  (-1, 0, 0, 1048576, 8192, 4, ... 524288, 1048576, ) == 0x0
 00191   896   NtAllocateVirtualMemory  (-1, 524288, 0, 4096, 4096, 4, ... 524288, 4096, ) == 0x0
 00192   896   NtAllocateVirtualMemory  (-1, 528384, 0, 8192, 4096, 4, ... 528384, 8192, ) == 0x0
 00193   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00194   896   NtAllocateVirtualMemory  (-1, 0, 0, 65536, 8192, 4, ... 1572864, 65536, ) == 0x0
 00195   896   NtAllocateVirtualMemory  (-1, 1572864, 0, 24576, 4096, 4, ... 1572864, 24576, ) == 0x0
 00196   896   NtOpenDirectoryObject  (0x3, {24, 0, 0x40, 0, 0,  (0x3, {24, 0, 0x40, 0, 0, "\KnownDlls"}, ... 8, ) }, ... 8, ) == 0x0
 00197   896   NtOpenSymbolicLinkObject  (0x1, {24, 8, 0x40, 0, 0,  (0x1, {24, 8, 0x40, 0, 0, "KnownDllPath"}, ... 12, ) }, ... 12, ) == 0x0
 00198   896   NtQuerySymbolicLinkObject  (12, ...  (12, ... "C:\WINDOWS\system32", 0x0, ) , 0x0, ) == 0x0
 00199   896   NtClose  (12, ... ) == 0x0
 00200   896   NtOpenFile  (0x100020, {24, 0, 0x42, 0, 0,  (0x100020, {24, 0, 0x42, 0, 0, "\??\C:\scripts\"}, 3, 33, ... 12, {status=0x0, info=1}, ) }, 3, 33, ... 12, {status=0x0, info=1}, ) == 0x0
 00201   896   NtQueryVolumeInformationFile  (12, 457420, 8, Device, ... {status=0x0, info=8}, ) == 0x0
 00202   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\u:\work\packed.exe.Local"}, 457372, ... ) }, 457372, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00203   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "kernel32.dll"}, ... 16, ) }, ... 16, ) == 0x0
 00204   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x7c800000), 0x0, 1003520, ) == 0x0
 00205   896   NtClose  (16, ... ) == 0x0
 00206   896   NtProtectVirtualMemory  (-1, (0x7c801000), 1568, 4, ... (0x7c801000), 4096, 32, ) == 0x0
 00207   896   NtProtectVirtualMemory  (-1, (0x7c801000), 4096, 32, ... (0x7c801000), 4096, 4, ) == 0x0
 00208   896   NtFlushInstructionCache  (-1, 2088767488, 1568, ... ) == 0x0
 00209   896   NtQueryInformationProcess  (-1, 36, 4, ... {process info, class 36, size 4}, 0x0, ) == 0x0
 00210   896   NtQuerySystemInformation  (RangeStart, 4, ... {system info, class 50, size 4}, 0x0, ) == 0x0
 00211   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00212   896   NtCreateSection  (0xf001f, 0x0, {65536, 0}, 4, 67108864, 0, ... 16, ) == 0x0
 00213   896   NtSecureConnectPort  ( ("\Windows\ApiPort", {0, 2, 1, 1}, {24, 16, 0, 65536, 0, 0}, 533304, {12, 0, 0}, 455512, 44, ... 24, {24, 16, 0, 65536, 1638400, 18939904}, {0, 0, 0}, 200, 44, ) , {0, 2, 1, 1}, {24, 16, 0, 65536, 0, 0}, 533304, {12, 0, 0}, 455512, 44, ... 24, {24, 16, 0, 65536, 1638400, 18939904}, {0, 0, 0}, 200, 44, ) == 0x0
 00214   896   NtClose  (16, ... ) == 0x0
 00215   896   NtQueryObject  (24, Handle, 2, ... {Inherit=0,ProtectFromClose=0,}, -1, ) == 0x0
 00216   896   NtSetInformationObject  (24, Handle, {Inherit=0,ProtectFromClose=1,}, 256, ... ) == 0x0
 00217   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00218   896   NtQueryVirtualMemory  (-1, 0x190000, Basic, 28, ... {BaseAddress=0x190000,AllocationBase=0x190000,AllocationProtect=0x4,RegionSize=0x10000,State=0x2000,Protect=0x0,Type=0x40000,}, 0x0, ) == 0x0
 00219   896   NtAllocateVirtualMemory  (-1, 1638400, 0, 4096, 4096, 4, ... 1638400, 4096, ) == 0x0
 00220   896   NtRequestWaitReplyPort  (24, {28, 56, new_msg, 0, 455828, 456028, 2089900544, 455752}  (24, {28, 56, new_msg, 0, 455828, 456028, 2089900544, 455752} "\210\6!\1\0\0\0\0eZ\221|\0\0\0\0\1\0\0\0\234\6!\1\4\0\0\0" ... {28, 56, reply, 0, 1252, 896, 81831, 0} "\370\374\27\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\234\6!\1\4\0\0\0" )  ... {28, 56, reply, 0, 1252, 896, 81831, 0}  (24, {28, 56, new_msg, 0, 455828, 456028, 2089900544, 455752} "\210\6!\1\0\0\0\0eZ\221|\0\0\0\0\1\0\0\0\234\6!\1\4\0\0\0" ... {28, 56, reply, 0, 1252, 896, 81831, 0} "\370\374\27\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\234\6!\1\4\0\0\0" )  ) == 0x0
 00221   896   NtRegisterThreadTerminatePort  (24, ... ) == 0x0
 00222   896   NtAllocateVirtualMemory  (-1, 446464, 0, 4096, 4096, 260, ... 446464, 4096, ) == 0x0
 00223   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\System\CurrentControlSet\Control\Terminal Server"}, ... 16, ) }, ... 16, ) == 0x0
 00224   896   NtQueryValueKey  (16,  (16, "TSAppCompat", Partial, 548, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 548, ... TitleIdx=0, Type=4, Data= (16, "TSAppCompat", Partial, 548, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 00225   896   NtClose  (16, ... ) == 0x0
 00226   896   NtOpenSection  (0x4, {24, 0, 0x40, 0, 0,  (0x4, {24, 0, 0x40, 0, 0, "\NLS\NlsSectionUnicode"}, ... 16, ) }, ... 16, ) == 0x0
 00227   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 2, 0, 2, ... (0x1a0000), 0x0, 90112, ) == 0x0
 00228   896   NtClose  (16, ... ) == 0x0
 00229   896   NtQueryDefaultLocale  (0, 2089305000, ... ) == 0x0
 00230   896   NtOpenSection  (0x4, {24, 0, 0x40, 0, 0,  (0x4, {24, 0, 0x40, 0, 0, "\NLS\NlsSectionLocale"}, ... 16, ) }, ... 16, ) == 0x0
 00231   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 2, 0, 2, ... (0x1c0000), 0x0, 249856, ) == 0x0
 00232   896   NtClose  (16, ... ) == 0x0
 00233   896   NtOpenSection  (0x5, {24, 0, 0x40, 0, 0,  (0x5, {24, 0, 0x40, 0, 0, "\NLS\NlsSectionSortkey"}, ... 16, ) }, ... 16, ) == 0x0
 00234   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 2, 0, 2, ... (0x200000), 0x0, 266240, ) == 0x0
 00235   896   NtQuerySection  (16, Basic, 16, ... {BaseAddress=0x0,Attributes=0x800000,Size={0x40004, 0x0},}, 0x0, ) == 0x0
 00236   896   NtClose  (16, ... ) == 0x0
 00237   896   NtOpenSection  (0x4, {24, 0, 0x40, 0, 0,  (0x4, {24, 0, 0x40, 0, 0, "\NLS\NlsSectionSortTbls"}, ... 16, ) }, ... 16, ) == 0x0
 00238   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 2, 0, 2, ... (0x250000), 0x0, 24576, ) == 0x0
 00239   896   NtClose  (16, ... ) == 0x0
 00240   896   NtQueryVirtualMemory  (-1, 0x7ffd2000, Basic, 28, ... {BaseAddress=0x7ffd2000,AllocationBase=0x7ffb0000,AllocationProtect=0x2,RegionSize=0x2000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 00241   896   NtOpenSection  (0x4, {24, 0, 0x40, 0, 0,  (0x4, {24, 0, 0x40, 0, 0, "\NLS\NlsSectionSortkey00000409"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00242   896   NtOpenSection  (0x4, {24, 0, 0x40, 0, 0,  (0x4, {24, 0, 0x40, 0, 0, "\NLS\NlsSectionSortkey00000409"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00243   896   NtAllocateVirtualMemory  (-1, 1642496, 0, 8192, 4096, 4, ... 1642496, 8192, ) == 0x0
 00244   896   NtRequestWaitReplyPort  (24, {24, 52, new_msg, 0, 7012468, 7929957, 3145776, 3145776}  (24, {24, 52, new_msg, 0, 7012468, 7929957, 3145776, 3145776} "\210\6!\1\36\0\1\0\0\0\0\0\377\377\377\377\234\6!\1p\30\0\0" ... {24, 52, reply, 0, 1252, 896, 81832, 0} "\10P\30\0\36\0\1\0\0\0\0\0\377\377\377\377\234\6!\1p\30\0\0" )  ... {24, 52, reply, 0, 1252, 896, 81832, 0}  (24, {24, 52, new_msg, 0, 7012468, 7929957, 3145776, 3145776} "\210\6!\1\36\0\1\0\0\0\0\0\377\377\377\377\234\6!\1p\30\0\0" ... {24, 52, reply, 0, 1252, 896, 81832, 0} "\10P\30\0\36\0\1\0\0\0\0\0\377\377\377\377\234\6!\1p\30\0\0" )  ) == 0x0
 00245   896   NtRequestWaitReplyPort  (24, {28, 56, new_msg, 0, 2089305760, 2090321376, 0, 0}  (24, {28, 56, new_msg, 0, 2089305760, 2090321376, 0, 0} "\210\6!\1\0\0\0\0\0\0\0\0\0\0\0\0\2\0\0\0\234\6!\18\6\0\0" ... {28, 56, reply, 0, 1252, 896, 81833, 0} "\250\202\26\0\0\0\0\0\0\0\0\0\0\0\0\0\2\0\0\0\234\6!\18\6\0\0" )  ... {28, 56, reply, 0, 1252, 896, 81833, 0}  (24, {28, 56, new_msg, 0, 2089305760, 2090321376, 0, 0} "\210\6!\1\0\0\0\0\0\0\0\0\0\0\0\0\2\0\0\0\234\6!\18\6\0\0" ... {28, 56, reply, 0, 1252, 896, 81833, 0} "\250\202\26\0\0\0\0\0\0\0\0\0\0\0\0\0\2\0\0\0\234\6!\18\6\0\0" )  ) == 0x0
 00246   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "msvcrt.dll"}, ... 16, ) }, ... 16, ) == 0x0
 00247   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77c10000), 0x0, 360448, ) == 0x0
 00248   896   NtClose  (16, ... ) == 0x0
 00249   896   NtProtectVirtualMemory  (-1, (0x77c11000), 632, 4, ... (0x77c11000), 4096, 32, ) == 0x0
 00250   896   NtProtectVirtualMemory  (-1, (0x77c11000), 4096, 32, ... (0x77c11000), 4096, 4, ) == 0x0
 00251   896   NtFlushInstructionCache  (-1, 2009141248, 632, ... ) == 0x0
 00252   896   NtProtectVirtualMemory  (-1, (0x1002000), 356, 4, ... (0x1002000), 4096, 32, ) == 0x0
 00253   896   NtProtectVirtualMemory  (-1, (0x1002000), 4096, 32, ... (0x1002000), 4096, 4, ) == 0x0
 00254   896   NtFlushInstructionCache  (-1, 16785408, 356, ... ) == 0x0
 00255   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "ADVAPI32.dll"}, ... 16, ) }, ... 16, ) == 0x0
 00256   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77dd0000), 0x0, 634880, ) == 0x0
 00257   896   NtClose  (16, ... ) == 0x0
 00258   896   NtProtectVirtualMemory  (-1, (0x77dd1000), 1700, 4, ... (0x77dd1000), 4096, 32, ) == 0x0
 00259   896   NtProtectVirtualMemory  (-1, (0x77dd1000), 4096, 32, ... (0x77dd1000), 4096, 4, ) == 0x0
 00260   896   NtFlushInstructionCache  (-1, 2010976256, 1700, ... ) == 0x0
 00261   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "RPCRT4.dll"}, ... 16, ) }, ... 16, ) == 0x0
 00262   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77e70000), 0x0, 593920, ) == 0x0
 00263   896   NtClose  (16, ... ) == 0x0
 00264   896   NtProtectVirtualMemory  (-1, (0x77e71000), 868, 4, ... (0x77e71000), 4096, 32, ) == 0x0
 00265   896   NtProtectVirtualMemory  (-1, (0x77e71000), 4096, 32, ... (0x77e71000), 4096, 4, ) == 0x0
 00266   896   NtFlushInstructionCache  (-1, 2011631616, 868, ... ) == 0x0
 00267   896   NtProtectVirtualMemory  (-1, (0x77e71000), 868, 4, ... (0x77e71000), 4096, 32, ) == 0x0
 00268   896   NtProtectVirtualMemory  (-1, (0x77e71000), 4096, 32, ... (0x77e71000), 4096, 4, ) == 0x0
 00269   896   NtFlushInstructionCache  (-1, 2011631616, 868, ... ) == 0x0
 00270   896   NtProtectVirtualMemory  (-1, (0x77e71000), 868, 4, ... (0x77e71000), 4096, 32, ) == 0x0
 00271   896   NtProtectVirtualMemory  (-1, (0x77e71000), 4096, 32, ... (0x77e71000), 4096, 4, ) == 0x0
 00272   896   NtFlushInstructionCache  (-1, 2011631616, 868, ... ) == 0x0
 00273   896   NtProtectVirtualMemory  (-1, (0x77dd1000), 1700, 4, ... (0x77dd1000), 4096, 32, ) == 0x0
 00274   896   NtProtectVirtualMemory  (-1, (0x77dd1000), 4096, 32, ... (0x77dd1000), 4096, 4, ) == 0x0
 00275   896   NtFlushInstructionCache  (-1, 2010976256, 1700, ... ) == 0x0
 00276   896   NtProtectVirtualMemory  (-1, (0x1002000), 356, 4, ... (0x1002000), 4096, 32, ) == 0x0
 00277   896   NtProtectVirtualMemory  (-1, (0x1002000), 4096, 32, ... (0x1002000), 4096, 4, ) == 0x0
 00278   896   NtFlushInstructionCache  (-1, 16785408, 356, ... ) == 0x0
 00279   896   NtProtectVirtualMemory  (-1, (0x1002000), 356, 4, ... (0x1002000), 4096, 32, ) == 0x0
 00280   896   NtProtectVirtualMemory  (-1, (0x1002000), 4096, 32, ... (0x1002000), 4096, 4, ) == 0x0
 00281   896   NtFlushInstructionCache  (-1, 16785408, 356, ... ) == 0x0
 00282   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "USER32.dll"}, ... 16, ) }, ... 16, ) == 0x0
 00283   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x7e410000), 0x0, 589824, ) == 0x0
 00284   896   NtClose  (16, ... ) == 0x0
 00285   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "GDI32.dll"}, ... 16, ) }, ... 16, ) == 0x0
 00286   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77f10000), 0x0, 290816, ) == 0x0
 00287   896   NtClose  (16, ... ) == 0x0
 00288   896   NtProtectVirtualMemory  (-1, (0x77f11000), 508, 4, ... (0x77f11000), 4096, 32, ) == 0x0
 00289   896   NtProtectVirtualMemory  (-1, (0x77f11000), 4096, 32, ... (0x77f11000), 4096, 4, ) == 0x0
 00290   896   NtFlushInstructionCache  (-1, 2012286976, 508, ... ) == 0x0
 00291   896   NtProtectVirtualMemory  (-1, (0x77f11000), 508, 4, ... (0x77f11000), 4096, 32, ) == 0x0
 00292   896   NtProtectVirtualMemory  (-1, (0x77f11000), 4096, 32, ... (0x77f11000), 4096, 4, ) == 0x0
 00293   896   NtFlushInstructionCache  (-1, 2012286976, 508, ... ) == 0x0
 00294   896   NtProtectVirtualMemory  (-1, (0x77f11000), 508, 4, ... (0x77f11000), 4096, 32, ) == 0x0
 00295   896   NtProtectVirtualMemory  (-1, (0x77f11000), 4096, 32, ... (0x77f11000), 4096, 4, ) == 0x0
 00296   896   NtFlushInstructionCache  (-1, 2012286976, 508, ... ) == 0x0
 00297   896   NtProtectVirtualMemory  (-1, (0x7e411000), 1252, 4, ... (0x7e411000), 4096, 32, ) == 0x0
 00298   896   NtProtectVirtualMemory  (-1, (0x7e411000), 4096, 32, ... (0x7e411000), 4096, 4, ) == 0x0
 00299   896   NtFlushInstructionCache  (-1, 2118193152, 1252, ... ) == 0x0
 00300   896   NtProtectVirtualMemory  (-1, (0x7e411000), 1252, 4, ... (0x7e411000), 4096, 32, ) == 0x0
 00301   896   NtProtectVirtualMemory  (-1, (0x7e411000), 4096, 32, ... (0x7e411000), 4096, 4, ) == 0x0
 00302   896   NtFlushInstructionCache  (-1, 2118193152, 1252, ... ) == 0x0
 00303   896   NtProtectVirtualMemory  (-1, (0x7e411000), 1252, 4, ... (0x7e411000), 4096, 32, ) == 0x0
 00304   896   NtProtectVirtualMemory  (-1, (0x7e411000), 4096, 32, ... (0x7e411000), 4096, 4, ) == 0x0
 00305   896   NtFlushInstructionCache  (-1, 2118193152, 1252, ... ) == 0x0
 00306   896   NtProtectVirtualMemory  (-1, (0x1002000), 356, 4, ... (0x1002000), 4096, 32, ) == 0x0
 00307   896   NtProtectVirtualMemory  (-1, (0x1002000), 4096, 32, ... (0x1002000), 4096, 4, ) == 0x0
 00308   896   NtFlushInstructionCache  (-1, 16785408, 356, ... ) == 0x0
 00309   896   NtProtectVirtualMemory  (-1, (0x1002000), 356, 4, ... (0x1002000), 4096, 32, ) == 0x0
 00310   896   NtProtectVirtualMemory  (-1, (0x1002000), 4096, 32, ... (0x1002000), 4096, 4, ) == 0x0
 00311   896   NtFlushInstructionCache  (-1, 16785408, 356, ... ) == 0x0
 00312   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "COMCTL32.dll"}, ... 16, ) }, ... 16, ) == 0x0
 00313   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x5d090000), 0x0, 630784, ) == 0x0
 00314   896   NtClose  (16, ... ) == 0x0
 00315   896   NtProtectVirtualMemory  (-1, (0x5d091000), 1656, 4, ... (0x5d091000), 4096, 32, ) == 0x0
 00316   896   NtProtectVirtualMemory  (-1, (0x5d091000), 4096, 32, ... (0x5d091000), 4096, 4, ) == 0x0
 00317   896   NtFlushInstructionCache  (-1, 1560875008, 1656, ... ) == 0x0
 00318   896   NtProtectVirtualMemory  (-1, (0x5d091000), 1656, 4, ... (0x5d091000), 4096, 32, ) == 0x0
 00319   896   NtProtectVirtualMemory  (-1, (0x5d091000), 4096, 32, ... (0x5d091000), 4096, 4, ) == 0x0
 00320   896   NtFlushInstructionCache  (-1, 1560875008, 1656, ... ) == 0x0
 00321   896   NtProtectVirtualMemory  (-1, (0x5d091000), 1656, 4, ... (0x5d091000), 4096, 32, ) == 0x0
 00322   896   NtProtectVirtualMemory  (-1, (0x5d091000), 4096, 32, ... (0x5d091000), 4096, 4, ) == 0x0
 00323   896   NtFlushInstructionCache  (-1, 1560875008, 1656, ... ) == 0x0
 00324   896   NtProtectVirtualMemory  (-1, (0x5d091000), 1656, 4, ... (0x5d091000), 4096, 32, ) == 0x0
 00325   896   NtProtectVirtualMemory  (-1, (0x5d091000), 4096, 32, ... (0x5d091000), 4096, 4, ) == 0x0
 00326   896   NtFlushInstructionCache  (-1, 1560875008, 1656, ... ) == 0x0
 00327   896   NtProtectVirtualMemory  (-1, (0x5d091000), 1656, 4, ... (0x5d091000), 4096, 32, ) == 0x0
 00328   896   NtProtectVirtualMemory  (-1, (0x5d091000), 4096, 32, ... (0x5d091000), 4096, 4, ) == 0x0
 00329   896   NtFlushInstructionCache  (-1, 1560875008, 1656, ... ) == 0x0
 00330   896   NtProtectVirtualMemory  (-1, (0x1002000), 356, 4, ... (0x1002000), 4096, 32, ) == 0x0
 00331   896   NtProtectVirtualMemory  (-1, (0x1002000), 4096, 32, ... (0x1002000), 4096, 4, ) == 0x0
 00332   896   NtFlushInstructionCache  (-1, 16785408, 356, ... ) == 0x0
 00333   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "SHELL32.dll"}, ... 16, ) }, ... 16, ) == 0x0
 00334   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x7c9c0000), 0x0, 8482816, ) == 0x0
 00335   896   NtClose  (16, ... ) == 0x0
 00336   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00337   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00338   896   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00339   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00340   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00341   896   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00342   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00343   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00344   896   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00345   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00346   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00347   896   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00348   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00349   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00350   896   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00351   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00352   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00353   896   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00354   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "SHLWAPI.dll"}, ... 16, ) }, ... 16, ) == 0x0
 00355   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77f60000), 0x0, 483328, ) == 0x0
 00356   896   NtClose  (16, ... ) == 0x0
 00357   896   NtProtectVirtualMemory  (-1, (0x77f61000), 2076, 4, ... (0x77f61000), 4096, 32, ) == 0x0
 00358   896   NtProtectVirtualMemory  (-1, (0x77f61000), 4096, 32, ... (0x77f61000), 4096, 4, ) == 0x0
 00359   896   NtFlushInstructionCache  (-1, 2012614656, 2076, ... ) == 0x0
 00360   896   NtProtectVirtualMemory  (-1, (0x77f61000), 2076, 4, ... (0x77f61000), 4096, 32, ) == 0x0
 00361   896   NtProtectVirtualMemory  (-1, (0x77f61000), 4096, 32, ... (0x77f61000), 4096, 4, ) == 0x0
 00362   896   NtFlushInstructionCache  (-1, 2012614656, 2076, ... ) == 0x0
 00363   896   NtProtectVirtualMemory  (-1, (0x77f61000), 2076, 4, ... (0x77f61000), 4096, 32, ) == 0x0
 00364   896   NtProtectVirtualMemory  (-1, (0x77f61000), 4096, 32, ... (0x77f61000), 4096, 4, ) == 0x0
 00365   896   NtFlushInstructionCache  (-1, 2012614656, 2076, ... ) == 0x0
 00366   896   NtProtectVirtualMemory  (-1, (0x77f61000), 2076, 4, ... (0x77f61000), 4096, 32, ) == 0x0
 00367   896   NtProtectVirtualMemory  (-1, (0x77f61000), 4096, 32, ... (0x77f61000), 4096, 4, ) == 0x0
 00368   896   NtFlushInstructionCache  (-1, 2012614656, 2076, ... ) == 0x0
 00369   896   NtProtectVirtualMemory  (-1, (0x77f61000), 2076, 4, ... (0x77f61000), 4096, 32, ) == 0x0
 00370   896   NtProtectVirtualMemory  (-1, (0x77f61000), 4096, 32, ... (0x77f61000), 4096, 4, ) == 0x0
 00371   896   NtFlushInstructionCache  (-1, 2012614656, 2076, ... ) == 0x0
 00372   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00373   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00374   896   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00375   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00376   896   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00377   896   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00378   896   NtProtectVirtualMemory  (-1, (0x1002000), 356, 4, ... (0x1002000), 4096, 32, ) == 0x0
 00379   896   NtProtectVirtualMemory  (-1, (0x1002000), 4096, 32, ... (0x1002000), 4096, 4, ) == 0x0
 00380   896   NtFlushInstructionCache  (-1, 16785408, 356, ... ) == 0x0
 00381   896   NtQueryInformationProcess  (-1, 37, 48, ... {process info, class 37, size 48}, 0x0, ) == 0x0
 00382   896   NtSetInformationProcess  (-1, 34, {process info, class 34, size 4}, 4, ... ) == 0x0
 00383   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msvcrt.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00384   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00385   896   NtAllocateVirtualMemory  (-1, 0, 0, 65536, 8192, 4, ... 2490368, 65536, ) == 0x0
 00386   896   NtAllocateVirtualMemory  (-1, 2490368, 0, 4096, 4096, 4, ... 2490368, 4096, ) == 0x0
 00387   896   NtAllocateVirtualMemory  (-1, 2494464, 0, 8192, 4096, 4, ... 2494464, 8192, ) == 0x0
 00388   896   NtAllocateVirtualMemory  (-1, 536576, 0, 4096, 4096, 4, ... 536576, 4096, ) == 0x0
 00389   896   NtAllocateVirtualMemory  (-1, 2502656, 0, 4096, 4096, 4, ... 2502656, 4096, ) == 0x0
 00390   896   NtOpenSection  (0x4, {24, 0, 0x40, 0, 0,  (0x4, {24, 0, 0x40, 0, 0, "\NLS\NlsSectionCType"}, ... 16, ) }, ... 16, ) == 0x0
 00391   896   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 2, 0, 2, ... (0x270000), 0x0, 12288, ) == 0x0
 00392   896   NtClose  (16, ... ) == 0x0
 00393   896   NtAllocateVirtualMemory  (-1, 2506752, 0, 4096, 4096, 4, ... 2506752, 4096, ) == 0x0
 00394   896   NtQueryVirtualMemory  (-1, 0x77c2807c, Basic, 28, ... {BaseAddress=0x77c28000,AllocationBase=0x77c10000,AllocationProtect=0x80,RegionSize=0x35000,State=0x1000,Protect=0x20,Type=0x1000000,}, 28, ) == 0x0
 00395   896   NtQueryInformationProcess  (-1, 36, 4, ... {process info, class 36, size 4}, 0x0, ) == 0x0
 00396   896   NtQueryInformationProcess  (-1, 36, 4, ... {process info, class 36, size 4}, 0x0, ) == 0x0
 00397   896   NtQueryVirtualMemory  (-1, 0x0, Basic, 28, ... {BaseAddress=0x0,AllocationBase=0x0,AllocationProtect=0x0,RegionSize=0x10000,State=0x10000,Protect=0x1,Type=0x0,}, 28, ) == 0x0
 00398   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RPCRT4.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00399   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ADVAPI32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00400   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"}, ... 16, ) }, ... 16, ) == 0x0
 00401   896   NtQueryValueKey  (16,  (16, "LeakTrack", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00402   896   NtClose  (16, ... ) == 0x0
 00403   896   NtOpenKey  (0x2000000, {24, 0, 0x40, 0, 0,  (0x2000000, {24, 0, 0x40, 0, 0, "\REGISTRY\MACHINE"}, ... 16, ) }, ... 16, ) == 0x0
 00404   896   NtSetInformationObject  (16, Handle, {Inherit=0,ProtectFromClose=1,}, 2011431168, ... ) == 0x0
 00405   896   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "Software\Microsoft\Windows NT\CurrentVersion\Diagnostics"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00406   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GDI32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00407   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\USER32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00408   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00409   896   NtRequestWaitReplyPort  (24, {28, 56, new_msg, 0, 256, 456660, 256, 456404}  (24, {28, 56, new_msg, 0, 256, 456660, 256, 456404} "\210\6!\1\0\0\0\0\0\0\0\0\1\0\0\0\3\0\0\0\234\6!\1$\1\0\0" ... {28, 56, reply, 0, 1252, 896, 81834, 0} "\320G\26\0\0\0\0\0\0\0\0\0\1\0\0\0\3\0\0\0\234\6!\1$\1\0\0" )  ... {28, 56, reply, 0, 1252, 896, 81834, 0}  (24, {28, 56, new_msg, 0, 256, 456660, 256, 456404} "\210\6!\1\0\0\0\0\0\0\0\0\1\0\0\0\3\0\0\0\234\6!\1$\1\0\0" ... {28, 56, reply, 0, 1252, 896, 81834, 0} "\320G\26\0\0\0\0\0\0\0\0\0\1\0\0\0\3\0\0\0\234\6!\1$\1\0\0" )  ) == 0x0
 00410   896   NtFsControlFile  (12, 0, 0x0, 0x0, 0x90028, 0x0, 0, 0, ... {status=0x0, info=0}, 0x0, ) == 0x0
 00411   896   NtOpenKey  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\Registry\MACHINE\System\CurrentControlSet\Control\Session Manager"}, ... 28, ) }, ... 28, ) == 0x0
 00412   896   NtQueryValueKey  (28,  (28, "SafeDllSearchMode", Partial, 16, ... ) , Partial, 16, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00413   896   NtClose  (28, ... ) == 0x0
 00414   896   NtAllocateVirtualMemory  (-1, 540672, 0, 4096, 4096, 4, ... 540672, 4096, ) == 0x0
 00415   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 452988, ... ) }, 452988, ... ) == 0x0
 00416   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 5, 96, ... 28, {status=0x0, info=1}, ) }, 5, 96, ... 28, {status=0x0, info=1}, ) == 0x0
 00417   896   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 28, ... 32, ) == 0x0
 00418   896   NtClose  (28, ... ) == 0x0
 00419   896   NtMapViewOfSection  (32, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x350000), 0x0, 110592, ) == 0x0
 00420   896   NtClose  (32, ... ) == 0x0
 00421   896   NtUnmapViewOfSection  (-1, 0x350000, ... ) == 0x0
 00422   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 452896, ... ) }, 452896, ... ) == 0x0
 00423   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 5, 96, ... 32, {status=0x0, info=1}, ) }, 5, 96, ... 32, {status=0x0, info=1}, ) == 0x0
 00424   896   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 32, ... 28, ) == 0x0
 00425   896   NtClose  (32, ... ) == 0x0
 00426   896   NtMapViewOfSection  (28, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x350000), 0x0, 110592, ) == 0x0
 00427   896   NtClose  (28, ... ) == 0x0
 00428   896   NtUnmapViewOfSection  (-1, 0x350000, ... ) == 0x0
 00429   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 453204, ... ) }, 453204, ... ) == 0x0
 00430   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 5, 96, ... 28, {status=0x0, info=1}, ) }, 5, 96, ... 28, {status=0x0, info=1}, ) == 0x0
 00431   896   NtCreateSection  (0xf, 0x0, 0x0, 16, 16777216, 28, ... 32, ) == 0x0
 00432   896   NtQuerySection  (32, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 00433   896   NtOpenProcessToken  (-1, 0x8, ... 36, ) == 0x0
 00434   896   NtQueryInformationToken  (36, User, 136, ... {token info, class 1, size 36}, 36, ) == 0x0
 00435   896   NtOpenKey  (0x3, {24, 0, 0x40, 0, 0,  (0x3, {24, 0, 0x40, 0, 0, "\Registry\MACHINE\System\CurrentControlSet\Control\SafeBoot\Option"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00436   896   NtOpenKey  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers"}, ... 40, ) }, ... 40, ) == 0x0
 00437   896   NtQueryValueKey  (40,  (40, "TransparentEnabled", Partial, 80, ... TitleIdx=0, Type=4, Data="\1\0\0\0"}, 16, ) , Partial, 80, ... TitleIdx=0, Type=4, Data= (40, "TransparentEnabled", Partial, 80, ... TitleIdx=0, Type=4, Data="\1\0\0\0"}, 16, ) }, 16, ) == 0x0
 00438   896   NtClose  (40, ... ) == 0x0
 00439   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00440   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 40, ) == 0x0
 00441   896   NtQueryInformationToken  (40, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00442   896   NtClose  (40, ... ) == 0x0
 00443   896   NtOpenKey  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00444   896   NtClose  (36, ... ) == 0x0
 00445   896   NtClose  (28, ... ) == 0x0
 00446   896   NtMapViewOfSection  (32, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x76390000), 0x0, 118784, ) == 0x0
 00447   896   NtClose  (32, ... ) == 0x0
 00448   896   NtProtectVirtualMemory  (-1, (0x76391000), 696, 4, ... (0x76391000), 4096, 32, ) == 0x0
 00449   896   NtProtectVirtualMemory  (-1, (0x76391000), 4096, 32, ... (0x76391000), 4096, 4, ) == 0x0
 00450   896   NtFlushInstructionCache  (-1, 1983451136, 696, ... ) == 0x0
 00451   896   NtProtectVirtualMemory  (-1, (0x76391000), 696, 4, ... (0x76391000), 4096, 32, ) == 0x0
 00452   896   NtProtectVirtualMemory  (-1, (0x76391000), 4096, 32, ... (0x76391000), 4096, 4, ) == 0x0
 00453   896   NtFlushInstructionCache  (-1, 1983451136, 696, ... ) == 0x0
 00454   896   NtProtectVirtualMemory  (-1, (0x76391000), 696, 4, ... (0x76391000), 4096, 32, ) == 0x0
 00455   896   NtProtectVirtualMemory  (-1, (0x76391000), 4096, 32, ... (0x76391000), 4096, 4, ) == 0x0
 00456   896   NtFlushInstructionCache  (-1, 1983451136, 696, ... ) == 0x0
 00457   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IMM32.DLL"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00458   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00459   896   NtAllocateVirtualMemory  (-1, 442368, 0, 4096, 4096, 260, ... 442368, 4096, ) == 0x0
 00460   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 450120, ... ) }, 450120, ... ) == 0x0
 00461   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ntdll.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00462   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kernel32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00463   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\COMCTL32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00464   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SHLWAPI.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00465   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SHELL32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00466   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 453524, ... ) }, 453524, ... ) == 0x0
 00467   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\System\CurrentControlSet\Control\Error Message Instrument\"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00468   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\GRE_Initialize"}, ... 32, ) }, ... 32, ) == 0x0
 00469   896   NtQueryValueKey  (32,  (32, "DisableMetaFiles", Partial, 20, ... ) , Partial, 20, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00470   896   NtClose  (32, ... ) == 0x0
 00471   896   NtMapViewOfSection  (-2147481368, -1, (0x0), 0, 0, 0x0, 0, 2, 0, 2, ... (0x350000), 0x0, 1060864, ) == 0x0
 00472   896   NtClose  (-2147481368, ... ) == 0x0
 00473   896   NtCreateEvent  (0x1f0003, 0x0, 1, 0, ... 32, ) == 0x0
 00474   896   NtOpenThreadTokenEx  (-2, 0x8, 1, 512, ... ) == STATUS_NO_TOKEN
 00475   896   NtOpenProcessTokenEx  (-1, 0x8, 512, ... -2147481368, ) == 0x0
 00476   896   NtQueryInformationToken  (-2147481368, Statistics, 0, ... ) == STATUS_BUFFER_TOO_SMALL
 00477   896   NtQueryInformationToken  (-2147481368, Statistics, 56, ... {token info, class 10, size 56}, 56, ) == 0x0
 00478   896   NtClose  (-2147481368, ... ) == 0x0
 00479   896   NtAllocateVirtualMemory  (-1, 0, 0, 32, 4096, 4, ... 4587520, 4096, ) == 0x0
 00480   896   NtFreeVirtualMemory  (-1, (0x460000), 4096, 32768, ... (0x460000), 4096, ) == 0x0
 00481   896   NtDuplicateObject  (-1, 28, -1, 0x0, 0, 2, ... 40, ) == 0x0
 00482   896   NtOpenKey  (0x20019, {24, 0, 0x240, 0, 0,  (0x20019, {24, 0, 0x240, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Compatibility32"}, ... -2147481368, ) }, ... -2147481368, ) == 0x0
 00483   896   NtQueryValueKey  (-2147481368,  (-2147481368, "packed", Partial, 172, ... ) , Partial, 172, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00484   896   NtClose  (-2147481368, ... ) == 0x0
 00485   896   NtOpenKey  (0x20019, {24, 0, 0x240, 0, 0,  (0x20019, {24, 0, 0x240, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\IME Compatibility"}, ... -2147481368, ) }, ... -2147481368, ) == 0x0
 00486   896   NtQueryValueKey  (-2147481368,  (-2147481368, "packed", Partial, 172, ... ) , Partial, 172, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00487   896   NtClose  (-2147481368, ... ) == 0x0
 00488   896   NtQueryDefaultLocale  (0, -135747252, ... ) == 0x0
 00489   896   NtGdiQueryFontAssocInfo  (0, ... ) == 0x0
 00490   896   NtUserCallNoParam  (24, ... ) == 0x0
 00491   896   NtGdiCreateCompatibleDC  (0, ...
 00492   896   NtAllocateVirtualMemory  (-1, 0, 0, 4096, 12288, 4, ... 4587520, 4096, ) == 0x0
 00491   896   NtGdiCreateCompatibleDC  ... ) == 0x860107ab
 00493   896   NtGdiGetStockObject  (0, ... ) == 0x1900010
 00494   896   NtGdiGetStockObject  (4, ... ) == 0x1900011
 00495   896   NtGdiCreateBitmap  (8, 8, 1, 1, 2118200212, ... ) == 0x870506a2
 00496   896   NtGdiCreateSolidBrush  (0, 0, ...
 00497   896   NtAllocateVirtualMemory  (-1, 0, 0, 4096, 12288, 4, ... 7798784, 4096, ) == 0x0
 00496   896   NtGdiCreateSolidBrush  ... ) == 0x1100680
 00498   896   NtGdiGetStockObject  (13, ... ) == 0x18a0021
 00499   896   NtGdiCreateCompatibleDC  (0, ... ) == 0xf6010687
 00500   896   NtGdiSelectBitmap  (-167704953, -2029713758, ... ) == 0x185000f
 00501   896   NtUserGetThreadDesktop  (896, 0, ... ) == 0x24
 00502   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Windows"}, ... 44, ) }, ... 44, ) == 0x0
 00503   896   NtQueryValueKey  (44,  (44, "AppInit_DLLs", Partial, 64, ... TitleIdx=0, Type=1, Data="\0\0"}, 14, ) , Partial, 64, ... TitleIdx=0, Type=1, Data= (44, "AppInit_DLLs", Partial, 64, ... TitleIdx=0, Type=1, Data="\0\0"}, 14, ) }, 14, ) == 0x0
 00504   896   NtClose  (44, ... ) == 0x0
 00505   896   NtUserFindExistingCursorIcon  (454700, 454716, 454764, ... ) == 0x10011
 00506   896   NtUserRegisterClassExWOW  (454712, 454780, 454796, 454812, 673, 128, 0, ... ) == 0x8177c017
 00507   896   NtUserFindExistingCursorIcon  (454700, 454716, 454764, ... ) == 0x10011
 00508   896   NtUserRegisterClassExWOW  (454712, 454780, 454796, 454812, 674, 128, 0, ... ) == 0x8177c01c
 00509   896   NtUserFindExistingCursorIcon  (454700, 454716, 454764, ... ) == 0x10011
 00510   896   NtUserRegisterClassExWOW  (454712, 454780, 454796, 454812, 675, 128, 0, ... ) == 0x8177c01e
 00511   896   NtUserFindExistingCursorIcon  (454700, 454716, 454764, ... ) == 0x10011
 00512   896   NtUserRegisterClassExWOW  (454712, 454780, 454796, 454812, 676, 128, 0, ... ) == 0x81778002
 00513   896   NtUserFindExistingCursorIcon  (454700, 454716, 454764, ... ) == 0x10013
 00514   896   NtUserRegisterClassExWOW  (454712, 454780, 454796, 454812, 677, 128, 0, ... ) == 0x8177c018
 00515   896   NtUserFindExistingCursorIcon  (454700, 454716, 454764, ... ) == 0x10011
 00516   896   NtUserRegisterClassExWOW  (454712, 454780, 454796, 454812, 678, 128, 0, ... ) == 0x8177c01a
 00517   896   NtUserFindExistingCursorIcon  (454700, 454716, 454764, ... ) == 0x10011
 00518   896   NtUserRegisterClassExWOW  (454712, 454780, 454796, 454812, 679, 128, 0, ... ) == 0x8177c01d
 00519   896   NtUserFindExistingCursorIcon  (454700, 454716, 454764, ... ) == 0x10011
 00520   896   NtUserRegisterClassExWOW  (454712, 454780, 454796, 454812, 681, 128, 0, ... ) == 0x8177c026
 00521   896   NtUserFindExistingCursorIcon  (454700, 454716, 454764, ... ) == 0x10011
 00522   896   NtUserRegisterClassExWOW  (454712, 454780, 454796, 454812, 680, 128, 0, ... ) == 0x8177c019
 00523   896   NtUserRegisterClassExWOW  (454664, 454732, 454748, 454764, 0, 128, 0, ... ) == 0x8177c020
 00524   896   NtUserRegisterClassExWOW  (454920, 455016, 455000, 454988, 0, 130, 0, ... ) == 0x8177c022
 00525   896   NtUserRegisterClassExWOW  (454664, 454732, 454748, 454764, 0, 128, 0, ... ) == 0x8177c023
 00526   896   NtUserRegisterClassExWOW  (454920, 455016, 455000, 454988, 0, 130, 0, ... ) == 0x8177c024
 00527   896   NtUserRegisterClassExWOW  (454664, 454732, 454748, 454764, 0, 128, 0, ... ) == 0x8177c025
 00528   896   NtCallbackReturn  (0, 0, 0, ...
 00529   896   NtGdiInit  (... ) == 0x1
 00530   896   NtGdiGetStockObject  (18, ... ) == 0x290001c
 00531   896   NtGdiGetStockObject  (19, ... ) == 0x1b00019
 00532   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00533   896   NtAllocateVirtualMemory  (-1, 0, 0, 65536, 8192, 4, ... 7864320, 65536, ) == 0x0
 00534   896   NtAllocateVirtualMemory  (-1, 7864320, 0, 4096, 4096, 4, ... 7864320, 4096, ) == 0x0
 00535   896   NtAllocateVirtualMemory  (-1, 7868416, 0, 8192, 4096, 4, ... 7868416, 8192, ) == 0x0
 00536   896   NtAllocateVirtualMemory  (-1, 7876608, 0, 4096, 4096, 4, ... 7876608, 4096, ) == 0x0
 00537   896   NtAllocateVirtualMemory  (-1, 7880704, 0, 4096, 4096, 4, ... 7880704, 4096, ) == 0x0
 00538   896   NtQueryDefaultUILanguage  (455256, ...
 00539   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00540   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... -2147481368, ) == 0x0
 00541   896   NtQueryInformationToken  (-2147481368, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00542   896   NtClose  (-2147481368, ... ) == 0x0
 00543   896   NtOpenKey  (0x2000000, {24, 0, 0x640, 0, 0,  (0x2000000, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... -2147481368, ) }, ... -2147481368, ) == 0x0
 00544   896   NtOpenKey  (0x80000000, {24, -2147481368, 0x240, 0, 0,  (0x80000000, {24, -2147481368, 0x240, 0, 0, "Software\Policies\Microsoft\Control Panel\Desktop"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00545   896   NtOpenKey  (0x80000000, {24, -2147481368, 0x640, 0, 0,  (0x80000000, {24, -2147481368, 0x640, 0, 0, "Control Panel\Desktop"}, ... -2147481452, ) }, ... -2147481452, ) == 0x0
 00546   896   NtQueryValueKey  (-2147481452,  (-2147481452, "MultiUILanguageId", Partial, 256, ... ) , Partial, 256, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00547   896   NtClose  (-2147481452, ... ) == 0x0
 00548   896   NtClose  (-2147481368, ... ) == 0x0
 00538   896   NtQueryDefaultUILanguage  ... ) == 0x0
 00549   896   NtOpenFile  (0x1200a9, {24, 0, 0x40, 0, 0,  (0x1200a9, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\COMCTL32.dll"}, 1, 96, ... 44, {status=0x0, info=1}, ) }, 1, 96, ... 44, {status=0x0, info=1}, ) == 0x0
 00550   896   NtCreateSection  (0x4, 0x0, 0x0, 2, 134217728, 44, ... 48, ) == 0x0
 00551   896   NtMapViewOfSection  (48, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 2, ... (0x790000), 0x0, 618496, ) == 0x0
 00552   896   NtOpenFile  (0x1200a9, {24, 0, 0x40, 0, 0,  (0x1200a9, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\COMCTL32.dll.124.Manifest"}, 1, 96, ... ) }, 1, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00553   896   NtQueryDefaultUILanguage  (2090319928, ...
 00554   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00555   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... -2147481368, ) == 0x0
 00556   896   NtQueryInformationToken  (-2147481368, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00557   896   NtClose  (-2147481368, ... ) == 0x0
 00558   896   NtOpenKey  (0x2000000, {24, 0, 0x640, 0, 0,  (0x2000000, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... -2147481368, ) }, ... -2147481368, ) == 0x0
 00559   896   NtOpenKey  (0x80000000, {24, -2147481368, 0x240, 0, 0,  (0x80000000, {24, -2147481368, 0x240, 0, 0, "Software\Policies\Microsoft\Control Panel\Desktop"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00560   896   NtOpenKey  (0x80000000, {24, -2147481368, 0x640, 0, 0,  (0x80000000, {24, -2147481368, 0x640, 0, 0, "Control Panel\Desktop"}, ... -2147481452, ) }, ... -2147481452, ) == 0x0
 00561   896   NtQueryValueKey  (-2147481452,  (-2147481452, "MultiUILanguageId", Partial, 256, ... ) , Partial, 256, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00562   896   NtClose  (-2147481452, ... ) == 0x0
 00563   896   NtClose  (-2147481368, ... ) == 0x0
 00553   896   NtQueryDefaultUILanguage  ... ) == 0x0
 00564   896   NtQueryInstallUILanguage  (2090319930, ... ) == 0x0
 00565   896   NtQueryDefaultLocale  (1, 453352, ... ) == 0x0
 00566   896   NtOpenFile  (0x1200a9, {24, 0, 0x40, 0, 0,  (0x1200a9, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\COMCTL32.dll.124.Config"}, 1, 96, ... ) }, 1, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00567   896   NtRequestWaitReplyPort  (24, {128, 156, new_msg, 0, 2088850039, 454388, 1179817, 454112}  (24, {128, 156, new_msg, 0, 2088850039, 454388, 1179817, 454112} "\210\6!\1\33\0\1\0`\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\1\0@\0D\0\250\6!\1,\0\0\0\377\377\377\377\0\0\0\0\340q\200\0\0\0\0\0k\10\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0(\0,\0\354\6!\1\0\0\0\0\0\0\0\0\350\362\6\0\0\0\0\0" ... {128, 156, reply, 0, 1252, 896, 81835, 0} "\300\270\26\0\33\0\1\0\0\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\1\0@\0D\0\250\6!\1,\0\0\0\377\377\377\377\0\0\0\0\340q\200\0\0\0\0\0k\10\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0(\0,\0\354\6!\1\0\0\0\0\0\0\0\0\350\362\6\0\0\0\0\0" )  ... {128, 156, reply, 0, 1252, 896, 81835, 0}  (24, {128, 156, new_msg, 0, 2088850039, 454388, 1179817, 454112} "\210\6!\1\33\0\1\0`\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\1\0@\0D\0\250\6!\1,\0\0\0\377\377\377\377\0\0\0\0\340q\200\0\0\0\0\0k\10\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0(\0,\0\354\6!\1\0\0\0\0\0\0\0\0\350\362\6\0\0\0\0\0" ... {128, 156, reply, 0, 1252, 896, 81835, 0} "\300\270\26\0\33\0\1\0\0\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\1\0@\0D\0\250\6!\1,\0\0\0\377\377\377\377\0\0\0\0\340q\200\0\0\0\0\0k\10\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0(\0,\0\354\6!\1\0\0\0\0\0\0\0\0\350\362\6\0\0\0\0\0" )  ) == 0x0
 00568   896   NtClose  (44, ... ) == 0x0
 00569   896   NtClose  (48, ... ) == 0x0
 00570   896   NtUnmapViewOfSection  (-1, 0x790000, ... ) == 0x0
 00571   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00572   896   NtOpenProcess  (0x400, {24, 0, 0x0, 0, 0, 0x0}, {1252, 0}, ... 48, ) == 0x0
 00573   896   NtQueryInformationProcess  (48, Session, 4, ... {SessionId=0,}, 0x0, ) == 0x0
 00574   896   NtClose  (48, ... ) == 0x0
 00575   896   NtUserRegisterWindowMessage  ( ("ShellGetDragImage", ... ) , ... ) == 0xc03a
 00576   896   NtUserSystemParametersInfo  (104, 0, 1561338260, 0, ... ) == 0x1
 00577   896   NtUserSystemParametersInfo  (38, 4, 1561337988, 0, ... ) == 0x1
 00578   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00579   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 48, ) == 0x0
 00580   896   NtQueryInformationToken  (48, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00581   896   NtClose  (48, ... ) == 0x0
 00582   896   NtOpenKey  (0x20019, {24, 0, 0x640, 0, 0,  (0x20019, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... 48, ) }, ... 48, ) == 0x0
 00583   896   NtOpenProcessToken  (-1, 0x8, ... 44, ) == 0x0
 00584   896   NtAccessCheck  (543392, 44, 0x1, 456448, 456500, 56, 456480, ... ) == STATUS_NO_IMPERSONATION_TOKEN
 00585   896   NtClose  (44, ... ) == 0x0
 00586   896   NtOpenKey  (0x20019, {24, 48, 0x40, 0, 0,  (0x20019, {24, 48, 0x40, 0, 0, "Control Panel\Desktop"}, ... 44, ) }, ... 44, ) == 0x0
 00587   896   NtQueryValueKey  (44,  (44, "SmoothScroll", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00588   896   NtClose  (44, ... ) == 0x0
 00589   896   NtUserSystemParametersInfo  (41, 500, 456628, 0, ... ) == 0x1
 00590   896   NtUserSystemParametersInfo  (102, 0, 1561338280, 0, ... ) == 0x1
 00591   896   NtClose  (48, ... ) == 0x0
 00592   896   NtAllocateVirtualMemory  (-1, 544768, 0, 4096, 4096, 4, ... 544768, 4096, ) == 0x0
 00593   896   NtUserFindExistingCursorIcon  (456380, 456396, 456444, ... ) == 0x10011
 00594   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c03b
 00595   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c03d
 00596   896   NtUserFindExistingCursorIcon  (456380, 456396, 456444, ... ) == 0x10011
 00597   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c03f
 00598   896   NtUserFindExistingCursorIcon  (456380, 456396, 456444, ... ) == 0x10011
 00599   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c041
 00600   896   NtUserFindExistingCursorIcon  (456380, 456396, 456444, ... ) == 0x10011
 00601   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c043
 00602   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c045
 00603   896   NtUserFindExistingCursorIcon  (456380, 456396, 456444, ... ) == 0x10011
 00604   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c047
 00605   896   NtUserFindExistingCursorIcon  (456380, 456396, 456444, ... ) == 0x10011
 00606   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c049
 00607   896   NtUserFindExistingCursorIcon  (456380, 456396, 456444, ... ) == 0x10011
 00608   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c04b
 00609   896   NtUserFindExistingCursorIcon  (456380, 456396, 456444, ... ) == 0x10011
 00610   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c04d
 00611   896   NtUserFindExistingCursorIcon  (456380, 456396, 456444, ... ) == 0x10011
 00612   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c04f
 00613   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c051
 00614   896   NtUserFindExistingCursorIcon  (456380, 456396, 456444, ... ) == 0x10011
 00615   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c053
 00616   896   NtUserFindExistingCursorIcon  (456376, 456392, 456440, ... ) == 0x10011
 00617   896   NtUserRegisterClassExWOW  (456320, 456388, 456404, 456420, 0, 384, 0, ... ) == 0x8177c055
 00618   896   NtUserFindExistingCursorIcon  (456376, 456392, 456440, ... ) == 0x10011
 00619   896   NtUserRegisterClassExWOW  (456320, 456388, 456404, 456420, 0, 384, 0, ... ) == 0x8177c057
 00620   896   NtUserFindExistingCursorIcon  (456380, 456396, 456444, ... ) == 0x10011
 00621   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c059
 00622   896   NtUserFindExistingCursorIcon  (456380, 456396, 456444, ... ) == 0x10013
 00623   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c05b
 00624   896   NtUserFindExistingCursorIcon  (456380, 456396, 456444, ... ) == 0x10011
 00625   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c05d
 00626   896   NtUserFindExistingCursorIcon  (456380, 456396, 456444, ... ) == 0x10011
 00627   896   NtUserRegisterClassExWOW  (456324, 456392, 456408, 456424, 0, 384, 0, ... ) == 0x8177c05f
 00628   896   NtOpenKey  (0x2000000, {24, 16, 0x40, 0, 0,  (0x2000000, {24, 16, 0x40, 0, 0, "Software\Microsoft\Windows\CurrentVersion\Explorer\Performance"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00629   896   NtOpenDirectoryObject  (0x2000f, {24, 0, 0x40, 0, 0,  (0x2000f, {24, 0, 0x40, 0, 0, "\BaseNamedObjects"}, ... 48, ) }, ... 48, ) == 0x0
 00630   896   NtCreateSemaphore  (0x1f0003, {24, 48, 0x80, 543856, 0,  (0x1f0003, {24, 48, 0x80, 543856, 0, "shell.{A48F1A32-A340-11D1-BC6B-00A0C90312E1}"}, 0, 2147483647, ... 44, ) }, 0, 2147483647, ... 44, ) == STATUS_OBJECT_NAME_EXISTS
 00631   896   NtOpenKey  (0x1, {24, 16, 0x40, 0, 0,  (0x1, {24, 16, 0x40, 0, 0, "SYSTEM\Setup"}, ... 52, ) }, ... 52, ) == 0x0
 00632   896   NtQueryValueKey  (52,  (52, "SystemSetupInProgress", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 144, ... TitleIdx=0, Type=4, Data= (52, "SystemSetupInProgress", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 00633   896   NtClose  (52, ... ) == 0x0
 00634   896   NtQueryDefaultUILanguage  (455260, ...
 00635   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00636   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... -2147481368, ) == 0x0
 00637   896   NtQueryInformationToken  (-2147481368, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00638   896   NtClose  (-2147481368, ... ) == 0x0
 00639   896   NtOpenKey  (0x2000000, {24, 0, 0x640, 0, 0,  (0x2000000, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... -2147481368, ) }, ... -2147481368, ) == 0x0
 00640   896   NtOpenKey  (0x80000000, {24, -2147481368, 0x240, 0, 0,  (0x80000000, {24, -2147481368, 0x240, 0, 0, "Software\Policies\Microsoft\Control Panel\Desktop"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00641   896   NtOpenKey  (0x80000000, {24, -2147481368, 0x640, 0, 0,  (0x80000000, {24, -2147481368, 0x640, 0, 0, "Control Panel\Desktop"}, ... -2147481452, ) }, ... -2147481452, ) == 0x0
 00642   896   NtQueryValueKey  (-2147481452,  (-2147481452, "MultiUILanguageId", Partial, 256, ... ) , Partial, 256, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00643   896   NtClose  (-2147481452, ... ) == 0x0
 00644   896   NtClose  (-2147481368, ... ) == 0x0
 00634   896   NtQueryDefaultUILanguage  ... ) == 0x0
 00645   896   NtOpenFile  (0x1200a9, {24, 0, 0x40, 0, 0,  (0x1200a9, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\SHELL32.dll"}, 1, 96, ... 52, {status=0x0, info=1}, ) }, 1, 96, ... 52, {status=0x0, info=1}, ) == 0x0
 00646   896   NtCreateSection  (0x4, 0x0, 0x0, 2, 134217728, 52, ... 56, ) == 0x0
 00647   896   NtMapViewOfSection  (56, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 2, ... (0x1020000), 0x0, 8462336, ) == 0x0
 00648   896   NtOpenFile  (0x1200a9, {24, 0, 0x40, 0, 0,  (0x1200a9, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\SHELL32.dll.124.Manifest"}, 1, 96, ... ) }, 1, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00649   896   NtQueryDefaultLocale  (1, 453356, ... ) == 0x0
 00650   896   NtOpenFile  (0x1200a9, {24, 0, 0x40, 0, 0,  (0x1200a9, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\SHELL32.dll.124.Config"}, 1, 96, ... ) }, 1, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00651   896   NtRequestWaitReplyPort  (24, {128, 156, new_msg, 0, 2088850039, 454392, 1179817, 454116}  (24, {128, 156, new_msg, 0, 2088850039, 454392, 1179817, 454116} "\210\6!\1\33\0\1\0`\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\1\0>\0@\0\250\6!\14\0\0\0\377\377\377\377\0\0\0\0@ %\1\0\0\0\0\236\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0(\0,\0\350\6!\1\0\0\0\0\0\0\0\0\354\362\6\0\0\0\0\0" ... {128, 156, reply, 0, 1252, 896, 81836, 0} "\300\270\26\0\33\0\1\0\0\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\1\0>\0@\0\250\6!\14\0\0\0\377\377\377\377\0\0\0\0@ %\1\0\0\0\0\236\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0(\0,\0\350\6!\1\0\0\0\0\0\0\0\0\354\362\6\0\0\0\0\0" )  ... {128, 156, reply, 0, 1252, 896, 81836, 0}  (24, {128, 156, new_msg, 0, 2088850039, 454392, 1179817, 454116} "\210\6!\1\33\0\1\0`\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\1\0>\0@\0\250\6!\14\0\0\0\377\377\377\377\0\0\0\0@ %\1\0\0\0\0\236\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0(\0,\0\350\6!\1\0\0\0\0\0\0\0\0\354\362\6\0\0\0\0\0" ... {128, 156, reply, 0, 1252, 896, 81836, 0} "\300\270\26\0\33\0\1\0\0\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\1\0>\0@\0\250\6!\14\0\0\0\377\377\377\377\0\0\0\0@ %\1\0\0\0\0\236\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0(\0,\0\350\6!\1\0\0\0\0\0\0\0\0\354\362\6\0\0\0\0\0" )  ) == 0x0
 00652   896   NtClose  (52, ... ) == 0x0
 00653   896   NtClose  (56, ... ) == 0x0
 00654   896   NtUnmapViewOfSection  (-1, 0x1020000, ... ) == 0x0
 00655   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00656   896   NtOpenKey  (0x8, {24, 0, 0x40, 0, 0,  (0x8, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows\CurrentVersion\SideBySide\AssemblyStorageRoots"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00657   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00658   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00659   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\u:\work\packed.exe.Local\"}, 452548, ... ) }, 452548, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00660   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00661   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00662   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00663   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03"}, 452612, ... ) }, 452612, ... ) == 0x0
 00664   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03"}, 3, 33, ... 56, {status=0x0, info=1}, ) }, 3, 33, ... 56, {status=0x0, info=1}, ) == 0x0
 00665   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00666   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll"}, 5, 96, ... 52, {status=0x0, info=1}, ) }, 5, 96, ... 52, {status=0x0, info=1}, ) == 0x0
 00667   896   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 52, ... 60, ) == 0x0
 00668   896   NtClose  (52, ... ) == 0x0
 00669   896   NtMapViewOfSection  (60, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x840000), 0x0, 1056768, ) == 0x0
 00670   896   NtClose  (60, ... ) == 0x0
 00671   896   NtUnmapViewOfSection  (-1, 0x840000, ... ) == 0x0
 00672   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll"}, 5, 96, ... 60, {status=0x0, info=1}, ) }, 5, 96, ... 60, {status=0x0, info=1}, ) == 0x0
 00673   896   NtCreateSection  (0xf, 0x0, 0x0, 16, 16777216, 60, ... 52, ) == 0x0
 00674   896   NtQuerySection  (52, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 00675   896   NtClose  (60, ... ) == 0x0
 00676   896   NtMapViewOfSection  (52, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x773d0000), 0x0, 1060864, ) == 0x0
 00677   896   NtClose  (52, ... ) == 0x0
 00678   896   NtProtectVirtualMemory  (-1, (0x773d1000), 1924, 4, ... (0x773d1000), 4096, 32, ) == 0x0
 00679   896   NtProtectVirtualMemory  (-1, (0x773d1000), 4096, 32, ... (0x773d1000), 4096, 4, ) == 0x0
 00680   896   NtFlushInstructionCache  (-1, 2000490496, 1924, ... ) == 0x0
 00681   896   NtProtectVirtualMemory  (-1, (0x773d1000), 1924, 4, ... (0x773d1000), 4096, 32, ) == 0x0
 00682   896   NtProtectVirtualMemory  (-1, (0x773d1000), 4096, 32, ... (0x773d1000), 4096, 4, ) == 0x0
 00683   896   NtFlushInstructionCache  (-1, 2000490496, 1924, ... ) == 0x0
 00684   896   NtProtectVirtualMemory  (-1, (0x773d1000), 1924, 4, ... (0x773d1000), 4096, 32, ) == 0x0
 00685   896   NtProtectVirtualMemory  (-1, (0x773d1000), 4096, 32, ... (0x773d1000), 4096, 4, ) == 0x0
 00686   896   NtFlushInstructionCache  (-1, 2000490496, 1924, ... ) == 0x0
 00687   896   NtProtectVirtualMemory  (-1, (0x773d1000), 1924, 4, ... (0x773d1000), 4096, 32, ) == 0x0
 00688   896   NtProtectVirtualMemory  (-1, (0x773d1000), 4096, 32, ... (0x773d1000), 4096, 4, ) == 0x0
 00689   896   NtFlushInstructionCache  (-1, 2000490496, 1924, ... ) == 0x0
 00690   896   NtProtectVirtualMemory  (-1, (0x773d1000), 1924, 4, ... (0x773d1000), 4096, 32, ) == 0x0
 00691   896   NtProtectVirtualMemory  (-1, (0x773d1000), 4096, 32, ... (0x773d1000), 4096, 4, ) == 0x0
 00692   896   NtFlushInstructionCache  (-1, 2000490496, 1924, ... ) == 0x0
 00693   896   NtProtectVirtualMemory  (-1, (0x773d1000), 1924, 4, ... (0x773d1000), 4096, 32, ) == 0x0
 00694   896   NtProtectVirtualMemory  (-1, (0x773d1000), 4096, 32, ... (0x773d1000), 4096, 4, ) == 0x0
 00695   896   NtFlushInstructionCache  (-1, 2000490496, 1924, ... ) == 0x0
 00696   896   NtProtectVirtualMemory  (-1, (0x773d1000), 1924, 4, ... (0x773d1000), 4096, 32, ) == 0x0
 00697   896   NtProtectVirtualMemory  (-1, (0x773d1000), 4096, 32, ... (0x773d1000), 4096, 4, ) == 0x0
 00698   896   NtFlushInstructionCache  (-1, 2000490496, 1924, ... ) == 0x0
 00699   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\comctl32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00700   896   NtAddAtom  ( ("T\0h\0e\0m\0e\0P\0r\0o\0p\0S\0c\0r\0o\0l\0l\0B\0a\0r\0C\0t\0l\0", 42, 454092, ... ) , 42, 454092, ... ) == 0x0
 00701   896   NtQueryDefaultUILanguage  (452776, ...
 00702   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00703   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... -2147481368, ) == 0x0
 00704   896   NtQueryInformationToken  (-2147481368, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00705   896   NtClose  (-2147481368, ... ) == 0x0
 00706   896   NtOpenKey  (0x2000000, {24, 0, 0x640, 0, 0,  (0x2000000, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... -2147481368, ) }, ... -2147481368, ) == 0x0
 00707   896   NtOpenKey  (0x80000000, {24, -2147481368, 0x240, 0, 0,  (0x80000000, {24, -2147481368, 0x240, 0, 0, "Software\Policies\Microsoft\Control Panel\Desktop"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00708   896   NtOpenKey  (0x80000000, {24, -2147481368, 0x640, 0, 0,  (0x80000000, {24, -2147481368, 0x640, 0, 0, "Control Panel\Desktop"}, ... -2147481452, ) }, ... -2147481452, ) == 0x0
 00709   896   NtQueryValueKey  (-2147481452,  (-2147481452, "MultiUILanguageId", Partial, 256, ... ) , Partial, 256, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00710   896   NtClose  (-2147481452, ... ) == 0x0
 00711   896   NtClose  (-2147481368, ... ) == 0x0
 00701   896   NtQueryDefaultUILanguage  ... ) == 0x0
 00712   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WindowsShell.Manifest"}, 451616, ... ) }, 451616, ... ) == 0x0
 00713   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WindowsShell.Manifest"}, 5, 96, ... 52, {status=0x0, info=1}, ) }, 5, 96, ... 52, {status=0x0, info=1}, ) == 0x0
 00714   896   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 52, ... 60, ) == 0x0
 00715   896   NtClose  (52, ... ) == 0x0
 00716   896   NtMapViewOfSection  (60, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x7a0000), 0x0, 4096, ) == 0x0
 00717   896   NtClose  (60, ... ) == 0x0
 00718   896   NtUnmapViewOfSection  (-1, 0x7a0000, ... ) == 0x0
 00719   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WindowsShell.Manifest"}, 451212, ... ) }, 451212, ... ) == 0x0
 00720   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 451956,  (0x80100080, {24, 0, 0x40, 0, 451956, "\??\C:\WINDOWS\WindowsShell.Manifest"}, 0x0, 0, 5, 1, 96, 0, 0, ... 60, {status=0x0, info=1}, ) }, 0x0, 0, 5, 1, 96, 0, 0, ... 60, {status=0x0, info=1}, ) == 0x0
 00721   896   NtCreateSection  (0xf0005, 0x0, 0x0, 2, 134217728, 60, ... 52, ) == 0x0
 00722   896   NtClose  (60, ... ) == 0x0
 00723   896   NtMapViewOfSection  (52, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 2, ... (0x7a0000), {0, 0}, 4096, ) == 0x0
 00724   896   NtClose  (52, ... ) == 0x0
 00725   896   NtUnmapViewOfSection  (-1, 0x7a0000, ... ) == 0x0
 00726   896   NtOpenFile  (0x1200a9, {24, 0, 0x40, 0, 0,  (0x1200a9, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WindowsShell.Manifest"}, 1, 96, ... 52, {status=0x0, info=1}, ) }, 1, 96, ... 52, {status=0x0, info=1}, ) == 0x0
 00727   896   NtCreateSection  (0x4, 0x0, 0x0, 2, 134217728, 52, ... 60, ) == 0x0
 00728   896   NtMapViewOfSection  (60, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 2, ... (0x7a0000), 0x0, 4096, ) == 0x0
 00729   896   NtQueryInformationFile  (52, 451608, 24, Standard, ... {status=0x0, info=24}, ) == 0x0
 00730   896   NtOpenFile  (0x1200a9, {24, 0, 0x40, 0, 0,  (0x1200a9, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WindowsShell.Config"}, 1, 96, ... ) }, 1, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00731   896   NtRequestWaitReplyPort  (24, {128, 156, new_msg, 0, 2088850039, 451908, 1179817, 451632}  (24, {128, 156, new_msg, 0, 2088850039, 451908, 1179817, 451632} "\210\6!\1\33\0\1\0`\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\3\0@\0D\0\250\6!\14\0\0\0<\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\355\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\26\0\30\0\354\6!\1\0\0\0\0\0\0\0\08\351\6\0\0\0\0\0" ... {128, 156, reply, 0, 1252, 896, 81839, 0} "\260d\27\0\33\0\1\0\0\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\3\0@\0D\0\250\6!\14\0\0\0<\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\355\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\26\0\30\0\354\6!\1\0\0\0\0\0\0\0\08\351\6\0\0\0\0\0" )  ... {128, 156, reply, 0, 1252, 896, 81839, 0}  (24, {128, 156, new_msg, 0, 2088850039, 451908, 1179817, 451632} "\210\6!\1\33\0\1\0`\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\3\0@\0D\0\250\6!\14\0\0\0<\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\355\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\26\0\30\0\354\6!\1\0\0\0\0\0\0\0\08\351\6\0\0\0\0\0" ... {128, 156, reply, 0, 1252, 896, 81839, 0} "\260d\27\0\33\0\1\0\0\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\3\0@\0D\0\250\6!\14\0\0\0<\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\355\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\26\0\30\0\354\6!\1\0\0\0\0\0\0\0\08\351\6\0\0\0\0\0" )  ) == 0x0
 00732   896   NtClose  (52, ... ) == 0x0
 00733   896   NtClose  (60, ... ) == 0x0
 00734   896   NtUnmapViewOfSection  (-1, 0x7a0000, ... ) == 0x0
 00735   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00736   896   NtUserRegisterWindowMessage  ( ("ShellGetDragImage", ... ) , ... ) == 0xc03a
 00737   896   NtUserSystemParametersInfo  (104, 0, 2001084812, 0, ... ) == 0x1
 00738   896   NtUserGetDC  (0, ... ) == 0x1010052
 00739   896   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 00740   896   NtUserSystemParametersInfo  (38, 4, 2001086940, 0, ... ) == 0x1
 00741   896   NtUserSystemParametersInfo  (66, 12, 453608, 0, ... ) == 0x1
 00742   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00743   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 60, ) == 0x0
 00744   896   NtQueryInformationToken  (60, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00745   896   NtClose  (60, ... ) == 0x0
 00746   896   NtOpenKey  (0x20019, {24, 0, 0x640, 0, 0,  (0x20019, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... 60, ) }, ... 60, ) == 0x0
 00747   896   NtOpenProcessToken  (-1, 0x8, ... 52, ) == 0x0
 00748   896   NtAccessCheck  (543392, 52, 0x1, 453440, 453492, 56, 453472, ... ) == STATUS_NO_IMPERSONATION_TOKEN
 00749   896   NtClose  (52, ... ) == 0x0
 00750   896   NtOpenKey  (0x20019, {24, 60, 0x40, 0, 0,  (0x20019, {24, 60, 0x40, 0, 0, "Control Panel\Desktop"}, ... 52, ) }, ... 52, ) == 0x0
 00751   896   NtQueryValueKey  (52,  (52, "SmoothScroll", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00752   896   NtClose  (52, ... ) == 0x0
 00753   896   NtUserSystemParametersInfo  (41, 500, 453636, 0, ... ) == 0x1
 00754   896   NtOpenProcessToken  (-1, 0x8, ... 52, ) == 0x0
 00755   896   NtAccessCheck  (543392, 52, 0x1, 453440, 453492, 56, 453472, ... ) == STATUS_NO_IMPERSONATION_TOKEN
 00756   896   NtClose  (52, ... ) == 0x0
 00757   896   NtOpenKey  (0x20019, {24, 60, 0x40, 0, 0,  (0x20019, {24, 60, 0x40, 0, 0, "software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"}, ... 52, ) }, ... 52, ) == 0x0
 00758   896   NtQueryValueKey  (52,  (52, "EnableBalloonTips", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00759   896   NtClose  (52, ... ) == 0x0
 00760   896   NtUserSystemParametersInfo  (27, 0, 2001085788, 0, ... ) == 0x1
 00761   896   NtUserSystemParametersInfo  (102, 0, 2001086828, 0, ... ) == 0x1
 00762   896   NtClose  (60, ... ) == 0x0
 00763   896   NtUserSystemParametersInfo  (4130, 0, 454140, 0, ... ) == 0x1
 00764   896   NtOpenKey  (0x1, {24, 16, 0x40, 0, 0,  (0x1, {24, 16, 0x40, 0, 0, "Software\Microsoft\Windows NT\CurrentVersion\LanguagePack"}, ... 60, ) }, ... 60, ) == 0x0
 00765   896   NtEnumerateValueKey  (60, 0, Full, 220, ... ) == STATUS_NO_MORE_ENTRIES
 00766   896   NtClose  (60, ... ) == 0x0
 00767   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00768   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c03b
 00769   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c03d
 00770   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00771   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c03f
 00772   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00773   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c041
 00774   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00775   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c043
 00776   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c045
 00777   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00778   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c047
 00779   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00780   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c049
 00781   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00782   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c04b
 00783   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00784   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c04d
 00785   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00786   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c04f
 00787   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c051
 00788   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00789   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c053
 00790   896   NtUserFindExistingCursorIcon  (453384, 453400, 453448, ... ) == 0x10011
 00791   896   NtUserRegisterClassExWOW  (453328, 453396, 453412, 453428, 0, 384, 0, ... ) == 0x8177c055
 00792   896   NtUserFindExistingCursorIcon  (453384, 453400, 453448, ... ) == 0x10011
 00793   896   NtUserRegisterClassExWOW  (453328, 453396, 453412, 453428, 0, 384, 0, ... ) == 0x8177c057
 00794   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00795   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c059
 00796   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10013
 00797   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c05b
 00798   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00799   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c05d
 00800   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00801   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c05f
 00802   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00803   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c017
 00804   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00805   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c019
 00806   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10013
 00807   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c018
 00808   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00809   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c01a
 00810   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00811   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c01c
 00812   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00813   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c01e
 00814   896   NtUserFindExistingCursorIcon  (453380, 453396, 453444, ... ) == 0x10011
 00815   896   NtUserRegisterClassExWOW  (453380, 453448, 453464, 453480, 0, 384, 0, ... ) == 0x8177c01b
 00816   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00817   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c068
 00818   896   NtUserFindExistingCursorIcon  (453388, 453404, 453452, ... ) == 0x10011
 00819   896   NtUserRegisterClassExWOW  (453332, 453400, 453416, 453432, 0, 384, 0, ... ) == 0x8177c06a
 00820   896   NtTestAlert  (... ) == 0x0
 00821   896   NtContinue  (458032, 1, ...
 00822   896   NtSetInformationThread  (-2, Win32StartAddress(LpcReceivedMessageId), {StartAddress(LpcReceivedMsgId)=0x10041fd,}, 4, ... ) == 0x0
 00823   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 458092,  (0x80100080, {24, 0, 0x40, 0, 458092, "\??\u:\work\packed.exe"}, 0x0, 0, 3, 1, 2144, 0, 0, ... 60, {status=0x0, info=1}, ) }, 0x0, 0, 3, 1, 2144, 0, 0, ... 60, {status=0x0, info=1}, ) == 0x0
 00824   896   NtReadFile  (60, 0, 0, 0, 248, 0x0, 0, ... {status=0x0, info=248},  (60, 0, 0, 0, 248, 0x0, 0, ... {status=0x0, info=248}, "MZ\220\0\3\0\0\0\4\0\0\0\377\377\0\0\270\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\310\0\0\0\16\37\272\16\0\264\11\315!\270\1L\315!This program cannot be run in DOS mode.\15\15\12$\0\0\0\0\0\0\0+\242Dlo\303*?o\303*?o\303*?o\303+?=\303*?\225\3403?`\303*?\370\340o?n\303*?\265\3406?\177\303*?\225\340\27?n\303*?Richo\303*?\0\0\0\0\0\0\0\0PE\0\0L\1\3\0\234'\247>\0\0\0\0\0\0\0\0\340\0\17\15\13\1\7\0\0V\0\0\0\30\1\0\0\0\0\0\375A\0\0\0 \0\0", ) , ) == 0x0
 00825   896   NtSetInformationFile  (60, 458176, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 00826   896   NtReadFile  (60, 0, 0, 0, 248, 0x0, 0, ... {status=0x0, info=248},  (60, 0, 0, 0, 248, 0x0, 0, ... {status=0x0, info=248}, "PE\0\0L\1\3\0\234'\247>\0\0\0\0\0\0\0\0\340\0\17\15\13\1\7\0\0V\0\0\0\30\1\0\0\0\0\0\375A\0\0\0 \0\0\0\200\0\0\0\0\0\1\0 \0\0\0\2\0\0\5\0\1\0\5\0\1\0\4\0\0\0\0\0\0\0\0\300\1\0\0\4\0\0\277\26\24\0\2\0\0\200\0\0\4\0\0\20\0\0\0\0\20\0\0\20\0\0\0\0\0\0\20\0\0\0\0\0\0\0\0\0\0\0\210m\0\0\240\0\0\0\0\240\1\0H\10\0\0\0\0\0\0\0\0\0\0\0\230\23\0 \33\0\0\0\0\0\0\0\0\0\0p!\0\0\34\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0 \0\0d\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) , ) == 0x0
 00827   896   NtAllocateVirtualMemory  (-1, 548864, 0, 8192, 4096, 4, ... 548864, 8192, ) == 0x0
 00828   896   NtSetInformationFile  (60, 458176, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 00829   896   NtReadFile  (60, 0, 0, 0, 6944, 0x0, 0, ... {status=0x0, info=6944},  (60, 0, 0, 0, 6944, 0x0, 0, ... {status=0x0, info=6944}, " \33\0\0\0\2\2\00\202\33\24\6\11*\206H\206\367\15\1\7\2\240\202\33\50\202\33\1\2\1\11\160\14\6\10*\206H\206\367\15\2\5\5\00g\6\12+\6\1\4\1\2027\2\1\4\240Y0W03\6\12+\6\1\4\1\2027\2\1\170%\3\1\0\240 \242\36\200\34\0<\0<\0<\0O\0b\0s\0o\0l\0e\0t\0e\0>\0>\0>0 0\14\6\10*\206H\206\367\15\2\5\5\0\4\20\216~b^C\243s;;\217m\23_\31\350\304\240\202\24\2700\202\2\2740\202\2%\2\20J\31\3228\214\202Y\34\245]s_\25]\334\2430\15\6\11*\206H\206\367\15\1\1\4\5\00\201\2361\370\35\6\3U\4\12\23\26VeriSign Trust Network1\270\25\6\3U\4\13\23\16VeriSign, Inc.1,0*\6\3U\4\13\23#VeriSign Time Stamping Service Root1402\6\3U\4\13\23+NO LIABILITY ACCEPTED, (c)97 VeriSign, Inc.0\36\27\15970512000000Z\27\15040107235959Z0\201\2361\370\35\6\3U\4\12\23\26VeriSign Trust Network1\270\25\6\3U\4\13\23\16VeriSign, Inc.1,0*\6\3U\4\13\23#VeriSign Time Stamping Service Root", ) , ) == 0x0
 00830   896   NtClose  (60, ... ) == 0x0
 00831   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\u:\work\packed.exe"}, 458400, ... ) }, 458400, ... ) == 0x0
 00832   896   NtCreateEvent  (0x1f0003, 0x0, 1, 0, ... 60, ) == 0x0
 00833   896   NtAllocateVirtualMemory  (-1, 0, 0, 262144, 8192, 4, ... 8126464, 262144, ) == 0x0
 00834   896   NtAllocateVirtualMemory  (-1, 8380416, 0, 8192, 4096, 4, ... 8380416, 8192, ) == 0x0
 00835   896   NtProtectVirtualMemory  (-1, (0x7fe000), 4096, 260, ... (0x7fe000), 4096, 4, ) == 0x0
 00836   896   NtCreateThread  (0x1f03ff, 0x0, -1, 457540, 457484, 1, ... 52, {1252, 2016}, ) == 0x0
 00837   896   NtQueryInformationThread  (52, Basic, 28, ... {ExitStatus=0x103,TebBaseAddress=0x7ffdc000,Pid=1252,Tid=2016,}, 0x0, ) == 0x0
 00838   896   NtRequestWaitReplyPort  (24, {28, 56, new_msg, 0, 0, 0, 552, 0}  (24, {28, 56, new_msg, 0, 0, 0, 552, 0} "\0\0\0\0\1\0\1\0\0\0\0\0\0\0\0\04\0\0\0\344\4\0\0\340\7\0\0" ... {28, 56, reply, 0, 1252, 896, 81840, 0} "\0\0\0\0\1\0\1\0\0\0\0\0\0\0\0\04\0\0\0\344\4\0\0\340\7\0\0" )  ... {28, 56, reply, 0, 1252, 896, 81840, 0}  (24, {28, 56, new_msg, 0, 0, 0, 552, 0} "\0\0\0\0\1\0\1\0\0\0\0\0\0\0\0\04\0\0\0\344\4\0\0\340\7\0\0" ... {28, 56, reply, 0, 1252, 896, 81840, 0} "\0\0\0\0\1\0\1\0\0\0\0\0\0\0\0\04\0\0\0\344\4\0\0\340\7\0\0" )  ) == 0x0
 00839   896   NtResumeThread  (52, ... 1, ) == 0x0
 00840   896   NtWaitForSingleObject  (60, 0, 0x0, ...
 00841  2016   NtTestAlert  (... ) == 0x0
 00842  2016   NtContinue  (8387888, 1, ...
 00843  2016   NtRegisterThreadTerminatePort  (24, ... ) == 0x0
 00844  2016   NtQueryDefaultLocale  (1, 8388328, ... ) == 0x0
 00845  2016   NtCreateEvent  (0x1f0003, 0x0, 1, 0, ... 64, ) == 0x0
 00846  2016   NtCallbackReturn  (0, 0, 0, ...
 00847  2016   NtUserGetThreadState  (18, ... ) == 0x1
 00848  2016   NtUserFindExistingCursorIcon  (8387748, 8387764, 8387812, ... ) == 0x10015
 00849  2016   NtUserSetCursor  (65557, ... ) == 0x10015
 00850  2016   NtGdiCreateCompatibleDC  (0, ... ) == 0x64010596
 00851  2016   NtGdiGetTextCharsetInfo  (1677788566, 0, 0, ... ) == 0x0
 00852  2016   NtGdiHfontCreate  (8387504, 356, 0, 0, 543464, ... ) == 0x740a05de
 00853  2016   NtGdiGetTextMetricsW  (1677788566, 8388032, 68, ... ) == 0x1
 00854  2016   NtGdiGetWidthTable  (1677788566, 52, 554592, 308, 555208, 553960, 553976, ... ) == 0x1
 00855  2016   NtGdiDeleteObjectApp  (1677788566, ... ) == 0x1
 00856  2016   NtUserGetForegroundWindow  (... ) == 0xf0104
 00857  2016   NtUserQueryWindow  (983300, 0, ... ) == 0x2fc
 00858  2016   NtUserQueryWindow  (983300, 1, ... ) == 0x544
 00859  2016   NtUserGetAtomName  (32770, 8387008, ... ) == 0x6
 00860  2016   NtUserCreateWindowEx  (-2147417855, 32770, 32770,  (-2147417855, 32770, 32770, "Extracting Files", -2134373436, 344, 304, 336, 130, 0, 0, 0, 0, 1073742848, 0, ... , -2134373436, 344, 304, 336, 130, 0, 0, 0, 0, 1073742848, 0, ...
 00861  2016   NtAllocateVirtualMemory  (-1, 8376320, 0, 4096, 4096, 260, ... 8376320, 4096, ) == 0x0
 00862  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\uxtheme.dll"}, 8384480, ... ) }, 8384480, ... ) == 0x0
 00863  2016   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\uxtheme.dll"}, 5, 96, ... 68, {status=0x0, info=1}, ) }, 5, 96, ... 68, {status=0x0, info=1}, ) == 0x0
 00864  2016   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 68, ... 72, ) == 0x0
 00865  2016   NtClose  (68, ... ) == 0x0
 00866  2016   NtMapViewOfSection  (72, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x840000), 0x0, 221184, ) == 0x0
 00867  2016   NtClose  (72, ... ) == 0x0
 00868  2016   NtUnmapViewOfSection  (-1, 0x840000, ... ) == 0x0
 00869  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\uxtheme.dll"}, 8384788, ... ) }, 8384788, ... ) == 0x0
 00870  2016   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\uxtheme.dll"}, 5, 96, ... 72, {status=0x0, info=1}, ) }, 5, 96, ... 72, {status=0x0, info=1}, ) == 0x0
 00871  2016   NtCreateSection  (0xf, 0x0, 0x0, 16, 16777216, 72, ... 68, ) == 0x0
 00872  2016   NtQuerySection  (68, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 00873  2016   NtClose  (72, ... ) == 0x0
 00874  2016   NtMapViewOfSection  (68, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x5ad70000), 0x0, 229376, ) == 0x0
 00875  2016   NtClose  (68, ... ) == 0x0
 00876  2016   NtProtectVirtualMemory  (-1, (0x5ad71000), 1300, 4, ... (0x5ad71000), 4096, 32, ) == 0x0
 00877  2016   NtProtectVirtualMemory  (-1, (0x5ad71000), 4096, 32, ... (0x5ad71000), 4096, 4, ) == 0x0
 00878  2016   NtFlushInstructionCache  (-1, 1524043776, 1300, ... ) == 0x0
 00879  2016   NtProtectVirtualMemory  (-1, (0x5ad71000), 1300, 4, ... (0x5ad71000), 4096, 32, ) == 0x0
 00880  2016   NtProtectVirtualMemory  (-1, (0x5ad71000), 4096, 32, ... (0x5ad71000), 4096, 4, ) == 0x0
 00881  2016   NtFlushInstructionCache  (-1, 1524043776, 1300, ... ) == 0x0
 00882  2016   NtProtectVirtualMemory  (-1, (0x5ad71000), 1300, 4, ... (0x5ad71000), 4096, 32, ) == 0x0
 00883  2016   NtProtectVirtualMemory  (-1, (0x5ad71000), 4096, 32, ... (0x5ad71000), 4096, 4, ) == 0x0
 00884  2016   NtFlushInstructionCache  (-1, 1524043776, 1300, ... ) == 0x0
 00885  2016   NtProtectVirtualMemory  (-1, (0x5ad71000), 1300, 4, ... (0x5ad71000), 4096, 32, ) == 0x0
 00886  2016   NtProtectVirtualMemory  (-1, (0x5ad71000), 4096, 32, ... (0x5ad71000), 4096, 4, ) == 0x0
 00887  2016   NtFlushInstructionCache  (-1, 1524043776, 1300, ... ) == 0x0
 00888  2016   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\uxtheme.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00889  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00890  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00891  2016   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00892  2016   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 68, ) == 0x0
 00893  2016   NtQueryInformationToken  (68, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00894  2016   NtClose  (68, ... ) == 0x0
 00895  2016   NtOpenKey  (0x2001f, {24, 0, 0x640, 0, 0,  (0x2001f, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... 68, ) }, ... 68, ) == 0x0
 00896  2016   NtOpenKey  (0x1, {24, 68, 0x40, 0, 0,  (0x1, {24, 68, 0x40, 0, 0, "Software\Microsoft\Windows\CurrentVersion\ThemeManager"}, ... 72, ) }, ... 72, ) == 0x0
 00897  2016   NtQueryValueKey  (72,  (72, "Compositing", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00898  2016   NtClose  (72, ... ) == 0x0
 00899  2016   NtClose  (68, ... ) == 0x0
 00900  2016   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00901  2016   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 68, ) == 0x0
 00902  2016   NtQueryInformationToken  (68, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00903  2016   NtClose  (68, ... ) == 0x0
 00904  2016   NtOpenKey  (0x20019, {24, 0, 0x640, 0, 0,  (0x20019, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... 68, ) }, ... 68, ) == 0x0
 00905  2016   NtOpenKey  (0x1, {24, 68, 0x40, 0, 0,  (0x1, {24, 68, 0x40, 0, 0, "Control Panel\Desktop"}, ... 72, ) }, ... 72, ) == 0x0
 00906  2016   NtQueryValueKey  (72,  (72, "LameButtonText", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00907  2016   NtClose  (72, ... ) == 0x0
 00908  2016   NtClose  (68, ... ) == 0x0
 00909  2016   NtUserGetProcessWindowStation  (... ) == 0x1c
 00910  2016   NtUserGetObjectInformation  (28, 2, 8386576, 64, 8386572, ... ) == 0x1
 00911  2016   NtUserGetGUIThreadInfo  (2016, 8386596, ... ) == 0x1
 00912  2016   NtConnectPort  ( ("\ThemeApiPort", {12, 2, 1, 1}, 0x0, 0x0, 8386440, 64, ... 68, 0x0, 0x0, 0x0, 64, ) , {12, 2, 1, 1}, 0x0, 0x0, 8386440, 64, ... 68, 0x0, 0x0, 0x0, 64, ) == 0x0
 00913  2016   NtRequestWaitReplyPort  (68, {32, 56, new_msg, 0, 0, 0, 0, 0}  (68, {32, 56, new_msg, 0, 0, 0, 0, 0} "\4\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" ... {32, 56, reply, 0, 1252, 2016, 81842, 0} "\0\0\0\0\1\0\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" )  ... {32, 56, reply, 0, 1252, 2016, 81842, 0}  (68, {32, 56, new_msg, 0, 0, 0, 0, 0} "\4\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" ... {32, 56, reply, 0, 1252, 2016, 81842, 0} "\0\0\0\0\1\0\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" )  ) == 0x0
 00914  2016   NtRequestWaitReplyPort  (68, {32, 56, new_msg, 0, 0, 0, 0, 0}  (68, {32, 56, new_msg, 0, 0, 0, 0, 0} "\355\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" ... {32, 56, reply, 0, 1252, 2016, 81843, 0} "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" )  ... {32, 56, reply, 0, 1252, 2016, 81843, 0}  (68, {32, 56, new_msg, 0, 0, 0, 0, 0} "\355\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" ... {32, 56, reply, 0, 1252, 2016, 81843, 0} "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" )  ) == 0x0
 00915  2016   NtUserCallNoParam  (29, ...
 00916  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\uxtheme.dll"}, 8383836, ... ) }, 8383836, ... ) == 0x0
 00915  2016   NtUserCallNoParam  ... ) == 0x0
 00917  2016   NtUserSystemParametersInfo  (41, 0, 1524240760, 0, ... ) == 0x1
 00918  2016   NtGdiHfontCreate  (8385964, 356, 0, 0, 543456, ... ) == 0x650a0596
 00919  2016   NtGdiHfontCreate  (8385964, 356, 0, 0, 543448, ... ) == 0xc90a0697
 00920  2016   NtRequestWaitReplyPort  (68, {32, 56, new_msg, 0, 0, 0, 0, 0}  (68, {32, 56, new_msg, 0, 0, 0, 0, 0} "\7\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" ... {32, 56, reply, 0, 1252, 2016, 81844, 0} "\0\0\0\0\0\0\0\0H\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" )  ... {32, 56, reply, 0, 1252, 2016, 81844, 0}  (68, {32, 56, new_msg, 0, 0, 0, 0, 0} "\7\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" ... {32, 56, reply, 0, 1252, 2016, 81844, 0} "\0\0\0\0\0\0\0\0H\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" )  ) == 0x0
 00921  2016   NtMapViewOfSection  (72, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 2, ... (0x840000), {0, 0}, 327680, ) == 0x0
 00922  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00923  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00924  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00925  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00926  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00927  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00928  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00929  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00930  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00931  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00932  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00933  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00934  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00935  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00936  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00937  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00938  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 00939  2016   NtGdiCreatePatternBrushInternal  (59048383, 0, 0, ... ) == 0x701004dc
 00940  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 00941  2016   NtUserCallNoParam  (29, ...
 00942  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\uxtheme.dll"}, 8383276, ... ) }, 8383276, ... ) == 0x0
 00941  2016   NtUserCallNoParam  ... ) == 0x0
 00943  2016   NtUserCallNoParam  (29, ...
 00944  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\uxtheme.dll"}, 8383272, ... ) }, 8383272, ... ) == 0x0
 00943  2016   NtUserCallNoParam  ... ) == 0x0
 00945  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\MSCTF.dll"}, 8384484, ... ) }, 8384484, ... ) == 0x0
 00946  2016   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\MSCTF.dll"}, 5, 96, ... 76, {status=0x0, info=1}, ) }, 5, 96, ... 76, {status=0x0, info=1}, ) == 0x0
 00947  2016   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 76, ... 80, ) == 0x0
 00948  2016   NtClose  (76, ... ) == 0x0
 00949  2016   NtMapViewOfSection  (80, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x890000), 0x0, 294912, ) == 0x0
 00950  2016   NtClose  (80, ... ) == 0x0
 00951  2016   NtUnmapViewOfSection  (-1, 0x890000, ... ) == 0x0
 00952  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\MSCTF.dll"}, 8384792, ... ) }, 8384792, ... ) == 0x0
 00953  2016   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\MSCTF.dll"}, 5, 96, ... 80, {status=0x0, info=1}, ) }, 5, 96, ... 80, {status=0x0, info=1}, ) == 0x0
 00954  2016   NtCreateSection  (0xf, 0x0, 0x0, 16, 16777216, 80, ... 76, ) == 0x0
 00955  2016   NtQuerySection  (76, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 00956  2016   NtClose  (80, ... ) == 0x0
 00957  2016   NtMapViewOfSection  (76, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x74720000), 0x0, 307200, ) == 0x0
 00958  2016   NtClose  (76, ... ) == 0x0
 00959  2016   NtProtectVirtualMemory  (-1, (0x74721000), 928, 4, ... (0x74721000), 4096, 32, ) == 0x0
 00960  2016   NtProtectVirtualMemory  (-1, (0x74721000), 4096, 32, ... (0x74721000), 4096, 4, ) == 0x0
 00961  2016   NtFlushInstructionCache  (-1, 1953632256, 928, ... ) == 0x0
 00962  2016   NtProtectVirtualMemory  (-1, (0x74721000), 928, 4, ... (0x74721000), 4096, 32, ) == 0x0
 00963  2016   NtProtectVirtualMemory  (-1, (0x74721000), 4096, 32, ... (0x74721000), 4096, 4, ) == 0x0
 00964  2016   NtFlushInstructionCache  (-1, 1953632256, 928, ... ) == 0x0
 00965  2016   NtProtectVirtualMemory  (-1, (0x74721000), 928, 4, ... (0x74721000), 4096, 32, ) == 0x0
 00966  2016   NtProtectVirtualMemory  (-1, (0x74721000), 4096, 32, ... (0x74721000), 4096, 4, ) == 0x0
 00967  2016   NtFlushInstructionCache  (-1, 1953632256, 928, ... ) == 0x0
 00968  2016   NtProtectVirtualMemory  (-1, (0x74721000), 928, 4, ... (0x74721000), 4096, 32, ) == 0x0
 00969  2016   NtProtectVirtualMemory  (-1, (0x74721000), 4096, 32, ... (0x74721000), 4096, 4, ) == 0x0
 00970  2016   NtFlushInstructionCache  (-1, 1953632256, 928, ... ) == 0x0
 00971  2016   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSCTF.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00972  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\ntdll.dll"}, 8382148, ... ) }, 8382148, ... ) == 0x0
 00973  2016   NtQueryInformationProcess  (-1, Wow64, 4, ... {process info, class 26, size 4}, 0x0, ) == 0x0
 00974  2016   NtUserCallOneParam  (0, 40, ... ) == 0x4090409
 00975  2016   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.Private", ... ) , ... ) == 0xc0a1
 00976  2016   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.SetFocus", ... ) , ... ) == 0xc0a2
 00977  2016   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.ThreadTerminate", ... ) , ... ) == 0xc0a3
 00978  2016   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.ThreadItemChange", ... ) , ... ) == 0xc0a4
 00979  2016   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.LangBarModal", ... ) , ... ) == 0xc0a5
 00980  2016   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.RpcSendReceive", ... ) , ... ) == 0xc0a6
 00981  2016   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.ThreadMarshal", ... ) , ... ) == 0xc0a7
 00982  2016   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.CheckThreadInputIdel", ... ) , ... ) == 0xc0a8
 00983  2016   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.StubCleanUp", ... ) , ... ) == 0xc0a9
 00984  2016   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.ShowFloating", ... ) , ... ) == 0xc0aa
 00985  2016   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.LBUpdate", ... ) , ... ) == 0xc0ab
 00986  2016   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.MuiMgrDirtyUpdate", ... ) , ... ) == 0xc0ac
 00987  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\imm32.dll"}, 8382156, ... ) }, 8382156, ... ) == 0x0
 00988  2016   NtRequestWaitReplyPort  (24, {24, 52, new_msg, 0, 3998, 8384548, 0, 0}  (24, {24, 52, new_msg, 0, 3998, 8384548, 0, 0} "\0\0\0\0\5\4\3\0\0\0\0\0\1\0\0\0\340\7\0\0\0\0\0\0" ... {24, 52, reply, 0, 1252, 2016, 81845, 0} "\0\0\0\0\5\4\3\0\0\0\0\0\1\0\0\0\340\7\0\0\0\0\0\0" )  ... {24, 52, reply, 0, 1252, 2016, 81845, 0}  (24, {24, 52, new_msg, 0, 3998, 8384548, 0, 0} "\0\0\0\0\5\4\3\0\0\0\0\0\1\0\0\0\340\7\0\0\0\0\0\0" ... {24, 52, reply, 0, 1252, 2016, 81845, 0} "\0\0\0\0\5\4\3\0\0\0\0\0\1\0\0\0\340\7\0\0\0\0\0\0" )  ) == 0x0
 00989  2016   NtUserGetThreadDesktop  (2016, 0, ... ) == 0x24
 00990  2016   NtUserGetObjectInformation  (36, 2, 532112, 520, 8384456, ... ) == 0x1
 00991  2016   NtOpenProcessToken  (-1, 0x8, ... 76, ) == 0x0
 00992  2016   NtQueryInformationToken  (76, User, 0, ... ) == STATUS_BUFFER_TOO_SMALL
 00993  2016   NtQueryInformationToken  (76, User, 36, ... {token info, class 1, size 36}, 36, ) == 0x0
 00994  2016   NtClose  (76, ... ) == 0x0
 00995  2016   NtCreateSection  (0xf0007, {24, 48, 0x80, 0, 0,  (0xf0007, {24, 48, 0x80, 0, 0, "CiceroSharedMemDefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, {3240, 0}, 4, 134217728, 0, ... 76, ) }, {3240, 0}, 4, 134217728, 0, ... 76, ) == STATUS_OBJECT_NAME_EXISTS
 00996  2016   NtMapViewOfSection  (76, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 4, ... (0x7a0000), {0, 0}, 4096, ) == 0x0
 00997  2016   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "SOFTWARE\Microsoft\CTF\Compatibility\packed.exe"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00998  2016   NtAllocateVirtualMemory  (-1, 557056, 0, 4096, 4096, 4, ... 557056, 4096, ) == 0x0
 00999  2016   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "SOFTWARE\Microsoft\CTF\SystemShared\"}, ... 80, ) }, ... 80, ) == 0x0
 01000  2016   NtQueryValueKey  (80,  (80, "CUAS", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 144, ... TitleIdx=0, Type=4, Data= (80, "CUAS", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 01001  2016   NtClose  (80, ... ) == 0x0
 01002  2016   NtUserFindExistingCursorIcon  (8383988, 8384004, 8384052, ... ) == 0x10011
 01003  2016   NtUserRegisterClassExWOW  (8384260, 8384356, 8384340, 8384328, 0, 386, 0, ... ) == 0x8169c0ad
 01004  2016   NtCreateMutant  (0x1f0001, {24, 48, 0x80, 0, 0,  (0x1f0001, {24, 48, 0x80, 0, 0, "CTF.LBES.MutexDefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, 0, ... 80, ) }, 0, ... 80, ) == STATUS_OBJECT_NAME_EXISTS
 01005  2016   NtCreateMutant  (0x1f0001, {24, 48, 0x80, 0, 0,  (0x1f0001, {24, 48, 0x80, 0, 0, "CTF.Compart.MutexDefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, 0, ... 84, ) }, 0, ... 84, ) == STATUS_OBJECT_NAME_EXISTS
 01006  2016   NtCreateMutant  (0x1f0001, {24, 48, 0x80, 0, 0,  (0x1f0001, {24, 48, 0x80, 0, 0, "CTF.Asm.MutexDefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, 0, ... 88, ) }, 0, ... 88, ) == STATUS_OBJECT_NAME_EXISTS
 01007  2016   NtCreateMutant  (0x1f0001, {24, 48, 0x80, 0, 0,  (0x1f0001, {24, 48, 0x80, 0, 0, "CTF.Layouts.MutexDefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, 0, ... 92, ) }, 0, ... 92, ) == STATUS_OBJECT_NAME_EXISTS
 01008  2016   NtCreateMutant  (0x1f0001, {24, 48, 0x80, 0, 0,  (0x1f0001, {24, 48, 0x80, 0, 0, "CTF.TMD.MutexDefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, 0, ... 96, ) }, 0, ... 96, ) == STATUS_OBJECT_NAME_EXISTS
 01009  2016   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 01010  2016   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 100, ) == 0x0
 01011  2016   NtQueryInformationToken  (100, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 01012  2016   NtClose  (100, ... ) == 0x0
 01013  2016   NtOpenKey  (0x2000000, {24, 0, 0x640, 0, 0,  (0x2000000, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... 100, ) }, ... 100, ) == 0x0
 01014  2016   NtSetInformationObject  (100, Handle, {Inherit=0,ProtectFromClose=1,}, 8323328, ... ) == 0x0
 01015  2016   NtOpenKey  (0x20019, {24, 100, 0x40, 0, 0,  (0x20019, {24, 100, 0x40, 0, 0, "Keyboard Layout\Toggle"}, ... 104, ) }, ... 104, ) == 0x0
 01016  2016   NtQueryValueKey  (104,  (104, "Language Hotkey", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01017  2016   NtQueryValueKey  (104,  (104, "Hotkey", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01018  2016   NtQueryValueKey  (104,  (104, "Layout Hotkey", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01019  2016   NtClose  (104, ... ) == 0x0
 01020  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\KERNEL32.dll"}, 8381976, ... ) }, 8381976, ... ) == 0x0
 01021  2016   NtQueryDefaultUILanguage  (8384536, ...
 01022  2016   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 01023  2016   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... -2147481368, ) == 0x0
 01024  2016   NtQueryInformationToken  (-2147481368, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 01025  2016   NtClose  (-2147481368, ... ) == 0x0
 01026  2016   NtOpenKey  (0x2000000, {24, 0, 0x640, 0, 0,  (0x2000000, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... -2147481368, ) }, ... -2147481368, ) == 0x0
 01027  2016   NtOpenKey  (0x80000000, {24, -2147481368, 0x240, 0, 0,  (0x80000000, {24, -2147481368, 0x240, 0, 0, "Software\Policies\Microsoft\Control Panel\Desktop"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01028  2016   NtOpenKey  (0x80000000, {24, -2147481368, 0x640, 0, 0,  (0x80000000, {24, -2147481368, 0x640, 0, 0, "Control Panel\Desktop"}, ... -2147481452, ) }, ... -2147481452, ) == 0x0
 01029  2016   NtQueryValueKey  (-2147481452,  (-2147481452, "MultiUILanguageId", Partial, 256, ... ) , Partial, 256, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01030  2016   NtClose  (-2147481452, ... ) == 0x0
 01031  2016   NtClose  (-2147481368, ... ) == 0x0
 01021  2016   NtQueryDefaultUILanguage  ... ) == 0x0
 01032  2016   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "SOFTWARE\Microsoft\CTF\"}, ... 104, ) }, ... 104, ) == 0x0
 01033  2016   NtQueryValueKey  (104,  (104, "EnableAnchorContext", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01034  2016   NtClose  (104, ... ) == 0x0
 01035  2016   NtCreateMutant  (0x1f0001, {24, 48, 0x80, 0, 0,  (0x1f0001, {24, 48, 0x80, 0, 0, "CTF.TimListCache.FMPDefaultS-1-5-21-1292428093-1383384898-725345543-1003MUTEX.DefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, 0, ... 104, ) }, 0, ... 104, ) == STATUS_OBJECT_NAME_EXISTS
 01036  2016   NtOpenSection  (0xf001f, {24, 48, 0x0, 0, 0,  (0xf001f, {24, 48, 0x0, 0, 0, "CTF.TimListCache.FMPDefaultS-1-5-21-1292428093-1383384898-725345543-1003SFM.DefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, ... 108, ) }, ... 108, ) == 0x0
 01037  2016   NtMapViewOfSection  (108, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 4, ... (0x890000), {0, 0}, 262144, ) == 0x0
 01038  2016   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ... ) == 0x0
 01039  2016   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 01040  2016   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ... ) == 0x0
 01041  2016   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 01042  2016   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ... ) == 0x0
 01043  2016   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 01044  2016   NtUserSetWindowsHookEx  (1953628160, 8385988, 2016, 2, 1953694283, 2, ... ) == 0x1580153
 01045  2016   NtUserSetWindowsHookEx  (1953628160, 8385988, 2016, 7, 1953693577, 2, ... ) == 0x250297
 01046  2016   NtUserSetWindowFNID  (590128, 676, ... ) == 0x1
 01047  2016   NtUserCallHwndParam  (590128, 557044, 79, ... ) == 0x87ff4
 01048  2016   NtUserMessageCall  (0x90130, WM_NCCREATE, 0x0, 0x7ff944, 0, 670, 1, ... ) == 0x1
 01049  2016   NtUserSetWindowFNID  (1507596, 681, ... ) == 0x1
 01050  2016   NtUserSetWindowLong  (1507596, 0, 555016, 0, ... ) == 0x0
 01051  2016   NtOpenKey  (0x2000000, {24, 16, 0x40, 0, 0,  (0x2000000, {24, 16, 0x40, 0, 0, "Software\Microsoft\Windows NT\CurrentVersion\IMM"}, ... 112, ) }, ... 112, ) == 0x0
 01052  2016   NtQueryValueKey  (112,  (112, "Ime File", Partial, 144, ... TitleIdx=0, Type=1, Data="m\0s\0c\0t\0f\0i\0m\0e\0.\0i\0m\0e\0\0\0"}, 38, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (112, "Ime File", Partial, 144, ... TitleIdx=0, Type=1, Data="m\0s\0c\0t\0f\0i\0m\0e\0.\0i\0m\0e\0\0\0"}, 38, ) }, 38, ) == 0x0
 01053  2016   NtClose  (112, ... ) == 0x0
 01054  2016   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "version.dll"}, ... 112, ) }, ... 112, ) == 0x0
 01055  2016   NtMapViewOfSection  (112, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77c00000), 0x0, 32768, ) == 0x0
 01056  2016   NtClose  (112, ... ) == 0x0
 01057  2016   NtProtectVirtualMemory  (-1, (0x77c01000), 304, 4, ... (0x77c01000), 4096, 32, ) == 0x0
 01058  2016   NtProtectVirtualMemory  (-1, (0x77c01000), 4096, 32, ... (0x77c01000), 4096, 4, ) == 0x0
 01059  2016   NtFlushInstructionCache  (-1, 2009075712, 304, ... ) == 0x0
 01060  2016   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\version.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01061  2016   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 01062  2016   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 01063  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 8383276, ... ) }, 8383276, ... ) == 0x0
 01064  2016   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 5, 96, ... 112, {status=0x0, info=1}, ) }, 5, 96, ... 112, {status=0x0, info=1}, ) == 0x0
 01065  2016   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 112, ... 116, ) == 0x0
 01066  2016   NtClose  (112, ... ) == 0x0
 01067  2016   NtMapViewOfSection  (116, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x800000), 0x0, 180224, ) == 0x0
 01068  2016   NtClose  (116, ... ) == 0x0
 01069  2016   NtUnmapViewOfSection  (-1, 0x800000, ... ) == 0x0
 01070  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 8382872, ... ) }, 8382872, ... ) == 0x0
 01071  2016   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 8383616,  (0x80100080, {24, 0, 0x40, 0, 8383616, "\??\C:\WINDOWS\system32\msctfime.ime"}, 0x0, 0, 5, 1, 96, 0, 0, ... 116, {status=0x0, info=1}, ) }, 0x0, 0, 5, 1, 96, 0, 0, ... 116, {status=0x0, info=1}, ) == 0x0
 01072  2016   NtCreateSection  (0xf0005, 0x0, 0x0, 2, 134217728, 116, ... 112, ) == 0x0
 01073  2016   NtClose  (116, ... ) == 0x0
 01074  2016   NtMapViewOfSection  (112, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 2, ... (0x800000), {0, 0}, 180224, ) == 0x0
 01075  2016   NtClose  (112, ... ) == 0x0
 01076  2016   NtAllocateVirtualMemory  (-1, 8372224, 0, 4096, 4096, 260, ... 8372224, 4096, ) == 0x0
 01077  2016   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 01078  2016   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 01079  2016   NtQueryDefaultLocale  (1, 8384236, ... ) == 0x0
 01080  2016   NtQueryVirtualMemory  (-1, 0x800000, Basic, 28, ... {BaseAddress=0x800000,AllocationBase=0x800000,AllocationProtect=0x2,RegionSize=0x2c000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 01081  2016   NtQueryVirtualMemory  (-1, 0x800000, Basic, 28, ... {BaseAddress=0x800000,AllocationBase=0x800000,AllocationProtect=0x2,RegionSize=0x2c000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 01082  2016   NtUnmapViewOfSection  (-1, 0x800000, ... ) == 0x0
 01083  2016   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 01084  2016   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 01085  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 8383268, ... ) }, 8383268, ... ) == 0x0
 01086  2016   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 5, 96, ... 112, {status=0x0, info=1}, ) }, 5, 96, ... 112, {status=0x0, info=1}, ) == 0x0
 01087  2016   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 112, ... 116, ) == 0x0
 01088  2016   NtClose  (112, ... ) == 0x0
 01089  2016   NtMapViewOfSection  (116, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x800000), 0x0, 180224, ) == 0x0
 01090  2016   NtClose  (116, ... ) == 0x0
 01091  2016   NtUnmapViewOfSection  (-1, 0x800000, ... ) == 0x0
 01092  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 8382864, ... ) }, 8382864, ... ) == 0x0
 01093  2016   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 8383608,  (0x80100080, {24, 0, 0x40, 0, 8383608, "\??\C:\WINDOWS\system32\msctfime.ime"}, 0x0, 0, 5, 1, 96, 0, 0, ... 116, {status=0x0, info=1}, ) }, 0x0, 0, 5, 1, 96, 0, 0, ... 116, {status=0x0, info=1}, ) == 0x0
 01094  2016   NtCreateSection  (0xf0005, 0x0, 0x0, 2, 134217728, 116, ... 112, ) == 0x0
 01095  2016   NtClose  (116, ... ) == 0x0
 01096  2016   NtMapViewOfSection  (112, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 2, ... (0x800000), {0, 0}, 180224, ) == 0x0
 01097  2016   NtClose  (112, ... ) == 0x0
 01098  2016   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 01099  2016   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 01100  2016   NtQueryDefaultLocale  (1, 8384228, ... ) == 0x0
 01101  2016   NtQueryVirtualMemory  (-1, 0x800000, Basic, 28, ... {BaseAddress=0x800000,AllocationBase=0x800000,AllocationProtect=0x2,RegionSize=0x2c000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 01102  2016   NtUnmapViewOfSection  (-1, 0x800000, ... ) == 0x0
 01103  2016   NtSetInformationThread  (-2, ZeroTlsCell, {ZeroTlsCell=0xa,}, 4, ... ) == 0x0
 01104  2016   NtUnmapViewOfSection  (-1, 0x77c00000, ... ) == 0x0
 01105  2016   NtOpenMutant  (0x120001, {24, 48, 0x0, 0, 0,  (0x120001, {24, 48, 0x0, 0, 0, "ShimCacheMutex"}, ... 112, ) }, ... 112, ) == 0x0
 01106  2016   NtWaitForSingleObject  (112, 0, {-1000000, -1}, ... ) == 0x0
 01107  2016   NtOpenSection  (0x2, {24, 48, 0x0, 0, 0,  (0x2, {24, 48, 0x0, 0, 0, "ShimSharedMemory"}, ... 116, ) }, ... 116, ) == 0x0
 01108  2016   NtMapViewOfSection  (116, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 4, ... (0x800000), {0, 0}, 57344, ) == 0x0
 01109  2016   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 01110  2016   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 120, ) == 0x0
 01111  2016   NtQueryInformationToken  (120, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 01112  2016   NtClose  (120, ... ) == 0x0
 01113  2016   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01114  2016   NtReleaseMutant  (112, ... 0x0, ) == 0x0
 01115  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 8383248, ... ) }, 8383248, ... ) == 0x0
 01116  2016   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 5, 96, ... 120, {status=0x0, info=1}, ) }, 5, 96, ... 120, {status=0x0, info=1}, ) == 0x0
 01117  2016   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 120, ... 124, ) == 0x0
 01118  2016   NtClose  (120, ... ) == 0x0
 01119  2016   NtMapViewOfSection  (124, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x8d0000), 0x0, 180224, ) == 0x0
 01120  2016   NtClose  (124, ... ) == 0x0
 01121  2016   NtUnmapViewOfSection  (-1, 0x8d0000, ... ) == 0x0
 01122  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 8383556, ... ) }, 8383556, ... ) == 0x0
 01123  2016   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 5, 96, ... 124, {status=0x0, info=1}, ) }, 5, 96, ... 124, {status=0x0, info=1}, ) == 0x0
 01124  2016   NtCreateSection  (0xf, 0x0, 0x0, 16, 16777216, 124, ... 120, ) == 0x0
 01125  2016   NtQuerySection  (120, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 01126  2016   NtClose  (124, ... ) == 0x0
 01127  2016   NtMapViewOfSection  (120, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x755c0000), 0x0, 188416, ) == 0x0
 01128  2016   NtClose  (120, ... ) == 0x0
 01129  2016   NtProtectVirtualMemory  (-1, (0x755c1000), 860, 4, ... (0x755c1000), 4096, 32, ) == 0x0
 01130  2016   NtProtectVirtualMemory  (-1, (0x755c1000), 4096, 32, ... (0x755c1000), 4096, 4, ) == 0x0
 01131  2016   NtFlushInstructionCache  (-1, 1968967680, 860, ... ) == 0x0
 01132  2016   NtProtectVirtualMemory  (-1, (0x755c1000), 860, 4, ... (0x755c1000), 4096, 32, ) == 0x0
 01133  2016   NtProtectVirtualMemory  (-1, (0x755c1000), 4096, 32, ... (0x755c1000), 4096, 4, ) == 0x0
 01134  2016   NtFlushInstructionCache  (-1, 1968967680, 860, ... ) == 0x0
 01135  2016   NtProtectVirtualMemory  (-1, (0x755c1000), 860, 4, ... (0x755c1000), 4096, 32, ) == 0x0
 01136  2016   NtProtectVirtualMemory  (-1, (0x755c1000), 4096, 32, ... (0x755c1000), 4096, 4, ) == 0x0
 01137  2016   NtFlushInstructionCache  (-1, 1968967680, 860, ... ) == 0x0
 01138  2016   NtProtectVirtualMemory  (-1, (0x755c1000), 860, 4, ... (0x755c1000), 4096, 32, ) == 0x0
 01139  2016   NtProtectVirtualMemory  (-1, (0x755c1000), 4096, 32, ... (0x755c1000), 4096, 4, ) == 0x0
 01140  2016   NtFlushInstructionCache  (-1, 1968967680, 860, ... ) == 0x0
 01141  2016   NtProtectVirtualMemory  (-1, (0x755c1000), 860, 4, ... (0x755c1000), 4096, 32, ) == 0x0
 01142  2016   NtProtectVirtualMemory  (-1, (0x755c1000), 4096, 32, ... (0x755c1000), 4096, 4, ) == 0x0
 01143  2016   NtFlushInstructionCache  (-1, 1968967680, 860, ... ) == 0x0
 01144  2016   NtProtectVirtualMemory  (-1, (0x755c1000), 860, 4, ... (0x755c1000), 4096, 32, ) == 0x0
 01145  2016   NtProtectVirtualMemory  (-1, (0x755c1000), 4096, 32, ... (0x755c1000), 4096, 4, ) == 0x0
 01146  2016   NtFlushInstructionCache  (-1, 1968967680, 860, ... ) == 0x0
 01147  2016   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msctfime.ime"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01148  2016   NtUserGetDC  (0, ... ) == 0x1010052
 01149  2016   NtUserSystemParametersInfo  (66, 12, 8383744, 0, ... ) == 0x1
 01150  2016   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 01151  2016   NtGdiCreateCompatibleDC  (0, ... ) == 0x140106c8
 01152  2016   NtGdiCreateCompatibleDC  (0, ... ) == 0x28010554
 01153  2016   NtGdiCreateCompatibleDC  (0, ... ) == 0x6701057d
 01154  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\ole32.dll"}, 8381076, ... ) }, 8381076, ... ) == 0x0
 01155  2016   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\ole32.dll"}, 5, 96, ... 120, {status=0x0, info=1}, ) }, 5, 96, ... 120, {status=0x0, info=1}, ) == 0x0
 01156  2016   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 120, ... 124, ) == 0x0
 01157  2016   NtClose  (120, ... ) == 0x0
 01158  2016   NtMapViewOfSection  (124, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x8d0000), 0x0, 1286144, ) == 0x0
 01159  2016   NtClose  (124, ... ) == 0x0
 01160  2016   NtUnmapViewOfSection  (-1, 0x8d0000, ... ) == 0x0
 01161  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\ole32.dll"}, 8381384, ... ) }, 8381384, ... ) == 0x0
 01162  2016   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\ole32.dll"}, 5, 96, ... 124, {status=0x0, info=1}, ) }, 5, 96, ... 124, {status=0x0, info=1}, ) == 0x0
 01163  2016   NtCreateSection  (0xf, 0x0, 0x0, 16, 16777216, 124, ... 120, ) == 0x0
 01164  2016   NtQuerySection  (120, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 01165  2016   NtClose  (124, ... ) == 0x0
 01166  2016   NtMapViewOfSection  (120, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x774e0000), 0x0, 1298432, ) == 0x0
 01167  2016   NtClose  (120, ... ) == 0x0
 01168  2016   NtProtectVirtualMemory  (-1, (0x774e1000), 2352, 4, ... (0x774e1000), 4096, 32, ) == 0x0
 01169  2016   NtProtectVirtualMemory  (-1, (0x774e1000), 4096, 32, ... (0x774e1000), 4096, 4, ) == 0x0
 01170  2016   NtFlushInstructionCache  (-1, 2001604608, 2352, ... ) == 0x0
 01171  2016   NtProtectVirtualMemory  (-1, (0x774e1000), 2352, 4, ... (0x774e1000), 4096, 32, ) == 0x0
 01172  2016   NtProtectVirtualMemory  (-1, (0x774e1000), 4096, 32, ... (0x774e1000), 4096, 4, ) == 0x0
 01173  2016   NtFlushInstructionCache  (-1, 2001604608, 2352, ... ) == 0x0
 01174  2016   NtProtectVirtualMemory  (-1, (0x774e1000), 2352, 4, ... (0x774e1000), 4096, 32, ) == 0x0
 01175  2016   NtProtectVirtualMemory  (-1, (0x774e1000), 4096, 32, ... (0x774e1000), 4096, 4, ) == 0x0
 01176  2016   NtFlushInstructionCache  (-1, 2001604608, 2352, ... ) == 0x0
 01177  2016   NtProtectVirtualMemory  (-1, (0x774e1000), 2352, 4, ... (0x774e1000), 4096, 32, ) == 0x0
 01178  2016   NtProtectVirtualMemory  (-1, (0x774e1000), 4096, 32, ... (0x774e1000), 4096, 4, ) == 0x0
 01179  2016   NtFlushInstructionCache  (-1, 2001604608, 2352, ... ) == 0x0
 01180  2016   NtProtectVirtualMemory  (-1, (0x774e1000), 2352, 4, ... (0x774e1000), 4096, 32, ) == 0x0
 01181  2016   NtProtectVirtualMemory  (-1, (0x774e1000), 4096, 32, ... (0x774e1000), 4096, 4, ) == 0x0
 01182  2016   NtFlushInstructionCache  (-1, 2001604608, 2352, ... ) == 0x0
 01183  2016   NtProtectVirtualMemory  (-1, (0x774e1000), 2352, 4, ... (0x774e1000), 4096, 32, ) == 0x0
 01184  2016   NtProtectVirtualMemory  (-1, (0x774e1000), 4096, 32, ... (0x774e1000), 4096, 4, ) == 0x0
 01185  2016   NtFlushInstructionCache  (-1, 2001604608, 2352, ... ) == 0x0
 01186  2016   NtProtectVirtualMemory  (-1, (0x774e1000), 2352, 4, ... (0x774e1000), 4096, 32, ) == 0x0
 01187  2016   NtProtectVirtualMemory  (-1, (0x774e1000), 4096, 32, ... (0x774e1000), 4096, 4, ) == 0x0
 01188  2016   NtFlushInstructionCache  (-1, 2001604608, 2352, ... ) == 0x0
 01189  2016   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ole32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01190  2016   NtAllocateVirtualMemory  (-1, 561152, 0, 4096, 4096, 4, ... 561152, 4096, ) == 0x0
 01191  2016   NtOpenFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\Device\KsecDD"}, 7, 16, ... 120, {status=0x0, info=0}, ) }, 7, 16, ... 120, {status=0x0, info=0}, ) == 0x0
 01192  2016   NtDeviceIoControlFile  (120, 0, 0x0, 0x0, 0x390008,  (120, 0, 0x0, 0x0, 0x390008, "^#\307\374kG\320vyEL\230\3162\211\240\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 01193  2016   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 01194  2016   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 01195  2016   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 01196  2016   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 01197  2016   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 01198  2016   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 01199  2016   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 01200  2016   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147481368, 2, ) }, 0, 0x0, 0, ... -2147481368, 2, ) == 0x0
 01201  2016   NtSetValueKey  (-2147481368,  (-2147481368, "Seed", 0, 3, "q\35t\300\0\206k\202\16\225\2656\30\270\274qJ\345HM\268\270\21\341^;\370k\2372M.\352\13cW)\217Q-\355\256cs\20o\361\373q\16\25\355[\336\275\14u\177\314\266\12\302Z\256O\242\301\231\327\272\371n47\252GtV\207", 80, ... ) , 0, 3,  (-2147481368, "Seed", 0, 3, "q\35t\300\0\206k\202\16\225\2656\30\270\274qJ\345HM\268\270\21\341^;\370k\2372M.\352\13cW)\217Q-\355\256cs\20o\361\373q\16\25\355[\336\275\14u\177\314\266\12\302Z\256O\242\301\231\327\272\371n47\252GtV\207", 80, ... ) , 80, ... ) == 0x0
 01202  2016   NtClose  (-2147481368, ... ) == 0x0
 01192  2016   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "\220=J\223\244\225\14\261\12\311\203\2237\315\257\17\323C@\335\241\17\371;M\333A'\12\247\275\277&\211\333y\203$N\315\307\352\15\275\363\266D\13\30\355\263Z\232\373\322\262\21\241\206#.F_Z\334\244\275G\210\4tl\277q\200\177\211\233\17'.\356\20\2332\316r\267\205ccR\245\360\264\375\0\22\263w\246\33\241\276_Z6\253\255\372&\270\342Q\24E\231\253\234\2506\217\341\256e[\37\341\34\25\23\21\226\321PN\276\325V\360\216\222\330l\252f\23\362%0\14QS4\236d\3715s\261\330g@>\310\203Dh-eq\200\235\220\16\323\247\0\314\337R\227\342\213:\35\304\326\307+a\220bEx\301\321P\220^\234J\235j\324\223\14\321\31\336\25\33\254\34W6\1\253S(\326\306\366\374\3261\254\243\325X\352\312\210\22a\370\2n\253\304\314\262\354\315)\36\250\231\371\52\204\35y", ) , ) == 0x0
 01203  2016   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 01204  2016   NtQuerySystemInformation  (Processor, 12, ... {system info, class 1, size 12}, 0x0, ) == 0x0
 01205  2016   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "SYSTEM\CurrentControlSet\Control\Session Manager"}, ... 124, ) }, ... 124, ) == 0x0
 01206  2016   NtQueryValueKey  (124,  (124, "CriticalSectionTimeout", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\215'\0"}, 16, ) , Partial, 144, ... TitleIdx=0, Type=4, Data= (124, "CriticalSectionTimeout", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\215'\0"}, 16, ) }, 16, ) == 0x0
 01207  2016   NtClose  (124, ... ) == 0x0
 01208  2016   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "Software\Microsoft\Ole"}, ... 124, ) }, ... 124, ) == 0x0
 01209  2016   NtQueryValueKey  (124,  (124, "RWLockResourceTimeOut", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01210  2016   NtClose  (124, ... ) == 0x0
 01211  2016   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 01212  2016   NtQuerySystemInformation  (Processor, 12, ... {system info, class 1, size 12}, 0x0, ) == 0x0
 01213  2016   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 01214  2016   NtQuerySystemInformation  (Processor, 12, ... {system info, class 1, size 12}, 0x0, ) == 0x0
 01215  2016   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Classes\Interface"}, ... 124, ) }, ... 124, ) == 0x0
 01216  2016   NtQueryValueKey  (124,  (124, "InterfaceHelperDisableAll", Full, 0, ... ) , Full, 0, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01217  2016   NtQueryValueKey  (124,  (124, "InterfaceHelperDisableAllForOle32", Full, 0, ... ) , Full, 0, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01218  2016   NtQueryValueKey  (124,  (124, "InterfaceHelperDisableTypeLib", Full, 0, ... ) , Full, 0, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01219  2016   NtClose  (124, ... ) == 0x0
 01220  2016   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Classes\Interface\{00020400-0000-0000-C000-000000000046}"}, ... 124, ) }, ... 124, ) == 0x0
 01221  2016   NtQueryValueKey  (124,  (124, "InterfaceHelperDisableAll", Full, 0, ... ) , Full, 0, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01222  2016   NtQueryValueKey  (124,  (124, "InterfaceHelperDisableAllForOle32", Full, 0, ... ) , Full, 0, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01223  2016   NtClose  (124, ... ) == 0x0
 01224  2016   NtOpenEvent  (0x1f0003, {24, 48, 0x0, 0, 0,  (0x1f0003, {24, 48, 0x0, 0, 0, "HookSwitchHookEnabledEvent"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01225  2016   NtUserFindExistingCursorIcon  (8383016, 8383032, 8383080, ... ) == 0x10003
 01226  2016   NtUserFindExistingCursorIcon  (8383016, 8383032, 8383080, ... ) == 0x10011
 01227  2016   NtGdiGetStockObject  (5, ... ) == 0x1900015
 01228  2016   NtUserGetClassInfo  (1968963584, 8383148, 8383712, 8383144, 0, ... ) == 0x0
 01229  2016   NtUserRegisterClassExWOW  (8383032, 8383100, 8383116, 8383132, 0, 384, 0, ... ) == 0x8169c079
 01230  2016   NtUserFindExistingCursorIcon  (8383016, 8383032, 8383080, ... ) == 0x10013
 01231  2016   NtUserGetClassInfo  (1968963584, 8383148, 8383712, 8383144, 0, ... ) == 0x0
 01232  2016   NtUserRegisterClassExWOW  (8383032, 8383100, 8383116, 8383132, 0, 384, 0, ... ) == 0x8169c07a
 01233  2016   NtUserRegisterWindowMessage  ( ("MSIMEService", ... ) , ... ) == 0xc07b
 01234  2016   NtUserRegisterWindowMessage  ( ("MSIMEUIReady", ... ) , ... ) == 0xc07c
 01235  2016   NtUserRegisterWindowMessage  ( ("MSIMEReconvertRequest", ... ) , ... ) == 0xc07d
 01236  2016   NtUserRegisterWindowMessage  ( ("MSIMEReconvert", ... ) , ... ) == 0xc07e
 01237  2016   NtUserRegisterWindowMessage  ( ("MSIMEDocumentFeed", ... ) , ... ) == 0xc07f
 01238  2016   NtUserRegisterWindowMessage  ( ("MSIMEQueryPosition", ... ) , ... ) == 0xc080
 01239  2016   NtUserRegisterWindowMessage  ( ("MSIMEModeBias", ... ) , ... ) == 0xc081
 01240  2016   NtUserRegisterWindowMessage  ( ("MSIMEShowImePad", ... ) , ... ) == 0xc082
 01241  2016   NtUserRegisterWindowMessage  ( ("MSIMEMouseOperation", ... ) , ... ) == 0xc083
 01242  2016   NtUserRegisterWindowMessage  ( ("MSIMEKeyMap", ... ) , ... ) == 0xc084
 01243  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\ntdll.dll"}, 8383908, ... ) }, 8383908, ... ) == 0x0
 01244  2016   NtUserMessageCall  (0x17010c, WM_NCCREATE, 0x0, 0x7ff950, 0, 670, 0, ... ) == 0x1
 01245  2016   NtUserMessageCall  (0x17010c, WM_NCCALCSIZE, 0x0, 0x7ff994, 0, 670, 0, ... ) == 0x0
 01246  2016   NtUserSetProp  (1507596, 43288, -1, ... ) == 0x1
 01247  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01248  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01249  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01250  2016   NtUserUpdateInputContext  (537329821, 1, 1507596, ... ) == 0x1
 01251  2016   NtOpenKey  (0x2000000, {24, 100, 0x40, 0, 0,  (0x2000000, {24, 100, 0x40, 0, 0, "SOFTWARE\Microsoft\CTF"}, ... 124, ) }, ... 124, ) == 0x0
 01252  2016   NtQueryValueKey  (124,  (124, "Disable Thread Input Manager", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01253  2016   NtClose  (124, ... ) == 0x0
 01254  2016   NtOpenThreadToken  (-2, 0x8, 0, ... ) == STATUS_NO_TOKEN
 01255  2016   NtOpenProcessToken  (-1, 0xa, ... 124, ) == 0x0
 01256  2016   NtDuplicateToken  (124, 0xc, {24, 0, 0x0, 0, 8385740, 0x0}, 0, 2, ... 128, ) == 0x0
 01257  2016   NtClose  (124, ... ) == 0x0
 01258  2016   NtAccessCheck  (562792, 128, 0x1, 8385816, 8385868, 56, 8385848, ... (0x1), ) == 0x0
 01259  2016   NtClose  (128, ... ) == 0x0
 01260  2016   NtOpenKey  (0x2000000, {24, 16, 0x40, 0, 0,  (0x2000000, {24, 16, 0x40, 0, 0, "Software\Microsoft\CTF\SystemShared"}, ... 128, ) }, ... 128, ) == 0x0
 01261  2016   NtQueryValueKey  (128,  (128, "CUAS", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 144, ... TitleIdx=0, Type=4, Data= (128, "CUAS", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 01262  2016   NtClose  (128, ... ) == 0x0
 01263  2016   NtUserGetImeInfoEx  (8385632, 0, ... ) == 0x1
 01264  2016   NtWaitForSingleObject  (112, 0, {-1000000, -1}, ... ) == 0x0
 01265  2016   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 01266  2016   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 128, ) == 0x0
 01267  2016   NtQueryInformationToken  (128, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 01268  2016   NtClose  (128, ... ) == 0x0
 01269  2016   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01270  2016   NtReleaseMutant  (112, ... 0x0, ) == 0x0
 01271  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 8382664, ... ) }, 8382664, ... ) == 0x0
 01272  2016   NtUserGetThreadState  (16, ... ) == 0x0
 01273  2016   NtOpenThreadToken  (-2, 0x8, 0, ... ) == STATUS_NO_TOKEN
 01274  2016   NtOpenProcessToken  (-1, 0xa, ... 128, ) == 0x0
 01275  2016   NtDuplicateToken  (128, 0xc, {24, 0, 0x0, 0, 8384664, 0x0}, 0, 2, ... 124, ) == 0x0
 01276  2016   NtClose  (128, ... ) == 0x0
 01277  2016   NtAccessCheck  (562792, 124, 0x1, 8384740, 8384792, 56, 8384772, ... (0x1), ) == 0x0
 01278  2016   NtClose  (124, ... ) == 0x0
 01279  2016   NtUserGetClassInfo  (1968963584, 8384384, 8384328, 8384376, 0, ... ) == 0xc079
 01280  2016   NtUserMessageCall  (0x90130, WM_NCCALCSIZE, 0x0, 0x7ff994, 0, 670, 1, ... ) == 0x0
 01281  2016   NtUserGetClassName  (590128, 0, 8386108, ... ) == 0x6
 01282  2016   NtUserRemoveProp  (590128, 43282, ... ) == 0x0
 01283  2016   NtRequestWaitReplyPort  (24, {24, 52, new_msg, 0, 5570592, 73, 1441813, 29840}  (24, {24, 52, new_msg, 0, 5570592, 73, 1441813, 29840} "\0\0\0\0\5\4\3\0\2\0\0\0\1\0\5\0\340\7\0\0\304\364\177\0" ... {24, 52, reply, 0, 1252, 2016, 81846, 0} "\0\0\0\0\5\4\3\0\0\0\0\0\1\0\5\0\340\7\0\0\0\0\0\0" )  ... {24, 52, reply, 0, 1252, 2016, 81846, 0}  (24, {24, 52, new_msg, 0, 5570592, 73, 1441813, 29840} "\0\0\0\0\5\4\3\0\2\0\0\0\1\0\5\0\340\7\0\0\304\364\177\0" ... {24, 52, reply, 0, 1252, 2016, 81846, 0} "\0\0\0\0\5\4\3\0\0\0\0\0\1\0\5\0\340\7\0\0\0\0\0\0" )  ) == 0x0
 01284  2016   NtUserGetThreadDesktop  (2016, 0, ... ) == 0x24
 01285  2016   NtUserGetObjectInformation  (36, 2, 8385792, 520, 0, ... ) == 0x1
 01286  2016   NtGdiDeleteObjectApp  (1880098012, ... ) == 0x1
 01287  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01288  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01289  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01290  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01291  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01292  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01293  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01294  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01295  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01296  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01297  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01298  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01299  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01300  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01301  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01302  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01303  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01304  2016   NtGdiCreatePatternBrushInternal  (59048383, 0, 0, ... ) == 0x711004dc
 01305  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01306  2016   NtUserSetProp  (590128, 43288, 2501216, ... ) == 0x1
 00860  2016   NtUserCreateWindowEx  ... ) == 0x90130
 01307  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01308  2016   NtUserCallHwndLock  (590128, 90, ... ) == 0x1
 01309  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01310  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01311  2016   NtUserGetAtomName  (49177, 8387008, ... ) == 0x6
 01312  2016   NtUserCreateWindowEx  (-2147483644, 49177, 49177,  (-2147483644, 49177, 49177, "Verifying File:", 1342308352, 11, 16, 87, 13, 590128, 101, 0, 0, 1073742848, 0, ... , 1342308352, 11, 16, 87, 13, 590128, 101, 0, 0, 1073742848, 0, ...
 01313  2016   NtUserSetWindowFNID  (786756, 680, ... ) == 0x1
 01314  2016   NtUserSetWindowLong  (786756, 0, 563232, 0, ... ) == 0x0
 01315  2016   NtUserMessageCall  (0xc0144, WM_NCCREATE, 0x0, 0x7ff948, 0, 670, 1, ... ) == 0x1
 01316  2016   NtUserMessageCall  (0xc0144, WM_NCCALCSIZE, 0x0, 0x7ff994, 0, 670, 1, ... ) == 0x0
 01317  2016   NtUserSetProp  (786756, 43288, -1, ... ) == 0x1
 01312  2016   NtUserCreateWindowEx  ... ) == 0xc0144
 01318  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01319  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01320  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01321  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01322  2016   NtUserGetAtomName  (49177, 8387008, ... ) == 0x6
 01323  2016   NtUserCreateWindowEx  (-2147483644, 49177, 49177, "", 1342308352, 11, 34, 87, 13, 590128, 102, 0, 0, 1073742848, 0, ...
 01324  2016   NtUserSetWindowFNID  (655666, 680, ... ) == 0x1
 01325  2016   NtUserSetWindowLong  (655666, 0, 563208, 0, ... ) == 0x0
 01326  2016   NtUserMessageCall  (0xa0132, WM_NCCREATE, 0x0, 0x7ff964, 0, 670, 1, ... ) == 0x1
 01327  2016   NtUserMessageCall  (0xa0132, WM_NCCALCSIZE, 0x0, 0x7ff994, 0, 670, 1, ... ) == 0x0
 01328  2016   NtUserSetProp  (655666, 43288, -1, ... ) == 0x1
 01323  2016   NtUserCreateWindowEx  ... ) == 0xa0132
 01329  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 01330  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 01331  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 01332  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 01333  2016   NtUserGetAtomName  (49177, 8387008, ... ) == 0x6
 01334  2016   NtUserCreateWindowEx  (-2147483644, 49177, 49177, "", 1342308352, 101, 16, 225, 13, 590128, 104, 0, 0, 1073742848, 0, ...
 01335  2016   NtUserSetWindowFNID  (655682, 680, ... ) == 0x1
 01336  2016   NtUserSetWindowLong  (655682, 0, 563184, 0, ... ) == 0x0
 01337  2016   NtUserMessageCall  (0xa0142, WM_NCCREATE, 0x0, 0x7ff964, 0, 670, 1, ... ) == 0x1
 01338  2016   NtUserMessageCall  (0xa0142, WM_NCCALCSIZE, 0x0, 0x7ff994, 0, 670, 1, ... ) == 0x0
 01339  2016   NtUserSetProp  (655682, 43288, -1, ... ) == 0x1
 01334  2016   NtUserCreateWindowEx  ... ) == 0xa0142
 01340  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 01341  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 01342  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 01343  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 01344  2016   NtUserGetAtomName  (49177, 8387008, ... ) == 0x6
 01345  2016   NtUserCreateWindowEx  (-2147483644, 49177, 49177, "", 1342308352, 101, 34, 225, 13, 590128, 105, 0, 0, 1073742848, 0, ...
 01346  2016   NtUserSetWindowFNID  (721174, 680, ... ) == 0x1
 01347  2016   NtUserSetWindowLong  (721174, 0, 563160, 0, ... ) == 0x0
 01348  2016   NtUserMessageCall  (0xb0116, WM_NCCREATE, 0x0, 0x7ff964, 0, 670, 1, ... ) == 0x1
 01349  2016   NtUserMessageCall  (0xb0116, WM_NCCALCSIZE, 0x0, 0x7ff994, 0, 670, 1, ... ) == 0x0
 01350  2016   NtUserSetProp  (721174, 43288, -1, ... ) == 0x1
 01345  2016   NtUserCreateWindowEx  ... ) == 0xb0116
 01351  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 01352  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 01353  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 01354  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 01355  2016   NtUserCreateWindowEx  (-2147483644, 8388244, 8387060, "", 1342177280, 12, 65, 308, 20, 590128, 106, 0, 0, 1073742848, 0, ...
 01356  2016   NtUserMessageCall  (0x100100, WM_NCCREATE, 0x0, 0x7ff940, 0, 670, 0, ... ) == 0x1
 01357  2016   NtUserMessageCall  (0x100100, WM_NCCALCSIZE, 0x0, 0x7ff994, 0, 670, 0, ... ) == 0x0
 01358  2016   NtUserSetProp  (1048832, 43288, -1, ... ) == 0x1
 01359  2016   NtUserRegisterWindowMessage  ( ("ShellGetDragImage", ... ) , ... ) == 0xc03a
 01360  2016   NtUserSystemParametersInfo  (104, 0, 1561338260, 0, ... ) == 0x1
 01361  2016   NtUserSystemParametersInfo  (38, 4, 1561337988, 0, ... ) == 0x1
 01362  2016   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 01363  2016   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 124, ) == 0x0
 01364  2016   NtQueryInformationToken  (124, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 01365  2016   NtClose  (124, ... ) == 0x0
 01366  2016   NtOpenKey  (0x20019, {24, 0, 0x640, 0, 0,  (0x20019, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... 124, ) }, ... 124, ) == 0x0
 01367  2016   NtOpenProcessToken  (-1, 0x8, ... 128, ) == 0x0
 01368  2016   NtAccessCheck  (562792, 128, 0x1, 8385808, 8385860, 56, 8385840, ... ) == STATUS_NO_IMPERSONATION_TOKEN
 01369  2016   NtClose  (128, ... ) == 0x0
 01370  2016   NtOpenKey  (0x20019, {24, 124, 0x40, 0, 0,  (0x20019, {24, 124, 0x40, 0, 0, "Control Panel\Desktop"}, ... 128, ) }, ... 128, ) == 0x0
 01371  2016   NtQueryValueKey  (128,  (128, "SmoothScroll", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01372  2016   NtClose  (128, ... ) == 0x0
 01373  2016   NtUserSystemParametersInfo  (41, 500, 8385988, 0, ... ) == 0x1
 01374  2016   NtUserSystemParametersInfo  (102, 0, 1561338280, 0, ... ) == 0x1
 01375  2016   NtClose  (124, ... ) == 0x0
 01376  2016   NtUserSetWindowLong  (1048832, 0, 556136, 0, ... ) == 0x0
 01377  2016   NtUserSetWindowLong  (1048832, -20, 131076, 0, ...
 01378  2016   NtUserRemoveProp  (1048832, 43288, ... ) == 0xffffffff
 01379  2016   NtUserRemoveProp  (1048832, 43282, ... ) == 0x0
 01380  2016   NtUserSetProp  (1048832, 43288, -1, ... ) == 0x1
 01381  2016   NtUserRemoveProp  (1048832, 43288, ... ) == 0xffffffff
 01382  2016   NtUserRemoveProp  (1048832, 43282, ... ) == 0x0
 01383  2016   NtUserSetProp  (1048832, 43288, -1, ... ) == 0x1
 01377  2016   NtUserSetWindowLong  ... ) == 0x4
 01384  2016   NtUserSetWindowPos  (1048832, 0, 0, 0, 0, 0, 55, ...
 01385  2016   NtUserMessageCall  (0x100100, WM_NCCALCSIZE, 0x1, 0x7ff744, 0, 670, 0, ... ) == 0x0
 01384  2016   NtUserSetWindowPos  ... ) == 0x1
 01355  2016   NtUserCreateWindowEx  ... ) == 0x100100
 01386  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01387  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01388  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01389  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01390  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01391  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01392  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01393  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01394  2016   NtSetEvent  (60, ...
 00840   896   NtWaitForSingleObject  ... ) == 0x0
 01395   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01396   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 01397   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x84c10, 0, 688, 1, ...
 01394  2016   NtSetEvent  ... 0x0, ) == 0x0
 01398  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01399  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01400  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01401  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01402  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01403  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01404  2016   NtUserGetClassName  (786756, 0, 8387500, ... ) == 0x6
 01405  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01406  2016   NtUserGetClassName  (655666, 0, 8387500, ... ) == 0x6
 01407  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 01408  2016   NtUserGetClassName  (655682, 0, 8387500, ... ) == 0x6
 01409  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 01410  2016   NtUserGetClassName  (721174, 0, 8387500, ... ) == 0x6
 01411  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 01412  2016   NtUserGetClassName  (1048832, 0, 8387500, ... ) == 0x11
 01413  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01414  2016   NtUserGetAncestor  (590128, 1, ... ) == 0x10014
 01415  2016   NtUserValidateHandleSecure  (65556, ... ) == 0x1
 01416  2016   NtUserSetWindowPos  (590128, 0, 344, 304, 336, 130, 1047, ... ) == 0x1
 01417  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01418  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01419  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01420  2016   NtUserSetFocus  (786756, ...
 01421  2016   NtUserPostThreadMessage  (2016, 49313, 17, 786756, ... ) == 0x1
 01422  2016   NtUserGetForegroundWindow  (... ) == 0xf0104
 01423  2016   NtUserMessageCall  (0x90130, WM_NCACTIVATE, 0x0, 0xffffffff, 0, 670, 1, ... ) == 0x1
 01424  2016   NtAllocateVirtualMemory  (-1, 2510848, 0, 4096, 4096, 4, ... 2510848, 4096, ) == 0x0
 01425  2016   NtUserInternalGetWindowText  (0x90130, 260, ...  (0x90130, 260, ... "Extracting Files", ) , ) == 0x10
 01426  2016   NtUserGetWindowDC  (590128, ... ) == 0x1010050
 01427  2016   NtGdiGetTextMetricsW  (16842832, 8386516, 68, ... ) == 0x1
 01428  2016   NtGdiCreateRectRgn  (0, 0, 1, 1, ... ) == 0xd00406b6
 01429  2016   NtGdiGetRandomRgn  (16842832, -805042506, 1, ... ) == 0x0
 01430  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 0, 0, ... ) == 0x3
 01431  2016   NtGdiGetWidthTable  (16842832, 16, 563952, 272, 564496, 563320, 563336, ... ) == 0x1
 01432  2016   NtGdiExtSelectClipRgn  (16842832, 0, 5, ... ) == 0x1
 01433  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 01434  2016   NtUserCalcMenuBar  (590128, 3, 3, 29, 2501400, ... ) == 0x0
 01435  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 8386476, 690, 0, ...
 01436  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 0, 670, 1, ... ) == 0x0
 01435  2016   NtUserMessageCall  ... ) == 0x0
 01437  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 8386476, 690, 0, ...
 01438  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 0, 670, 1, ... ) == 0x0
 01437  2016   NtUserMessageCall  ... ) == 0x0
 01439  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 8386476, 690, 0, ...
 01440  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 01439  2016   NtUserMessageCall  ... ) == 0x0
 01441  2016   NtUserGetTitleBarInfo  (590128, 8387108, ... ) == 0x1
 01442  2016   NtUserGetDCEx  (590128, 0, 66561, ... ) == 0x1010053
 01443  2016   NtGdiExcludeClipRect  (16842835, 3, 29, 333, 127, ... ) == 0x3
 01444  2016   NtGdiDrawStream  (16842835, 96, 8386592, ... ) == 0x1
 01445  2016   NtGdiDrawStream  (16842835, 96, 8386592, ... ) == 0x1
 01446  2016   NtGdiDrawStream  (16842835, 96, 8386592, ... ) == 0x1
 01447  2016   NtGdiCreateCompatibleBitmap  (16842835, 336, 29, ... ) == 0x210505f7
 01448  2016   NtGdiCreateCompatibleDC  (16842835, ... ) == 0xcc0106aa
 01449  2016   NtGdiSelectBitmap  (-872347990, 553977335, ... ) == 0x185000f
 01450  2016   NtGdiDrawStream  (-872347990, 96, 8386484, ... ) == 0x1
 01451  2016   NtGdiDrawStream  (-872347990, 96, 8386440, ... ) == 0x1
 01452  2016   NtGdiDrawStream  (-872347990, 96, 8386440, ... ) == 0x1
 01453  2016   NtUserInternalGetWindowText  (0x90130, 260, ...  (0x90130, 260, ... "Extracting Files", ) , ) == 0x10
 01454  2016   NtGdiGetRandomRgn  (-872347990, -788265290, 1, ... ) == 0x0
 01455  2016   NtGdiIntersectClipRect  (-872347990, 7, 7, 307, 25, ... ) == 0x3
 01456  2016   NtGdiExtSelectClipRgn  (-872347990, 0, 5, ... ) == 0x2
 01457  2016   NtGdiBitBlt  (16842835, 0, 0, 336, 29, -872347990, 0, 0, 13369376, -1, 0, ... ) == 0x1
 01458  2016   NtGdiSelectBitmap  (-872347990, 25493519, ... ) == 0x210505f7
 01459  2016   NtGdiDeleteObjectApp  (-872347990, ... ) == 0x1
 01460  2016   NtGdiDeleteObjectApp  (553977335, ... ) == 0x1
 01461  2016   NtUserCallOneParam  (16842835, 57, ... ) == 0x1
 01462  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01463  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01464  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01465  2016   NtUserGetThreadState  (13, ... ) == 0x0
 01466  2016   NtUserUpdateInputContext  (537329821, 0, 533192, ... ) == 0x1
 01467  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01468  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01469  2016   NtUserQueryInputContext  (537329821, 1, ... ) == 0x7e0
 01470  2016   NtUserCallOneParam  (0, 40, ... ) == 0x4090409
 01471  2016   NtUserQueryInputContext  (537329821, 2, ... ) == 0x17010c
 01472  2016   NtAllocateVirtualMemory  (-1, 0, 0, 524280, 8192, 4, ... 9240576, 524288, ) == 0x0
 01473  2016   NtAllocateVirtualMemory  (-1, 9240576, 0, 4096, 4096, 4, ... 9240576, 4096, ) == 0x0
 01474  2016   NtUserCallOneParam  (2016, 40, ... ) == 0x4090409
 01475  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01476  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01477  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01478  2016   NtAllocateVirtualMemory  (-1, 565248, 0, 4096, 4096, 4, ... 565248, 4096, ) == 0x0
 01479  2016   NtUserGetDC  (0, ... ) == 0x1010052
 01480  2016   NtGdiGetDCObject  (16842834, 655360, ... ) == 0x18a0021
 01481  2016   NtGdiExtGetObjectW  (25821217, 92, 8386968, ... ) == 0x5c
 01482  2016   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 01483  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01484  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01485  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01486  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01487  2016   NtUserCallOneParam  (0, 40, ... ) == 0x4090409
 01488  2016   NtUserCallOneParam  (0, 40, ... ) == 0x4090409
 01489  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01490  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01491  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01492  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01493  2016   NtUserQueryWindow  (786756, 7, ... ) == 0x17010c
 01494  2016   NtUserGetImeInfoEx  (8385876, 0, ... ) == 0x1
 01495  2016   NtUserGetClassInfo  (1968963584, 8385260, 8385204, 8385252, 0, ... ) == 0xc079
 01496  2016   NtUserCreateWindowEx  (0, 8385656, 8384420,  (0, 8385656, 8384420, "MSCTFIME UI", -2013265920, 0, 0, 0, 0, 1507596, 0, 1968963584, 0, 1073742848, 0, ... , -2013265920, 0, 0, 0, 0, 1507596, 0, 1968963584, 0, 1073742848, 0, ...
 01497  2016   NtUserGetIconSize  (65539, 0, 8383180, 8383184, ... ) == 0x1
 01498  2016   NtUserGetIconInfo  (65539, 8383156, 8383148, 8383140, 8383176, 1, ... ) == 0x1
 01499  2016   NtUserFindExistingCursorIcon  (8382920, 8382936, 8383112, ... ) == 0x10003
 01500  2016   NtGdiExtGetObjectW  (570754551, 24, 8382920, ... ) == 0x18
 01501  2016   NtGdiGetDIBitsInternal  (-2046752853, 570754551, 0, 64, 566768, 566720, 0, 256, 0, ... ) == 0x40
 01502  2016   NtUserGetDC  (0, ... ) == 0x1010052
 01503  2016   NtGdiCreateDIBitmapInternal  (16842834, 16, 32, 2, 0, 2118583256, 0, 48, 0, 0, 0, ... ) == 0x9b0505fe
 01504  2016   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 01505  2016   NtGdiSelectBitmap  (-2046752853, -1694169602, ... ) == 0x185000f
 01506  2016   NtGdiDoPalette  (-2046752853, 0, 1, 8382780, 4, 0, ... ) == 0x1
 01507  2016   NtGdiStretchDIBitsInternal  (-2046752853, 0, 0, 16, 32, 0, 0, 32, 64, 566768, 564480, 0, 13369376, 48, 256, 0, ... ) == 0x40
 01508  2016   NtGdiSelectBitmap  (-2046752853, 25493519, ... ) == 0x9b0505fe
 01509  2016   NtGdiCreateCompatibleDC  (-2046752853, ... ) == 0x6301069f
 01510  2016   NtGdiExtGetObjectW  (-1694169602, 24, 8382804, ... ) == 0x18
 01511  2016   NtGdiCreateBitmap  (16, 32, 1, 1, 0, ... ) == 0xa405056a
 01512  2016   NtGdiSelectBitmap  (-2046752853, -1694169602, ... ) == 0x185000f
 01513  2016   NtGdiSelectBitmap  (1661011615, -1543174806, ... ) == 0x185000f
 01514  2016   NtGdiBitBlt  (1661011615, 0, 0, 16, 32, -2046752853, 0, 0, 13369376, -1, 0, ... ) == 0x1
 01515  2016   NtGdiSelectBitmap  (-2046752853, 25493519, ... ) == 0x9b0505fe
 01516  2016   NtGdiSelectBitmap  (1661011615, 25493519, ... ) == 0xa405056a
 01517  2016   NtGdiDeleteObjectApp  (-1694169602, ... ) == 0x1
 01518  2016   NtGdiDeleteObjectApp  (1661011615, ... ) == 0x1
 01519  2016   NtGdiExtGetObjectW  (-653982136, 24, 8382920, ... ) == 0x18
 01520  2016   NtAllocateVirtualMemory  (-1, 569344, 0, 8192, 4096, 4, ... 569344, 8192, ) == 0x0
 01521  2016   NtGdiGetDIBitsInternal  (-2046752853, -653982136, 0, 32, 567084, 567032, 0, 4096, 0, ... ) == 0x20
 01522  2016   NtUserGetDC  (0, ... ) == 0x1010052
 01523  2016   NtGdiCreateCompatibleBitmap  (16842834, 16, 16, ... ) == 0x6505069f
 01524  2016   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 01525  2016   NtGdiSelectBitmap  (-2046752853, 1694828191, ... ) == 0x185000f
 01526  2016   NtGdiDoPalette  (-2046752853, 0, 1, 8382780, 4, 0, ... ) == 0x0
 01527  2016   NtGdiStretchDIBitsInternal  (-2046752853, 0, 0, 16, 16, 0, 0, 32, 32, 567084, 564480, 0, 13369376, 40, 4096, 0, ... ) == 0x20
 01528  2016   NtGdiSelectBitmap  (-2046752853, 25493519, ... ) == 0x6505069f
 01529  2016   NtGdiDeleteObjectApp  (570754551, ... ) == 0x1
 01530  2016   NtGdiDeleteObjectApp  (-653982136, ... ) == 0x1
 01531  2016   NtUserCallOneParam  (0, 33, ... ) == 0x2c0293
 01532  2016   NtUserSetCursorIconData  (2884243, 8382964, 8382980, 8383024, ... ) == 0x1
 01533  2016   NtUserMessageCall  (0x80118, WM_NCCREATE, 0x0, 0x7fef1c, 0, 670, 1, ... ) == 0x1
 01534  2016   NtUserMessageCall  (0x80118, WM_NCCALCSIZE, 0x0, 0x7fef44, 0, 670, 1, ... ) == 0x0
 01535  2016   NtUserSetProp  (524568, 43288, -1, ... ) == 0x1
 01536  2016   NtUserSetWindowLong  (524568, 4, 562768, 1, ... ) == 0x0
 01496  2016   NtUserCreateWindowEx  ... ) == 0x80118
 01537  2016   NtUserSetWindowLong  (524568, 0, 537329821, 0, ... ) == 0x0
 01538  2016   NtUserGetThreadState  (17, ... ) == 0x0
 01539  2016   NtUserQueryWindow  (1507596, 3, ... ) == 0xc0144
 01540  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01541  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01542  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01543  2016   NtUserValidateHandleSecure  (524568, ... ) == 0x1
 01544  2016   NtUserSetWindowLong  (524568, 0, 537329821, 0, ... ) == 0x2007009d
 01545  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01546  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01547  2016   NtUserSetImeOwnerWindow  (1507596, 786756, ... ) == 0x1
 01548  2016   NtUserValidateHandleSecure  (524568, ... ) == 0x1
 01549  2016   NtUserValidateHandleSecure  (524568, ... ) == 0x1
 01550  2016   NtUserValidateHandleSecure  (524568, ... ) == 0x1
 01551  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01552  2016   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\Msimtf.dll"}, 8382976, ... ) }, 8382976, ... ) == 0x0
 01553  2016   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\Msimtf.dll"}, 5, 96, ... 124, {status=0x0, info=1}, ) }, 5, 96, ... 124, {status=0x0, info=1}, ) == 0x0
 01554  2016   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 124, ... 128, ) == 0x0
 01555  2016   NtClose  (124, ... ) == 0x0
 01556  2016   NtMapViewOfSection  (128, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x950000), 0x0, 159744, ) == 0x0
 01557  2016   NtClose  (128, ... ) == 0x0
 01558  2016   NtUnmapViewOfSection  (-1, 0x950000, ... ) == 0x0
 01559  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01560  2016   NtUserKillTimer  (524568, 1, ... ) == 0x0
 01561  2016   NtUserSetTimer  (524568, 1, 300, 0, ... ) == 0x1
 01562  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01563  2016   NtUserCallNoParam  (7, ... ) == 0x1
 01564  2016   NtUserQueryWindow  (1507596, 3, ... ) == 0xc0144
 01565  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01566  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01567  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01568  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01569  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01570  2016   NtUserQueryWindow  (786756, 7, ... ) == 0x17010c
 01571  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01572  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01573  2016   NtUserValidateHandleSecure  (524568, ... ) == 0x1
 01574  2016   NtUserValidateHandleSecure  (524568, ... ) == 0x1
 01575  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01576  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 01577  2016   NtUserCallHwndLock  (1507596, 86, ... ) == 0x1
 01578  2016   NtUserNotifyIMEStatus  (786756, 0, 1, ... ) == 0x8169c020
 01420  2016   NtUserSetFocus  ... ) == 0x0
 01579  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01580  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01581  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01582  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01583  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01584  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01585  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01586  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01587  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01588  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01589  2016   NtUserMessageCall  (0x90130, 0x128, 0x30001, 0x0, 0, 670, 1, ...
 01590  2016   NtUserMessageCall  (0xc0144, 0x128, 0x30001, 0x0, 0, 670, 1, ... ) == 0x0
 01591  2016   NtUserMessageCall  (0xa0132, 0x128, 0x30001, 0x0, 0, 670, 1, ... ) == 0x0
 01592  2016   NtUserMessageCall  (0xa0142, 0x128, 0x30001, 0x0, 0, 670, 1, ... ) == 0x0
 01593  2016   NtUserMessageCall  (0xb0116, 0x128, 0x30001, 0x0, 0, 670, 1, ... ) == 0x0
 01594  2016   NtUserMessageCall  (0x100100, 0x128, 0x30001, 0x0, 0, 670, 0, ... ) == 0x0
 01589  2016   NtUserMessageCall  ... ) == 0x0
 01595  2016   NtUserCallHwndLock  (590128, 91, ... ) == 0x0
 01596  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01597  2016   NtUserShowWindow  (590128, 1, ...
 01598  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01599  2016   NtUserInternalGetWindowText  (0x90130, 260, ...  (0x90130, 260, ... "Extracting Files", ) , ) == 0x10
 01600  2016   NtUserGetWindowDC  (590128, ... ) == 0x1010053
 01601  2016   NtGdiGetRandomRgn  (16842835, -771488074, 1, ... ) == 0x0
 01602  2016   NtGdiIntersectClipRect  (16842835, 0, 0, 0, 0, ... ) == 0x3
 01603  2016   NtGdiGetCharSet  (16842835, ... ) == 0x4e4
 01604  2016   NtGdiExtSelectClipRgn  (16842835, 0, 5, ... ) == 0x2
 01605  2016   NtUserCallOneParam  (16842835, 57, ... ) == 0x1
 01606  2016   NtUserCalcMenuBar  (590128, 3, 3, 29, 2501400, ... ) == 0x0
 01607  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 8386472, 690, 0, ...
 01608  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 0, 670, 1, ... ) == 0x0
 01607  2016   NtUserMessageCall  ... ) == 0x0
 01609  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 8386472, 690, 0, ...
 01610  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 0, 670, 1, ... ) == 0x0
 01609  2016   NtUserMessageCall  ... ) == 0x0
 01611  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 8386472, 690, 0, ...
 01612  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 01611  2016   NtUserMessageCall  ... ) == 0x0
 01613  2016   NtUserGetTitleBarInfo  (590128, 8387104, ... ) == 0x1
 01614  2016   NtUserGetDCEx  (590128, 0, 66561, ... ) == 0x1010050
 01615  2016   NtGdiExcludeClipRect  (16842832, 3, 29, 333, 127, ... ) == 0x3
 01616  2016   NtGdiDrawStream  (16842832, 96, 8386588, ... ) == 0x1
 01617  2016   NtGdiDrawStream  (16842832, 96, 8386588, ... ) == 0x1
 01618  2016   NtGdiDrawStream  (16842832, 96, 8386588, ... ) == 0x1
 01619  2016   NtGdiCreateCompatibleBitmap  (16842832, 336, 29, ... ) == 0x270505f7
 01620  2016   NtGdiCreateCompatibleDC  (16842832, ... ) == 0xc0103d2
 01621  2016   NtGdiSelectBitmap  (201393106, 654640631, ... ) == 0x185000f
 01622  2016   NtGdiDrawStream  (201393106, 96, 8386480, ... ) == 0x1
 01623  2016   NtGdiDrawStream  (201393106, 96, 8386436, ... ) == 0x1
 01624  2016   NtGdiDrawStream  (201393106, 96, 8386436, ... ) == 0x1
 01625  2016   NtUserInternalGetWindowText  (0x90130, 260, ...  (0x90130, 260, ... "Extracting Files", ) , ) == 0x10
 01626  2016   NtGdiGetRandomRgn  (201393106, -754710858, 1, ... ) == 0x0
 01627  2016   NtGdiIntersectClipRect  (201393106, 8, 8, 308, 25, ... ) == 0x3
 01628  2016   NtGdiExtSelectClipRgn  (201393106, 0, 5, ... ) == 0x2
 01629  2016   NtGdiGetRandomRgn  (201393106, -737933642, 1, ... ) == 0x0
 01630  2016   NtGdiIntersectClipRect  (201393106, 7, 7, 307, 25, ... ) == 0x3
 01631  2016   NtGdiExtSelectClipRgn  (201393106, 0, 5, ... ) == 0x2
 01632  2016   NtGdiBitBlt  (16842832, 0, 0, 336, 29, 201393106, 0, 0, 13369376, -1, 0, ... ) == 0x1
 01633  2016   NtGdiSelectBitmap  (201393106, 25493519, ... ) == 0x270505f7
 01634  2016   NtGdiDeleteObjectApp  (201393106, ... ) == 0x1
 01635  2016   NtGdiDeleteObjectApp  (654640631, ... ) == 0x1
 01636  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 01637  2016   NtUserFillWindow  (590128, 590128, 16842833, 4, ...
 01638  2016   NtUserGetAncestor  (590128, 1, ... ) == 0x10014
 01639  2016   NtUserValidateHandleSecure  (65556, ... ) == 0x1
 01640  2016   NtUserGetAncestor  (65556, 1, ... ) == 0x0
 01637  2016   NtUserFillWindow  ... ) == 0x1
 01641  2016   NtUserInternalGetWindowText  (0x90130, 260, ...  (0x90130, 260, ... "Extracting Files", ) , ) == 0x10
 01642  2016   NtUserGetWindowDC  (590128, ... ) == 0x1010053
 01643  2016   NtGdiGetRandomRgn  (16842835, -721156426, 1, ... ) == 0x0
 01644  2016   NtGdiIntersectClipRect  (16842835, 0, 0, 0, 0, ... ) == 0x3
 01645  2016   NtGdiGetCharSet  (16842835, ... ) == 0x4e4
 01646  2016   NtGdiExtSelectClipRgn  (16842835, 0, 5, ... ) == 0x2
 01647  2016   NtUserCallOneParam  (16842835, 57, ... ) == 0x1
 01648  2016   NtUserCalcMenuBar  (590128, 3, 3, 29, 2501400, ... ) == 0x0
 01649  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 8386764, 690, 0, ...
 01650  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 0, 670, 1, ... ) == 0x0
 01649  2016   NtUserMessageCall  ... ) == 0x0
 01651  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 8386764, 690, 0, ...
 01652  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 0, 670, 1, ... ) == 0x0
 01651  2016   NtUserMessageCall  ... ) == 0x0
 01653  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 8386764, 690, 0, ...
 01654  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 01653  2016   NtUserMessageCall  ... ) == 0x0
 01655  2016   NtUserGetTitleBarInfo  (590128, 8387396, ... ) == 0x1
 01656  2016   NtUserBuildHwndList  (0, 590128, 1, 0, 64, ... (0xc0144, 0xa0132, 0xa0142, 0xb0116, 0x100100, 0x1, ), 6, ) == 0x0
 01657  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01658  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01659  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01660  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 01661  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 01662  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 01663  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 01664  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 01665  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 01666  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 01667  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 01668  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 01669  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01670  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01671  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01672  2016   NtUserGetWindowDC  (0, ... ) == 0x1010054
 01673  2016   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 01674  2016   NtGdiExtCreateRegion  (0, 112, 2502360, ... ) == 0x290405f7
 01675  2016   NtGdiOffsetRgn  (688129527, 0, 0, ... ) == 0x3
 01676  2016   NtGdiCombineRgn  (-704379210, 688129527, -704379210, 5, ... ) == 0x3
 01677  2016   NtGdiCreateRectRgn  (0, 0, 1, 1, ... ) == 0xd0403d2
 01678  2016   NtGdiCombineRgn  (-704379210, 218366930, -704379210, 2, ... ) == 0x3
 01679  2016   NtGdiCreateRectRgn  (0, 0, 1, 1, ... ) == 0x9d0405fe
 01680  2016   NtGdiCombineRgn  (-704379210, -1660680706, -704379210, 2, ... ) == 0x3
 01681  2016   NtGdiCreateRectRgn  (0, 0, 1, 1, ... ) == 0xe20405ed
 01682  2016   NtGdiCombineRgn  (-704379210, -503052819, -704379210, 2, ... ) == 0x3
 01683  2016   NtGdiCreateRectRgn  (0, 0, 1, 1, ... ) == 0xc4040679
 01684  2016   NtGdiCombineRgn  (-704379210, -1006369159, -704379210, 2, ... ) == 0x3
 01685  2016   NtGdiCreateRectRgn  (0, 0, 1, 1, ... ) == 0x95040580
 01686  2016   NtGdiCombineRgn  (-1794898560, -704379210, 0, 5, ... ) == 0x3
 01687  2016   NtUserSetWindowRgn  (590128, -704379210, 1, ...
 01688  2016   NtUserMessageCall  (0x90130, WM_NCCALCSIZE, 0x1, 0x7ffa80, 0, 670, 1, ... ) == 0x0
 01689  2016   NtUserInternalGetWindowText  (0x90130, 260, ...  (0x90130, 260, ... "Extracting Files", ) , ) == 0x10
 01690  2016   NtUserGetWindowDC  (590128, ... ) == 0x1010053
 01691  2016   NtGdiGetRandomRgn  (16842835, -989591943, 1, ... ) == 0x0
 01692  2016   NtGdiIntersectClipRect  (16842835, 0, 0, 0, 0, ... ) == 0x3
 01693  2016   NtGdiGetCharSet  (16842835, ... ) == 0x4e4
 01694  2016   NtGdiExtSelectClipRgn  (16842835, 0, 5, ... ) == 0x2
 01695  2016   NtUserCallOneParam  (16842835, 57, ... ) == 0x1
 01696  2016   NtUserCalcMenuBar  (590128, 3, 3, 29, 2501400, ... ) == 0x0
 01697  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 8385544, 690, 0, ...
 01698  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 0, 670, 1, ... ) == 0x0
 01697  2016   NtUserMessageCall  ... ) == 0x0
 01699  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 8385544, 690, 0, ...
 01700  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 0, 670, 1, ... ) == 0x0
 01699  2016   NtUserMessageCall  ... ) == 0x0
 01701  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 8385544, 690, 0, ...
 01702  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 01701  2016   NtUserMessageCall  ... ) == 0x0
 01703  2016   NtUserGetTitleBarInfo  (590128, 8386176, ... ) == 0x1
 01704  2016   NtUserGetDCEx  (590128, 0, 66561, ... ) == 0x1010051
 01705  2016   NtGdiExcludeClipRect  (16842833, 3, 29, 333, 127, ... ) == 0x3
 01706  2016   NtGdiDrawStream  (16842833, 96, 8385660, ... ) == 0x1
 01707  2016   NtGdiDrawStream  (16842833, 96, 8385660, ... ) == 0x1
 01708  2016   NtGdiDrawStream  (16842833, 96, 8385660, ... ) == 0x1
 01709  2016   NtGdiCreateCompatibleBitmap  (16842833, 336, 29, ... ) == 0xa50506d8
 01710  2016   NtGdiCreateCompatibleDC  (16842833, ... ) == 0x52010763
 01711  2016   NtGdiSelectBitmap  (1375799139, -1526397224, ... ) == 0x185000f
 01712  2016   NtGdiDrawStream  (1375799139, 96, 8385552, ... ) == 0x1
 01713  2016   NtGdiDrawStream  (1375799139, 96, 8385508, ... ) == 0x1
 01714  2016   NtGdiDrawStream  (1375799139, 96, 8385508, ... ) == 0x1
 01715  2016   NtUserInternalGetWindowText  (0x90130, 260, ...  (0x90130, 260, ... "Extracting Files", ) , ) == 0x10
 01716  2016   NtGdiGetRandomRgn  (1375799139, -972814727, 1, ... ) == 0x0
 01717  2016   NtGdiIntersectClipRect  (1375799139, 8, 8, 308, 25, ... ) == 0x3
 01718  2016   NtGdiExtSelectClipRgn  (1375799139, 0, 5, ... ) == 0x2
 01719  2016   NtGdiGetRandomRgn  (1375799139, -956037511, 1, ... ) == 0x0
 01720  2016   NtGdiIntersectClipRect  (1375799139, 7, 7, 307, 25, ... ) == 0x3
 01721  2016   NtGdiExtSelectClipRgn  (1375799139, 0, 5, ... ) == 0x2
 01722  2016   NtGdiBitBlt  (16842833, 0, 0, 336, 29, 1375799139, 0, 0, 13369376, -1, 0, ... ) == 0x1
 01723  2016   NtGdiSelectBitmap  (1375799139, 25493519, ... ) == 0xa50506d8
 01724  2016   NtGdiDeleteObjectApp  (1375799139, ... ) == 0x1
 01725  2016   NtGdiDeleteObjectApp  (-1526397224, ... ) == 0x1
 01726  2016   NtUserCallOneParam  (16842833, 57, ... ) == 0x1
 01727  2016   NtUserFillWindow  (590128, 590128, 16842832, 4, ...
 01728  2016   NtUserGetAncestor  (590128, 1, ... ) == 0x10014
 01729  2016   NtUserValidateHandleSecure  (65556, ... ) == 0x1
 01730  2016   NtUserGetAncestor  (65556, 1, ... ) == 0x0
 01727  2016   NtUserFillWindow  ... ) == 0x1
 01687  2016   NtUserSetWindowRgn  ... ) == 0x1
 01597  2016   NtUserShowWindow  ... ) == 0x0
 01731  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01732  2016   NtUserCallHwndLock  (590128, 94, ...
 01733  2016   NtUserMessageCall  (0x90130, WM_PAINT, 0x0, 0x0, 0, 670, 1, ... ) == 0x0
 01734  2016   NtUserBeginPaint  (0xc0144, 8387788, ...
 01735  2016   NtUserMessageCall  (0xc0144, WM_NCPAINT, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 01734  2016   NtUserBeginPaint  ... ) == 0x1010050
 01736  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 87, 13, ... ) == 0x3
 01737  2016   NtUserGetControlBrush  (0xc0144, 16842832, 312, ... ) == 0x1100056
 01738  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01739  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 01740  2016   NtUserEndPaint  (0xc0144, 8387788, ... ) == 0x1
 01741  2016   NtUserBeginPaint  (0xa0132, 8387788, ...
 01742  2016   NtUserMessageCall  (0xa0132, WM_NCPAINT, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 01741  2016   NtUserBeginPaint  ... ) == 0x1010050
 01743  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 87, 13, ... ) == 0x3
 01744  2016   NtUserGetControlBrush  (0xa0132, 16842832, 312, ... ) == 0x1100056
 01745  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01746  2016   NtUserEndPaint  (0xa0132, 8387788, ... ) == 0x1
 01747  2016   NtUserBeginPaint  (0xa0142, 8387788, ...
 01748  2016   NtUserMessageCall  (0xa0142, WM_NCPAINT, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 01747  2016   NtUserBeginPaint  ... ) == 0x1010050
 01749  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 01750  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 01751  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01752  2016   NtUserEndPaint  (0xa0142, 8387788, ... ) == 0x1
 01753  2016   NtUserBeginPaint  (0xb0116, 8387788, ...
 01754  2016   NtUserMessageCall  (0xb0116, WM_NCPAINT, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 01753  2016   NtUserBeginPaint  ... ) == 0x1010050
 01755  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 01756  2016   NtUserGetControlBrush  (0xb0116, 16842832, 312, ... ) == 0x1100056
 01757  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01758  2016   NtUserEndPaint  (0xb0116, 8387788, ... ) == 0x1
 01759  2016   NtUserBeginPaint  (0x100100, 8387772, ...
 01760  2016   NtUserMessageCall  (0x100100, WM_NCPAINT, 0x1, 0x0, 0, 670, 0, ... ) == 0x0
 01761  2016   NtUserMessageCall  (0x100100, WM_ERASEBKGND, 0x1010054, 0x0, 0, 670, 0, ... ) == 0x1
 01759  2016   NtUserBeginPaint  ... ) == 0x1010054
 01762  2016   NtUserEndPaint  (0x100100, 8387772, ... ) == 0x1
 01732  2016   NtUserCallHwndLock  ... ) == 0x1
 01763  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01764  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01765  2016   NtUserDefSetText  (655682, 8387712, ... ) == 0x1
 01766  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 01767  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 01768  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 01769  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01770  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 01771  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 01397   896   NtUserMessageCall  ... ) == 0x1
 01772   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01773   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01774   896   NtUserMessageCall  (0x100100, WM_USER+0x1, 0x0, 0x140000, 0, 688, 1, ...
 01775  2016   NtUserGetThreadState  (0, ... ) == 0xc0144
 01776  2016   NtUserGetForegroundWindow  (... ) == 0xf0104
 01777  2016   NtUserValidateHandleSecure  (983300, ... ) == 0x1
 01778  2016   NtUserFindWindowEx  (0, 0,  (0, 0, "Shell_TrayWnd", 0x0, 0, ... ) , 0x0, 0, ... ) == 0x20052
 01779  2016   NtUserBuildHwndList  (0, 131154, 1, 0, 64, ... (0x3003e, 0x3003c, 0x30040, 0x30042, 0x30044, 0x30046, 0x10076, 0x10082, 0x1007a, 0x1007e, 0x1, ), 11, ) == 0x0
 01780  2016   NtUserValidateHandleSecure  (196670, ... ) == 0x1
 01781  2016   NtUserValidateHandleSecure  (196670, ... ) == 0x1
 01782  2016   NtUserValidateHandleSecure  (196668, ... ) == 0x1
 01783  2016   NtUserValidateHandleSecure  (196668, ... ) == 0x1
 01784  2016   NtUserValidateHandleSecure  (196672, ... ) == 0x1
 01785  2016   NtUserValidateHandleSecure  (196672, ... ) == 0x1
 01786  2016   NtUserValidateHandleSecure  (196674, ... ) == 0x1
 01787  2016   NtUserValidateHandleSecure  (196674, ... ) == 0x1
 01788  2016   NtUserValidateHandleSecure  (196676, ... ) == 0x1
 01789  2016   NtUserValidateHandleSecure  (196676, ... ) == 0x1
 01790  2016   NtUserValidateHandleSecure  (196678, ... ) == 0x1
 01791  2016   NtUserValidateHandleSecure  (196678, ... ) == 0x1
 01792  2016   NtUserValidateHandleSecure  (65654, ... ) == 0x1
 01793  2016   NtUserValidateHandleSecure  (65654, ... ) == 0x1
 01794  2016   NtUserValidateHandleSecure  (65666, ... ) == 0x1
 01795  2016   NtUserValidateHandleSecure  (65666, ... ) == 0x1
 01796  2016   NtUserValidateHandleSecure  (65658, ... ) == 0x1
 01797  2016   NtUserValidateHandleSecure  (65658, ... ) == 0x1
 01798  2016   NtUserValidateHandleSecure  (65662, ... ) == 0x1
 01799  2016   NtUserValidateHandleSecure  (65662, ... ) == 0x1
 01800  2016   NtUserQueryWindow  (131154, 1, ... ) == 0x6d4
 01801  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01802  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01803  2016   NtUserQueryWindow  (983300, 1, ... ) == 0x544
 01804  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 01805  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01806  2016   NtUserCallOneParam  (0, 40, ... ) == 0x4090409
 01764  2016   NtUserPeekMessage  ... {0x0, WM_USER+0xbca1, 0x11, 0xc0144, 0x13112b1, {0, 0}}, ) == 0x1
 01807  2016   NtOpenProcessToken  (-1, 0x8, ... 128, ) == 0x0
 01808  2016   NtQueryInformationToken  (128, Statistics, 56, ... {token info, class 10, size 56}, 56, ) == 0x0
 01809  2016   NtClose  (128, ... ) == 0x0
 01810  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01811  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 01812  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01813  2016   NtUserRedrawWindow  (1048832, 0, 0, 5, ... ) == 0x1
 01774   896   NtUserMessageCall  ... ) == 0x640000
 01814   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01815   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01816   896   NtUserMessageCall  (0x100100, WM_USER+0x4, 0x1, 0x0, 0, 688, 1, ...
 01812  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ) == 0x1
 01817  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01818  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 01819  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01820  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01821  2016   NtUserDispatchMessage  ({0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ...
 01822  2016   NtUserBeginPaint  (0x100100, 8387788, ...
 01823  2016   NtUserMessageCall  (0x100100, WM_ERASEBKGND, 0x1010054, 0x0, 0, 670, 0, ... ) == 0x1
 01822  2016   NtUserBeginPaint  ... ) == 0x1010054
 01824  2016   NtUserEndPaint  (0x100100, 8387788, ... ) == 0x1
 01821  2016   NtUserDispatchMessage  ... ) == 0x0
 01825  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01816   896   NtUserMessageCall  ... ) == 0xa
 01826   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 458396,  (0x80100080, {24, 0, 0x40, 0, 458396, "\??\u:\work\packed.exe"}, 0x0, 0, 3, 1, 100, 0, 0, ... }, 0x0, 0, 3, 1, 100, 0, 0, ...
 01825  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ) == 0x0
 01827  2016   NtUserWaitMessage  (...
 01826   896   NtCreateFile  ... 128, {status=0x0, info=1}, ) == 0x0
 01828   896   NtSetInformationFile  (128, 458488, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 01829   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "MSCF\0\0\0\0X1\23\0\0\0\0\0,\0\0\0\0\0\0\0\3\1\1\0\22\0\0\0\314u\0\0\222\2\0\0\177\0\3\25\0`\0\0\0\0\0\0\0\0\253.Q\203`\0xpsp1hfm.exe\0\0J\0\0\0`\0\0\0\0\253.Q\203 \0common\spcustom.dll\0\0\32\0\0\0\252\0\0\0\0\251.t\250 \0common\spmsg.dll\0\0\\1\0\0\304\0\0\0\0\253.Q\203 \0common\spuninst.exe\0\0F\6\0\0 \2\0\0\0\251.t\250 \0common\update.exe\0\374\17\0\0\0f\10\0\0\0[,J\207 \0common\eula.txt\0\0\252\20\0\374u\10\0\0\0\345.\324a \0sp1\ole32.dll\0\0\264\6\0\374\37\31\0\0\0\345.\325a \0sp1\rpcrt4.dll\0\0\32\3\0\374\323\37\0\0\0\345.\326a \0sp1\rpcss.dll\0> \0\0\374\355"\0\0\0\345.\213c \0sp1\update\kb823980.cat\0\243\21\0\0:\16#\0\0\0\345.\323a \0sp1\update\update.inf\0\340\0\0\0\335\37#\0\0\0\345.\326a \0sp1\update\update.ver\0\0\30\21\0\275 #\0\0\0\345.\214a \0sp2\ole32.dll\0\0\262\7\0\27584\0\0\0\345.\214a \0sp2", ) \0\0\0\345.\213c \0sp1\update\kb823980.cat\0\243\21\0\0:\16#\0\0\0\345.\323a \0sp1\update\update.inf\0\340\0\0\0\335\37#\0\0\0\345.\326a \0sp1\update\update.ver\0\0\30\21\0\275 #\0\0\0\345.\214a \0sp2\ole32.dll\0\0\262\7\0\27584\0\0\0\345.\214a \0sp2", ) == 0x0
 01830   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01831   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01832   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01827  2016   NtUserWaitMessage  ... ) == 0x1
 01833  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01834  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01835  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01836  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01834  2016   NtUserRedrawWindow  ... ) == 0x1
 01833  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ) == 0x0
 01837  2016   NtUserWaitMessage  (...
 01832   896   NtUserMessageCall  ... ) == 0x0
 01838   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\367\217V\253\235\214b%\377\337$M\226\212R\314\321\16\306\242\343^\14\256\317\254\227\311v/\255>\24\326p\361E\301q\361\37\7It\233O\331\306\211R\203&\177\343!\0u\272\220 $2\1Z\373\234e\277\253\03! \222Hj\15U\253\6\15kf\314]\26\307daR-\25\213\211m\360\360\177\357`]\370,\307\325\2461\356&d\247X\230\362\32\351\252\305\271\343WC\343\24\246\213@\370S\331\231\316\363Z:\253\215\23F\216aw\372\233\315!\314\15#\301\216H\305\356\350\333\317\349EM\235U\326\376vIl\331v\326\360H\15nfH\13p\10e\273\214\3\240\376\203\271 \347\337\351\14\352\355\237\307\373\303\212\354\322\345\355Es\270\376\3b\311\376\323\327\262\215&y\353\257\11\12[x\31\263\227*B\222\337P\263\260\333R\260\307.\213\240\236\377T\330\20~WBt\230\265u\273\375\\204\276\352\327\320?\347Q9\317i\324\27\2061\346\221\363\200\202\317Q\234\264\246\330[\306\17\250\232a\241f\266\276\200\2!\371\324\260]E\374\231:\24\32%\303\251\15\233C*m\330\324`\241[\361\24aB-\334\216U\252[\211m\272c\370\261\330\341\353\20U\277k\31F\262\271N\221r\267\347\366\216U\325i\245K]\235\24\341\216gq\254U\355I]o\344\261`\363\310\305m\330d\355H\343\321\242\260]37\342\266\260\351\334Bn\336\260Y\352\205\376\216z\346i\346fAz\300\356n\341\254\275\16$\14Z\5\305ST\217\351*\250\304N\21\327\7\357\335\350(\234\251\366U\3\334o;\242]oml\346x\245'%f\344\306.V\322X\200\365u\241\300H\335\14\221\216\275\2519p\247<\35\354\177h\233\17\207?\230\274Ql)\225'\355*\24~?\260\217", ) , ) == 0x0
 01839   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01840   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01841   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01837  2016   NtUserWaitMessage  ... ) == 0x1
 01842  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01843  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01844  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01845  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01843  2016   NtUserRedrawWindow  ... ) == 0x1
 01842  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ) == 0x0
 01846  2016   NtUserWaitMessage  (...
 01841   896   NtUserMessageCall  ... ) == 0x1
 01847   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\331M\205\2300\377T\345\332\247\325,tbE\202h\371\261\326\317\216'\311\343U\306@[\21^\323o\275>\361\372\345\272\210\354O]!\25<\361L\247\304s\351-\376\6E\211i]g\312\236?I\265i\22\204\315\316\334\204g\35\261\\340775\214\220&\224\344\17\330Qg\227P\306\352\325\3\367z\3\24k\2046\252\0!\12\343\345\255\257\325\247@\330>:D\262\266\211:N\17\304\353\207\221O\3446\331\356\216\35)Q e\356\303`\310+\205\341%XrJ\330\0\370\262:\334=\363\324\330\201\226 \373X\324|\205\275\10\247^>\306\324\361\220\326\255\\266mb\233\370\246\326\213\335\257\330\337\304\376\245\315\4u%8\336\233\13\341\272$F\11\37t\315\264}\177Y\371\316\22"g\277\217\201\352\262\340\261N\351/`\316\263\241\0\203\307\370\345%;\205\326\366ljXA\333\31\355\21/\315!\22\14\226\250[\343O\371\320\177\246<\340qQ\370\20lx\226\256\10#)H\6\272b\354\237\227\15\317\225\341\11{3z\246r\264\37277\217\201\352\262\340\261N\351/`\316\263\241\0\203\307\370\345%;\205\326\366ljXA\333\31\355\21/\315!\22\14\226\250[\343O\371\320\177\246<\340qQ\370\20lx\226\256\10#)H\6\272b\354\237\227\15\317\225\341\11{3z\246r\264\374\316\4V\267%\2\370q\315\3\264c\343\220(l\214\370H\263\240\206\264U\+R\274\36\3605\214&\24\22\36{\254Aq\274o\263\310\M\7\336\25@\6Z\33P\251\240\343\275\17c\360\236\337\242\203m\206\15\35\277X\270V\4\225\255\307\212\7\224\326\236\2673\35Wk\4\2723n\14\35\270\326:\333\2311(\0\15s+w\2607\353\354\252m\356\207/\253M\327\31\357\335\5\11\314\307\201\2608t\233\35f\341\227v{j9\207\265Y\25d\347\36}4\1!\373\245)\367\217S.\2713i\357\201\211\224\252\35\211\14\372\343D\2571]jm4\225c\246\13\322\327\325\333\267\201a,;\207 A\4\244\307~%w9\235", ) == 0x0
 01848   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01849   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01850   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01846  2016   NtUserWaitMessage  ... ) == 0x1
 01851  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01852  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01853  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01854  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01852  2016   NtUserRedrawWindow  ... ) == 0x1
 01851  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ) == 0x0
 01855  2016   NtUserWaitMessage  (...
 01850   896   NtUserMessageCall  ... ) == 0x2
 01856   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "La\205)\2460\302\24S\230a\12)L4\205\224\246\232\322JSMi\245)\2464\322\224S\232iJ)M4\245\224\246\232\322JSMi\245)\2464\342\224S\234q\212)N8\305\24\247\234\342m$\232\376S\234q\212)N8\305\24\247\234\342\212SNq\305)\247<\362\224S\236y\312)O<\345\224\247\236\362\312SOy\345)\247<\362\224S\236y\312)O<\345\225\247\240\2\12TP\201\5*\250@\2\25T\240\201\12*P@\5\25\250\240\2\12TP\201\5*\250@\2\25T\242\211J*QD%\225\250\242\22JTQ\211%*\250D\22\225T\242jDs[3\\371\34\333rr0m"b'TA\313\324IE\26\330l\304NB\24^9\323\205\235\206\330$\304\32\3661\23\314t\353.=\23Il\220\310\222\310a;\314\242\217P\224$\272\2125\12\345\334\36\16\216\26M\342\244\363\204)\242\305@\225in\225A"y0\23F\363\3160r>\237\264,\267H\31\272\16\243)\241{\262/\330\377\3241\226\351\244:\371\214\320\320\306R?\362\314y@\357\351\337\310\17\333z^\315E\332:\343\376M\355\5?\335\34V\365\366XRH\255\337h*Y\2\337\274\7UE\361\242s6\4\324V\337j\346E\360\274\312u+\316\337u\37w\341\334\233\27\16ad\223\343;\245\36\232\222\245U\276E/\276\317&UY[\221\334)\363:.\3355\321\22\330\320\351\31J\312\2611m\222\37-\306\357|\332\216U\321\365\273\313\324N^\320\241\214\215B\35\241;\213\323B\336P\4\365\273z\317R\223\333\331\200Ko\331F\276\235wmd\350\251\2453\323h/\3044B\223\313[8!\311#\235/G\345\310\226o\321\332i\302\15\312\341\370X\277\312\12^EXd\267", ) b'TA\313\324IE\26\330l\304NB\24^9\323\205\235\206\330$\304\32\3661\23\314t\353.=\23Il\220\310\222\310a;\314\242\217P\224$\272\2125\12\345\334\36\16\216\26M\342\244\363\204)\242\305@\225in\225A (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "La\205)\2460\302\24S\230a\12)L4\205\224\246\232\322JSMi\245)\2464\322\224S\232iJ)M4\245\224\246\232\322JSMi\245)\2464\342\224S\234q\212)N8\305\24\247\234\342m$\232\376S\234q\212)N8\305\24\247\234\342\212SNq\305)\247<\362\224S\236y\312)O<\345\224\247\236\362\312SOy\345)\247<\362\224S\236y\312)O<\345\225\247\240\2\12TP\201\5*\250@\2\25T\240\201\12*P@\5\25\250\240\2\12TP\201\5*\250@\2\25T\242\211J*QD%\225\250\242\22JTQ\211%*\250D\22\225T\242jDs[3\\371\34\333rr0m"b'TA\313\324IE\26\330l\304NB\24^9\323\205\235\206\330$\304\32\3661\23\314t\353.=\23Il\220\310\222\310a;\314\242\217P\224$\272\2125\12\345\334\36\16\216\26M\342\244\363\204)\242\305@\225in\225A"y0\23F\363\3160r>\237\264,\267H\31\272\16\243)\241{\262/\330\377\3241\226\351\244:\371\214\320\320\306R?\362\314y@\357\351\337\310\17\333z^\315E\332:\343\376M\355\5?\335\34V\365\366XRH\255\337h*Y\2\337\274\7UE\361\242s6\4\324V\337j\346E\360\274\312u+\316\337u\37w\341\334\233\27\16ad\223\343;\245\36\232\222\245U\276E/\276\317&UY[\221\334)\363:.\3355\321\22\330\320\351\31J\312\2611m\222\37-\306\357|\332\216U\321\365\273\313\324N^\320\241\214\215B\35\241;\213\323B\336P\4\365\273z\317R\223\333\331\200Ko\331F\276\235wmd\350\251\2453\323h/\3044B\223\313[8!\311#\235/G\345\310\226o\321\332i\302\15\312\341\370X\277\312\12^EXd\267", ) , ) == 0x0
 01857   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01858   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01859   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01855  2016   NtUserWaitMessage  ... ) == 0x1
 01860  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01861  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01862  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01863  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01861  2016   NtUserRedrawWindow  ... ) == 0x1
 01860  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ) == 0x0
 01864  2016   NtUserWaitMessage  (...
 01859   896   NtUserMessageCall  ... ) == 0x3
 01865   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\203\211\326&I\273\272\360Y\22q\263\221\215l\27\235\33\255N\363\13\2549\37216< \374\225B\250eJ\364\240\352\205\260+\204\242\264\327\206\21\30O\360\316\360\264o\263\361\3108zs\265)\347\33\226`\237\367\221\205\363\240h<\76\302\3\342+\317\317\327#A\275\224\264\311\304\253e\215\341y\206&\360f\203Y\221\5\304\264_\1\35\257\265\5\17\2343?\33\33\227\365\337;N\335\245\11\236O\311"!\217\325\11\212<\370\37\246\345\241j\222B]&en\235\271\263P\316'N\352S\252U\350\201\360H-\345]\7\267& \211\373!#Cm\360{\332\371\12w>lvo\357\322^\253\34\177:\204\330\307z~1 t\313Y\262.\32\15r\312\332\321\213=>\337r\343\311\267yw\16D7\213\273:\21\35\270\217\25\352\4\247\250b`\324B\375VU\250D\3550\324\201h\201aW\232\377\307\374\312\331\321\271\277\16K\207m]\377\260\355]\30\353\27}V+\361s\201\277o\355\372I\321\323N\13u\05\354\255A\300h\325\306\3\216c #\33JJ\30\312(\223c\263Q\355h42\312\13\35\2417\235\331\271!\237\327\2237\233\344v4&QY\27\343C\257\24\376\20\335\356s\277\34\31\364\321\201Ml\255 n\266", ) !\217\325\11\212<\370\37\246\345\241j\222B]&en\235\271\263P\316'N\352S\252U\350\201\360H-\345]\7\267& \211\373!#Cm\360{\332\371\12w>lvo\357\322^\253\34\177:\204\330\307z~1 t\313Y\262.\32\15r\312\332\321\213=>\337r\343\311\267yw\16D7\213\273:\21\35\270\217\25\352\4\247\250367\300(\263d*\266\366\243r\37=\266\217|e\343\270\232\24\207\240t\fBI\210\364oe\222(\221\3065\271\10vxM3\365\15\263L\370uF\347^\37\5I\236\337\251\2371\370-\15\314\302\202\362\326\355j\13\16\201\231\327\210\204\326\27n\321(Nh2\262\370UP\301\301\364\304\267\211\3248\301\263S},&\345\275\4\241\241\263I\265\210zz\261\312m\320E\247\352\377B\24-\242\273\234\226\34\27c\203I\313\237\255>b`\324B\375VU\250D\3550\324\201h\201aW\232\377\307\374\312\331\321\271\277\16K\207m]\377\260\355]\30\353\27}V+\361s\201\277o\355\372I\321\323N\13u\05\354\255A\300h\325\306\3\216c #\33JJ\30\312(\223c\263Q\355h42\312\13\35\2417\235\331\271!\237\327\2237\233\344v4&QY\27\343C\257\24\376\20\335\356s\277\34\31\364\321\201Ml\255 n\266", ) == 0x0
 01866   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01867   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01868   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01864  2016   NtUserWaitMessage  ... ) == 0x1
 01869  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01870  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01871  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01872  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01870  2016   NtUserRedrawWindow  ... ) == 0x1
 01869  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ) == 0x0
 01873  2016   NtUserWaitMessage  (...
 01868   896   NtUserMessageCall  ... ) == 0x4
 01874   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\21\316\360>\316i$\264&\265Xx\231\271\355\334\7g8d\342bs\331\3605%\322\330\277L"\207\20\37\231\222\347Z\237p\206 \15\351\251.\0\274\343\344s\340>`\271\257\14\202$\2]y\257\5o1uk\32\240\371*i\323j|'\374\34\341\303'>-\333\252\276\247\256\307\341\22\225\371|_\313\330\210y,G\320\216\277\341e\314\335+*\37\3078L\255\321\220\14\214\321\324@b\16uC\327\24\307\2708\363z\15\304\2419\273\332\342\357\a|\236;\316h\24\252l\200\354W\254k\3676\304\10\332\320\256\263w\202\270\340qMW\222kuJ2_\205J\364\364\371;)\270z\247K\373\274\320\350;q phx\315|\326\156\305#\213a\33\221M\310\236\233\376\354\217\323IEV|\230,\331\6\0\354H3\207\254\32\255\374\217\220\177\366\206\209\333v\223\305\5\204\264\355\370\363V\0\240\206\6\371\324\364\15\316\353\317d\32\273\326\0\315\346m\245\3479\231\21\205\2321\3127c\254\12\356\204\336\215\326\262;x_l+\300\177NA\334\241==\345n\270\364]\23d\315\353\311#\334h\331\235@\374\267*\200\31$\310\257\305`j9\330M\207\213\212\246\265{\207\234U.Fm\200\2233Iz\314(P\270X\251\232\224Z\3640\231\356o\310cBK\344N\317\201\322\315\30\253\212\320lU3\257\200|\200R\31Dw\204\240&\215+\343\\3630\273\235@Q\274\350\5\341\226\323S\275\371\263\271\231{7\200IP#u\347n\271#F\371p[\177\226\3171&3\344\5\302TO\262d\34478\355\253\335\362F\20\11\231\245\267\356\320\257\311\210i\223\245\205+\315\274,S\320\\333\11\263k%K\247\34\230\16\320D\207\215\263\27-\215\310\33\203\362CR\226k", ) \207\20\37\231\222\347Z\237p\206 \15\351\251.\0\274\343\344s\340>`\271\257\14\202$\2]y\257\5o1uk\32\240\371*i\323j|'\374\34\341\303'>-\333\252\276\247\256\307\341\22\225\371|_\313\330\210y,G\320\216\277\341e\314\335+*\37\3078L\255\321\220\14\214\321\324@b\16uC\327\24\307\2708\363z\15\304\2419\273\332\342\357\a|\236;\316h\24\252l\200\354W\254k\3676\304\10\332\320\256\263w\202\270\340qMW\222kuJ2_\205J\364\364\371;)\270z\247K\373\274\320\350;q phx\315|\326\156\305#\213a\33\221M\310\236\233\376\354\217\323IEV|\230,\331\6\0\354H3\207\254\32\255\374\217\220\177\366\206\209\333v\223\305\5\204\264\355\370\363V\0\240\206\6\371\324\364\15\316\353\317d\32\273\326\0\315\346m\245\3479\231\21\205\2321\3127c\254\12\356\204\336\215\326\262;x_l+\300\177NA\334\241==\345n\270\364]\23d\315\353\311#\334h\331\235@\374\267*\200\31$\310\257\305`j9\330M\207\213\212\246\265{\207\234U.Fm\200\2233Iz\314(P\270X\251\232\224Z\3640\231\356o\310cBK\344N\317\201\322\315\30\253\212\320lU3\257\200|\200R\31Dw\204\240&\215+\343\\3630\273\235@Q\274\350\5\341\226\323S\275\371\263\271\231{7\200IP#u\347n\271#F\371p[\177\226\3171&3\344\5\302TO\262d\34478\355\253\335\362F\20\11\231\245\267\356\320\257\311\210i\223\245\205+\315\274,S\320\\333\11\263k%K\247\34\230\16\320D\207\215\263\27-\215\310\33\203\362CR\226k", ) == 0x0
 01875   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01876   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01877   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01873  2016   NtUserWaitMessage  ... ) == 0x1
 01878  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01879  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01880  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01881  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01879  2016   NtUserRedrawWindow  ... ) == 0x1
 01878  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ) == 0x0
 01882  2016   NtUserWaitMessage  (...
 01877   896   NtUserMessageCall  ... ) == 0x5
 01883   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\315{Cr\324;u\351\257\253\311\255:\273\/\264R\24\217\304\6L\342\337\235\350#\257&,\336\304\345\336\256{M\334U\371\32\256\210\371"\5&\14M\317\204 ^UZ\307w\322\14\377\305\201\352\264\335\357%u9\321\24$\244/A%\4\246\26\330\211\4\217\201\33\332\213M\10\345\15\255[*\22M\203r\23f\236\354K\14\221\251\223\263Y\314_K\232\14\236\366\365!\276\22Q\237e\33\206tP\336\275\275@\313\37T\15\345\21'\327`\234R\1\372\212;\2263\307\211\3271\207\242\13\335M\270 |i\270\332\303\304\326-\322raB<\374\313\236\352\311r\237\205\271\256\317\330&}I5\2305\244f\214\210\305/\245\227\355P\252#26.\27\305\22v\215\223\31\264m\362dA\24\322g\3256\210\357\277+\266{\342\265\3328\352\367\345\254\220\11\315\352\3\325\13t\255\177E\17^P\216\12\252\331\322ys\300\30\231|N\16WV\21\326+\22v\302"D\231U\226+\32<\27\237\267\300O\2377\245\255w\232u\205\272\22\241\350\306\330\27Ow\327-\352\335U\35z[\3507r\334F\241\210v\256\226\375\347]\305\255\354\343s\217\6\350\251\241t\223\20\244\$\323S\353\37\23-\357.\323\307YG{Yw\344\373\273~o\216\264E\244\270\220\16%\217;\345\3279w\307\4\246;\341c\3\13\10\305\360\14#;\213q\317\271\15\25;\255\274X\241\347\256*\327\367,\230>w\323\221}\340w\274u]\260\22un\324\3121\355G[o\365\330{m\254p\177!\315\7\255p\353K]X\265\305\177\226tPmB\234\246\204@\235\5\321M<7\320\323;\14b\373\255\234w\257f\257t\265\0N[a\221;-\247\256\200\310\33\205\233*w\374\326\234.?[\26n!\274", ) \5&\14M\317\204 ^UZ\307w\322\14\377\305\201\352\264\335\357%u9\321\24$\244/A%\4\246\26\330\211\4\217\201\33\332\213M\10\345\15\255[*\22M\203r\23f\236\354K\14\221\251\223\263Y\314_K\232\14\236\366\365!\276\22Q\237e\33\206tP\336\275\275@\313\37T\15\345\21'\327`\234R\1\372\212;\2263\307\211\3271\207\242\13\335M\270 |i\270\332\303\304\326-\322raB<\374\313\236\352\311r\237\205\271\256\317\330&}I5\2305\244f\214\210\305/\245\227\355P\252#26.\27\305\22v\215\223\31\264m\362dA\24\322g\3256\210\357\277+\266{\342\265\3328\352\367\345\254\220\11\315\352\3\325\13t\255\177E\17^P\216\12\252\331\322ys\300\30\231|N\16WV\21\326+\22v\302 (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\315{Cr\324;u\351\257\253\311\255:\273\/\264R\24\217\304\6L\342\337\235\350#\257&,\336\304\345\336\256{M\334U\371\32\256\210\371"\5&\14M\317\204 ^UZ\307w\322\14\377\305\201\352\264\335\357%u9\321\24$\244/A%\4\246\26\330\211\4\217\201\33\332\213M\10\345\15\255[*\22M\203r\23f\236\354K\14\221\251\223\263Y\314_K\232\14\236\366\365!\276\22Q\237e\33\206tP\336\275\275@\313\37T\15\345\21'\327`\234R\1\372\212;\2263\307\211\3271\207\242\13\335M\270 |i\270\332\303\304\326-\322raB<\374\313\236\352\311r\237\205\271\256\317\330&}I5\2305\244f\214\210\305/\245\227\355P\252#26.\27\305\22v\215\223\31\264m\362dA\24\322g\3256\210\357\277+\266{\342\265\3328\352\367\345\254\220\11\315\352\3\325\13t\255\177E\17^P\216\12\252\331\322ys\300\30\231|N\16WV\21\326+\22v\302"D\231U\226+\32<\27\237\267\300O\2377\245\255w\232u\205\272\22\241\350\306\330\27Ow\327-\352\335U\35z[\3507r\334F\241\210v\256\226\375\347]\305\255\354\343s\217\6\350\251\241t\223\20\244\$\323S\353\37\23-\357.\323\307YG{Yw\344\373\273~o\216\264E\244\270\220\16%\217;\345\3279w\307\4\246;\341c\3\13\10\305\360\14#;\213q\317\271\15\25;\255\274X\241\347\256*\327\367,\230>w\323\221}\340w\274u]\260\22un\324\3121\355G[o\365\330{m\254p\177!\315\7\255p\353K]X\265\305\177\226tPmB\234\246\204@\235\5\321M<7\320\323;\14b\373\255\234w\257f\257t\265\0N[a\221;-\247\256\200\310\33\205\233*w\374\326\234.?[\26n!\274", ) , ) == 0x0
 01884   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01885   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01886   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01882  2016   NtUserWaitMessage  ... ) == 0x1
 01887  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01888  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01889  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01890  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01888  2016   NtUserRedrawWindow  ... ) == 0x1
 01887  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ) == 0x0
 01891  2016   NtUserWaitMessage  (...
 01886   896   NtUserMessageCall  ... ) == 0x6
 01892   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "L$\344i\230H3\252&\277\246\33\310\213\276T\27\313 \216\224\6\326\26V\22O\350\222\205\20\32<]?HG\266u\201\363\245\13c\177\302\2516\0\377)yDo\0\354\263\331\307\245*\274\2\10#\27\243\17\301\302\203\244\211y\177, \235\373\32L\371\323\242!9\244\326\362\0\3\207\260Mt\226\350\245\372\37\344\215\205\373\272+\21\250yA\326\310\22\2\310\206\221\245\177sZF<\340\343~\254\372n\1\215\217\345\6\300"\337\352\206\210\302_\37Z  )\254\33\312_\306\275\2519\7\207\212\327\360\333b\336]0*\212io\267]\21~X\363\245%\307\276\302!\3\330\303\2021\277\324v\352\264\232z\326\207\276\223H@\1\3\367\30.\320\222\373\305\270\240\17\321;\246bj\2750\362\26L/\302\250\20\202q\277/{9\3\243:\26\3279\24\1\253\265\206\201\355\305}\227\243\273\322\223W\373\352\200\356\245>\331\2\303\211\300{IB\22\317\32\374\35\352\274Bxv\366*\370c\254\337\202\303\27\302\275\233\361\12\334\207\247\222\267\177\261P\332\26C0E\262$\177R\223\252\15\300\313R\260\334B\23O\5\322\231\36\373p\325 \16\269\316H\355\353\307\362*\300\274]\300\37oy\22\226\376\370\34X\330\177+_\276`^\375B\274q\342\2\37#\243\211\275\336\361\367\304\311\355\213U\340\4c\277\375\336\331O0`\350\364\232\270\336.0Z{\375@^\30\324\243\367\342\225\36\5\247\356\272\207~\13[)\356\230c\216\300^z\322\353\250#x+Z\370\270\251\17\270\343c\225\303\307\232G\3$\22\212\361\303\204\35t\321~\3\\217\204&^\2\244\22L\273:\6).\22Q8\326\211\177$\360# \201#\227\224"\17\213\250f\2C\317{\20\12\255mI\262U", ) \337\352\206\210\302_\37Z  )\254\33\312_\306\275\2519\7\207\212\327\360\333b\336]0*\212io\267]\21~X\363\245%\307\276\302!\3\330\303\2021\277\324v\352\264\232z\326\207\276\223H@\1\3\367\30.\320\222\373\305\270\240\17\321;\246bj\2750\362\26L/\302\250\20\202q\277/{9\3\243:\26\3279\24\1\253\265\206\201\355\305}\227\243\273\322\223W\373\352\200\356\245>\331\2\303\211\300{IB\22\317\32\374\35\352\274Bxv\366*\370c\254\337\202\303\27\302\275\233\361\12\334\207\247\222\267\177\261P\332\26C0E\262$\177R\223\252\15\300\313R\260\334B\23O\5\322\231\36\373p\325 \16\269\316H\355\353\307\362*\300\274]\300\37oy\22\226\376\370\34X\330\177+_\276`^\375B\274q\342\2\37#\243\211\275\336\361\367\304\311\355\213U\340\4c\277\375\336\331O0`\350\364\232\270\336.0Z{\375@^\30\324\243\367\342\225\36\5\247\356\272\207~\13[)\356\230c\216\300^z\322\353\250#x+Z\370\270\251\17\270\343c\225\303\307\232G\3$\22\212\361\303\204\35t\321~\3\\217\204&^\2\244\22L\273:\6).\22Q8\326\211\177$\360# \201#\227\224 (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "L$\344i\230H3\252&\277\246\33\310\213\276T\27\313 \216\224\6\326\26V\22O\350\222\205\20\32<]?HG\266u\201\363\245\13c\177\302\2516\0\377)yDo\0\354\263\331\307\245*\274\2\10#\27\243\17\301\302\203\244\211y\177, \235\373\32L\371\323\242!9\244\326\362\0\3\207\260Mt\226\350\245\372\37\344\215\205\373\272+\21\250yA\326\310\22\2\310\206\221\245\177sZF<\340\343~\254\372n\1\215\217\345\6\300"\337\352\206\210\302_\37Z  )\254\33\312_\306\275\2519\7\207\212\327\360\333b\336]0*\212io\267]\21~X\363\245%\307\276\302!\3\330\303\2021\277\324v\352\264\232z\326\207\276\223H@\1\3\367\30.\320\222\373\305\270\240\17\321;\246bj\2750\362\26L/\302\250\20\202q\277/{9\3\243:\26\3279\24\1\253\265\206\201\355\305}\227\243\273\322\223W\373\352\200\356\245>\331\2\303\211\300{IB\22\317\32\374\35\352\274Bxv\366*\370c\254\337\202\303\27\302\275\233\361\12\334\207\247\222\267\177\261P\332\26C0E\262$\177R\223\252\15\300\313R\260\334B\23O\5\322\231\36\373p\325 \16\269\316H\355\353\307\362*\300\274]\300\37oy\22\226\376\370\34X\330\177+_\276`^\375B\274q\342\2\37#\243\211\275\336\361\367\304\311\355\213U\340\4c\277\375\336\331O0`\350\364\232\270\336.0Z{\375@^\30\324\243\367\342\225\36\5\247\356\272\207~\13[)\356\230c\216\300^z\322\353\250#x+Z\370\270\251\17\270\343c\225\303\307\232G\3$\22\212\361\303\204\35t\321~\3\\217\204&^\2\244\22L\273:\6).\22Q8\326\211\177$\360# \201#\227\224"\17\213\250f\2C\317{\20\12\255mI\262U", ) , ) == 0x0
 01893   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01894   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01895   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01891  2016   NtUserWaitMessage  ... ) == 0x1
 01896  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01897  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01898  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01899  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01897  2016   NtUserRedrawWindow  ... ) == 0x1
 01896  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ) == 0x0
 01900  2016   NtUserWaitMessage  (...
 01895   896   NtUserMessageCall  ... ) == 0x7
 01901   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "&\361\0Z\264\0\216&\36,D\362\25\16\264\254\300\327\12\305o\342\2V\313l\223\372\342\353\25x\326\211t\304Z\204!\5?X\376\203\311'a\325)\354\234S\353\265\311\261\27\20\303\267\14\32\244\227\215\374w\272\371-t]<0i:5B\317#"J\326A\341\304\302\2341\243\6\232\277\245\257\240\234\363-f\232|\223\320i\213\266U\233\24\213\360\314\245\360\222\224pYC\372\16G\302z\11/q\361\374}\324\227p\217\247\224yO';\242m\351\177\323B\376\347e\214\375\204K\256\349\366?x\223\275\233\224\3\254^\34z\37\15\323\313\375\276\271\221\21\363?'t\207>D\271\210I.\277\360\377\235@\2300\371\331\360zZ\222>JX\302e\243\366\242\214\231^KC\302\354\2\335\376\211\326\372\352\37\320\312\10Z\317rd\353\6C\336J\253Q7\177\210\\356U\34\303\16\371\36k\262\371\35\24m\276\306\351\361\351@45T\366\3!\362\10:\246\351\215\371I\6\274\350\2131`\270\241g\327\257*\11#\241\250\211ap\364\377\361f\345x\333c\365\204\302\211Jp\250hc\242&\14\204\374P#\21\3264\220\217\7;\201\22\251\1'4\33\207\16&\373\27)\366\232\273g\300\266\213\360\6X\7\372\224\331\227\352\5\247\374\240p\32f\242\221`\325\225\307\273#\253\365\224M\345\237 \15U\263\6\253\207\312\1K\3675\210|O*=\354\252[\223\340]\225\24(j\303\346H*\267\321\275P?\177\3450}\271\365\32\201=\234V\4\354\15\334/\366 e\24M\230\245\322\367`\273L\254\366ny\317I/g-g\371\207\241-{'\4z\35^y-\3\13.\357dSs\354%\311/Y\260\24\363\211\333\277\361\315u\20\25\246O\342)F\376%W\31y\246\225o\304", ) J\326A\341\304\302\2341\243\6\232\277\245\257\240\234\363-f\232|\223\320i\213\266U\233\24\213\360\314\245\360\222\224pYC\372\16G\302z\11/q\361\374}\324\227p\217\247\224yO';\242m\351\177\323B\376\347e\214\375\204K\256\349\366?x\223\275\233\224\3\254^\34z\37\15\323\313\375\276\271\221\21\363?'t\207>D\271\210I.\277\360\377\235@\2300\371\331\360zZ\222>JX\302e\243\366\242\214\231^KC\302\354\2\335\376\211\326\372\352\37\320\312\10Z\317rd\353\6C\336J\253Q7\177\210\\356U\34\303\16\371\36k\262\371\35\24m\276\306\351\361\351@45T\366\3!\362\10:\246\351\215\371I\6\274\350\2131`\270\241g\327\257*\11#\241\250\211ap\364\377\361f\345x\333c\365\204\302\211Jp\250hc\242&\14\204\374P#\21\3264\220\217\7;\201\22\251\1'4\33\207\16&\373\27)\366\232\273g\300\266\213\360\6X\7\372\224\331\227\352\5\247\374\240p\32f\242\221`\325\225\307\273#\253\365\224M\345\237 \15U\263\6\253\207\312\1K\3675\210|O*=\354\252[\223\340]\225\24(j\303\346H*\267\321\275P?\177\3450}\271\365\32\201=\234V\4\354\15\334/\366 e\24M\230\245\322\367`\273L\254\366ny\317I/g-g\371\207\241-{'\4z\35^y-\3\13.\357dSs\354%\311/Y\260\24\363\211\333\277\361\315u\20\25\246O\342)F\376%W\31y\246\225o\304", ) == 0x0
 01902   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01903   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01904   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01900  2016   NtUserWaitMessage  ... ) == 0x1
 01905  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01906  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01907  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01908  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01906  2016   NtUserRedrawWindow  ... ) == 0x1
 01905  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ) == 0x0
 01909  2016   NtUserWaitMessage  (...
 01904   896   NtUserMessageCall  ... ) == 0x8
 01910   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\31\16.S\371\376\225Lt|\365\221&qlz\7\354d:\234$+\220\342\361\207\345\265 \272\304[\224\356#(\343D\230\233\370d\302\177`w\204\350k>HDS$\315J\3\245\306\375b\270\307\375\\222F{\273\347\263\261\337\272\3638\3305\201\364\360x|\177\4\227\222\331\304F\337\361\321;I\0\23p\363\367\360\316\245\376`\205#\177\360@\373\346f\317\15\317\205\323\205\230O\37\272hc\357\314\375]\277\224m^\310\210\305H\251ML\221\312\17\272\270\215EFh\24\14\371Uk\226d\251\251H*\177\5\204\277\254\232\350l\243@\262\35\377kL\312\375\226\217\10i\177CM\253\1\370\354s:\23\354\237q\371\262\361\11\325\313\251^*{\205\275g\3705\36\16P\307\205C\245C\315\361\370e2\307\351\2034\325uG2\204JH\340\376\302ug\261e\314Z<\1}\272y\23L\335\3640\365\377})H\335\313\336\2020\35\354\3255q\177p7\223\326i\361;\351x.~d\217\221l\221\251\346^[;\0SN8\15*\313>~\267\350l\322\25\7\215\312Q\3b\331wA\201\211\246\216|\352\2\12\345\35\3048n\304\347rw\337\32\346\372D3\14\333\32\313\265\310>_\200\334\15+^\272\275a\326\350\340\30Q\203\13~qE*"\377c\377\371 \267\31\32\1\330j\211A\312\350\260\306\232\32Osv\32\314\363\275\336OG\2Rs\337\13\346\227&V\254\334g.\216\271\321\300\6\344:\322k\371\5z\314K/\321!\374\227\377\212\1\274JL\327n\316\210s]\323\247\13a\340\360\232\263p\326w\262\317A\262\30\211lx!\255\367\320\213\10\245\343\301\375\313\353\317\351j\304\3540\233\25\314\240\247\337D\32k\206\203w\310\245\11\322"\317\31\4\311\330\356\303", ) \377c\377\371 \267\31\32\1\330j\211A\312\350\260\306\232\32Osv\32\314\363\275\336OG\2Rs\337\13\346\227&V\254\334g.\216\271\321\300\6\344:\322k\371\5z\314K/\321!\374\227\377\212\1\274JL\327n\316\210s]\323\247\13a\340\360\232\263p\326w\262\317A\262\30\211lx!\255\367\320\213\10\245\343\301\375\313\353\317\351j\304\3540\233\25\314\240\247\337D\32k\206\203w\310\245\11\322 (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\31\16.S\371\376\225Lt|\365\221&qlz\7\354d:\234$+\220\342\361\207\345\265 \272\304[\224\356#(\343D\230\233\370d\302\177`w\204\350k>HDS$\315J\3\245\306\375b\270\307\375\\222F{\273\347\263\261\337\272\3638\3305\201\364\360x|\177\4\227\222\331\304F\337\361\321;I\0\23p\363\367\360\316\245\376`\205#\177\360@\373\346f\317\15\317\205\323\205\230O\37\272hc\357\314\375]\277\224m^\310\210\305H\251ML\221\312\17\272\270\215EFh\24\14\371Uk\226d\251\251H*\177\5\204\277\254\232\350l\243@\262\35\377kL\312\375\226\217\10i\177CM\253\1\370\354s:\23\354\237q\371\262\361\11\325\313\251^*{\205\275g\3705\36\16P\307\205C\245C\315\361\370e2\307\351\2034\325uG2\204JH\340\376\302ug\261e\314Z<\1}\272y\23L\335\3640\365\377})H\335\313\336\2020\35\354\3255q\177p7\223\326i\361;\351x.~d\217\221l\221\251\346^[;\0SN8\15*\313>~\267\350l\322\25\7\215\312Q\3b\331wA\201\211\246\216|\352\2\12\345\35\3048n\304\347rw\337\32\346\372D3\14\333\32\313\265\310>_\200\334\15+^\272\275a\326\350\340\30Q\203\13~qE*"\377c\377\371 \267\31\32\1\330j\211A\312\350\260\306\232\32Osv\32\314\363\275\336OG\2Rs\337\13\346\227&V\254\334g.\216\271\321\300\6\344:\322k\371\5z\314K/\321!\374\227\377\212\1\274JL\327n\316\210s]\323\247\13a\340\360\232\263p\326w\262\317A\262\30\211lx!\255\367\320\213\10\245\343\301\375\313\353\317\351j\304\3540\233\25\314\240\247\337D\32k\206\203w\310\245\11\322"\317\31\4\311\330\356\303", ) , ) == 0x0
 01911   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01912   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01913   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01909  2016   NtUserWaitMessage  ... ) == 0x1
 01914  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01915  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01916  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01917  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01915  2016   NtUserRedrawWindow  ... ) == 0x1
 01914  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ) == 0x0
 01918  2016   NtUserWaitMessage  (...
 01913   896   NtUserMessageCall  ... ) == 0x9
 01919   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\3\27>\1|\20\377H\362\30\346\272\376\243\363\241\2475*\4\322\276\10\10D+\350m\230\317H\354\332\232)^\212\\10m\241?\276M\356]\5P\2456\341\276\4\277.\16\273g\31\375{\222\351\310\241\0*\17\3261.\2772s\363bjV}g\367\341v\232\340k\316\216`\26\235\332H\232P\307\232\344\4h;\237\375\255GZ+h0vf\11X, ) , ) == 0x0
 01920   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01921   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01922   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01918  2016   NtUserWaitMessage  ... ) == 0x1
 01923  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01924  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01925  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01926  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01924  2016   NtUserRedrawWindow  ... ) == 0x1
 01923  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ) == 0x0
 01927  2016   NtUserWaitMessage  (...
 01922   896   NtUserMessageCall  ... ) == 0xa
 01928   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, ")\24\300\325{\212\374\260\313*G\202\343p;\262\347p\247\322W8x\6\323\371\373a\357\255\320\210J#\0F0\22Z\316\334+\335\241\203\25\3067\263\323q\230v]!|\23\306\262\260\27\222\343\345\340\246\377N\337-\274\257\233\267\13\246\324\342O\227\245\326Q\233\247X\302\314\24[t\1%S\223\12\352]!\262o~z\5\207^\257\262\20\35dQ\257\215\235\322\210\344\273\345\320lo\347\36J\3710\23\244.\17\313\15\317\20\340F\243\2\252\320\265\234\177:E\277\257/ES\362\4\307\230<\200ijgu&O\236\262\321k=G\226\220\254\263u~\212\224\274r3\345\221v\7!\261\306\236\315N{p\353\17\2\11Jd)\371\254\310(\331\3py\205\34\224<\209\23\37\233\255W4\270yU\201\243\272\3354SL0\15\313?\341\332\340\304\340\12\243z\345\16\305=\177E:/\265\224p\224O\37\331b\362\24\352\266\361\337\235\321\376\237\254\3y\203\227\221\225\242\325\316\226\220\343~b\326\301H\237\36\212aP\330\237\342d\233;/\3428\330\217jd\3\27G\374[\34\340E\303\375\222\325\300\324\265h\275\304\331\256\360\302\272\350\4\311\377\13]\311+\\22\365\272\273\331\7\315\332\305[\371o1\272\353a\301\324\274\217\324@2\236F\260\327\325\263\310<\211\1j&\4\231\310\237v\215\370X$\361R\330@\212\214\341\307[{\270\316X\360\220h\302v5\277\325\35o'J\314\26L\325\240\226(\336\371\22\220\366\16\213\275\302$\11!\206\32\344\267n\333QnK\314;d\23\350Lx\256C\36\332\149\260fb\214\27\333F\216w\262\262-, ) , ) == 0x0
 01929   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01930   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01931   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01927  2016   NtUserWaitMessage  ... ) == 0x1
 01932  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01933  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01934  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01935  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01933  2016   NtUserRedrawWindow  ... ) == 0x1
 01932  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ) == 0x0
 01936  2016   NtUserWaitMessage  (...
 01931   896   NtUserMessageCall  ... ) == 0xb
 01937   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "gv\215\345O\267\11{\252\225\23Kx\20j\11\267oY\267:\7\330\314\31w\276\207\324\342o\343I\273\251I\206\35\224#\333\241\355c7\225_)\244\225\374o\26\275\355\256r\237\231^\310V\276A\30\314\237\220\225bV\256\210\34~\250n\264O\272\236\15\305_v\271@-\215\353)Z\256\341\30\6\360\215\240\13\1h\225\263v\270\214\26\314\273\215\203\253\347f*\2057\335\210\3\10\364M\225R\35!\333\177\177`\356\352\326\16\34z\250\217\10\250i\36\240,\272\240\203\235\371\302\335G\214\324\307\251Rf\275:e\322\35\25+bVE\177qW\17k{'\352\253\17\20\230\37\316\345\31a\276\235\277\34\345\250'!&\277#W~ 5|\375\261R\14\1_\243;\245p \37\246l\310\240\303;9\313Y\305\370?\233\355\\357\276\200S\317S\3514\336{\33\260u\347\374\36\343}\343g\332\20\225\370\377~\365\225x;\15\212X\351\3\233\260\27\120\22\346\262\203\243yAu5\237\215,\13\265\307?\364\313\324UC\374\267Ba\363\261h\336\333\244\2773\304\32\26\335\301\3253\222e\235\30\315\236X@\304p\220\327\205\30\264-\234\204\`j\302\35\322\35\307\3764c\223\373\307G\252\3505\325\356*\326\335{:2\1\325Z\11\316\375\27\203o\313\357\2522:\365#\177\254?\O\226\271\4~\376\13\356\31\4[\346\241/C?\300P\333\233\370Y\13b\341\277\355O\31<\211\13\7\20Vq\270_{\261\204'\376\222\222Qo\231vS\210\325\316\22b\362|\34\261\206\223\22\326\354\36\275\222\300\325\362G~\30\366\251\272\242\26^r\375\363!"\327D\301\274\244~\251\235\366\254\233\2163|\24\203\376\3433\326\226\235E\315f\17>\366\252\325R\324\364+\343\236U\36~\323\371", ) \327D\301\274\244~\251\235\366\254\233\2163|\24\203\376\3433\326\226\235E\315f\17>\366\252\325R\324\364+\343\236U\36~\323\371", ) == 0x0
 01938   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01939   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01940   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01936  2016   NtUserWaitMessage  ... ) == 0x1
 01941  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01942  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01943  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01944  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01942  2016   NtUserRedrawWindow  ... ) == 0x1
 01941  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ) == 0x0
 01945  2016   NtUserWaitMessage  (...
 01940   896   NtUserMessageCall  ... ) == 0xc
 01946   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "]sd\157\261\314\7D\255\325\326ya\215\375z\231\2179\320\5L\2522\22\26\317)(Y+\118\2737E\32\2407\241\206\330\24ePX\225(\34\17@@=\273\367=\230"\242\366\202\17\5*\4\214\243\261\333\222\317\366\311\373s\226\254\230\354XZ\306\221\320&)v\214-_\2772\370\250\265\334\\26\343\\316\213\4G\203f\13\220\267\367\271\6a\324\376\344\353snE\312\204\217~`\222\35\317N\\365?\370/nK\274\304=o\242n\2630\364\234\37\214ht\220\220r\24\371\34\206\347Yu\231\233\216\0\344]%n3YQ\264\275}\266\321\315V\305\32\316\21\313\372o\360\240\314\234u\370,\35X\374\362\267\236\273'\4\356iH\330s\231\274\235X\332c\314\356\205\216\R\226\217\204\3548\364\204C]yY\356\353\320\245\252\371IY\342\21\32\236Y\356\325\342s@\353O\12\357\363o\337\215\350\177`\2033\357\37\3149O>\215\205aa\233\370\357\207\76\274\20\26\371\353\3745\364jk\13\223\2\325\355\326\203\300.\201\23_\4\364\341\220k\354\3727\372H"\34\264\314\357i\361\264\37t\267\322\377\247\352\210/\17;\6\7u\3767\337\2{C\222\257\332\376B\307\223\354\260\265\33\252mZ\215\27E\336|*\34`\10\363\326\263\365\326\33\254\1f\217\30\252\256\330\373i,\3341\276_\224\365\300J\357k\250\4a\33\240`Bh[\244\25r8L\217\2236\212/r/O(\270\348?Vw\234\2401\22l\232\325\357_I+\306N\320\210s%Ao5\273\21e\224\364!\226\327E\325n\210\227hD<\22\326E\24\367\222\365VE\340\22 n\214.\2216\21k\236\251)l\36\374\377\3335e\11\263\333\336E\273\4F\14\371jj\10\311F%3", ) \242\366\202\17\5*\4\214\243\261\333\222\317\366\311\373s\226\254\230\354XZ\306\221\320&)v\214-_\2772\370\250\265\334\\26\343\\316\213\4G\203f\13\220\267\367\271\6a\324\376\344\353snE\312\204\217~`\222\35\317N\\365?\370/nK\274\304=o\242n\2630\364\234\37\214ht\220\220r\24\371\34\206\347Yu\231\233\216\0\344]%n3YQ\264\275}\266\321\315V\305\32\316\21\313\372o\360\240\314\234u\370,\35X\374\362\267\236\273'\4\356iH\330s\231\274\235X\332c\314\356\205\216\R\226\217\204\3548\364\204C]yY\356\353\320\245\252\371IY\342\21\32\236Y\356\325\342s@\353O\12\357\363o\337\215\350\177`\2033\357\37\3149O>\215\205aa\233\370\357\207\76\274\20\26\371\353\3745\364jk\13\223\2\325\355\326\203\300.\201\23_\4\364\341\220k\354\3727\372H (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "]sd\157\261\314\7D\255\325\326ya\215\375z\231\2179\320\5L\2522\22\26\317)(Y+\118\2737E\32\2407\241\206\330\24ePX\225(\34\17@@=\273\367=\230"\242\366\202\17\5*\4\214\243\261\333\222\317\366\311\373s\226\254\230\354XZ\306\221\320&)v\214-_\2772\370\250\265\334\\26\343\\316\213\4G\203f\13\220\267\367\271\6a\324\376\344\353snE\312\204\217~`\222\35\317N\\365?\370/nK\274\304=o\242n\2630\364\234\37\214ht\220\220r\24\371\34\206\347Yu\231\233\216\0\344]%n3YQ\264\275}\266\321\315V\305\32\316\21\313\372o\360\240\314\234u\370,\35X\374\362\267\236\273'\4\356iH\330s\231\274\235X\332c\314\356\205\216\R\226\217\204\3548\364\204C]yY\356\353\320\245\252\371IY\342\21\32\236Y\356\325\342s@\353O\12\357\363o\337\215\350\177`\2033\357\37\3149O>\215\205aa\233\370\357\207\76\274\20\26\371\353\3745\364jk\13\223\2\325\355\326\203\300.\201\23_\4\364\341\220k\354\3727\372H"\34\264\314\357i\361\264\37t\267\322\377\247\352\210/\17;\6\7u\3767\337\2{C\222\257\332\376B\307\223\354\260\265\33\252mZ\215\27E\336|*\34`\10\363\326\263\365\326\33\254\1f\217\30\252\256\330\373i,\3341\276_\224\365\300J\357k\250\4a\33\240`Bh[\244\25r8L\217\2236\212/r/O(\270\348?Vw\234\2401\22l\232\325\357_I+\306N\320\210s%Ao5\273\21e\224\364!\226\327E\325n\210\227hD<\22\326E\24\367\222\365VE\340\22 n\214.\2216\21k\236\251)l\36\374\377\3335e\11\263\333\336E\273\4F\14\371jj\10\311F%3", ) , ) == 0x0
 01947   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01948   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01949   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01945  2016   NtUserWaitMessage  ... ) == 0x1
 01950  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01951  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01952  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01953  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01951  2016   NtUserRedrawWindow  ... ) == 0x1
 01950  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ) == 0x0
 01954  2016   NtUserWaitMessage  (...
 01949   896   NtUserMessageCall  ... ) == 0xd
 01955   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "w\222\13\273\252ri\245\16\1\312\307h\344\366\21\256\233\12u(\243\334Rr\217\350\330\30]l\254\3626\200_\300\22\315\305'\21\314\226\36G\247\2742\252\32\243k,J\270\\253\223\322=\273\2143\230"\252\247\214U\300-\260QU\350P=\356\352~DUh\27\4m\15{\334\273`N7\325\330\231\217\256\333|\205\254e\26\212\256Dv\257N\351\340\364\35\375\271\36J`C\277\324\253n\13\320\361\321\357t}"\302\371\35\267\3570\304\213\357I\11[\25\14\354\356D\334Rf\14\372\205\37\220\366\207\364\311\322\373\217\202\212v8\274K|\25\310\316\15X\321|\303g\273^\11;\246k"f\31\261\241\373i\270\224z\346\376\25\32D\2446\7\223\367\242+\301\231.+\22Z\16\2104E\341\215\336\22A\33[N\264\237\354D\272!*\376\22'\373\263\315\247\5\13\277$I'\262U\234v/)\6`~-)\322\351\3\342p\255\336\2\350\232WN%\233\255p\3.\205%\244)\246\256\30\321\321\331m\242#\232v\340Q\246\335\15\276\332\214\233%u\306ai\255\376"\240U\332O\36h\310u\31\212\242]\331\337\304\350\246\345/\212hw\32\332hv"C\24HE\321K\204\26E\325j>\355\306\3321\342\207\361\200\16G\171\304X*\273\240\223\221\267\237\215N\265\212\3263\226h\371\213\262rGb8X;\3522\367\202\243\326\24\34\322\241\226\241\21\4$2\361\37\37\370\250\274\351\0\265\20\377%\243U\275\265\205\213:\217L3\324\312\311\346\37\375Q>\227\201\357\22?\326\2\20\177\24\205\310\233Yk)\334\343\330\262\202Qi\361K\256\255m\203/\205F;\211\256GA\261\214\345\303\245^+\220\242\321'\220Xe\242CE\201s\375\301\274I\302\212\227z\32\252\323", ) \252\247\214U\300-\260QU\350P=\356\352~DUh\27\4m\15{\334\273`N7\325\330\231\217\256\333|\205\254e\26\212\256Dv\257N\351\340\364\35\375\271\36J`C\277\324\253n\13\320\361\321\357t} (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "w\222\13\273\252ri\245\16\1\312\307h\344\366\21\256\233\12u(\243\334Rr\217\350\330\30]l\254\3626\200_\300\22\315\305'\21\314\226\36G\247\2742\252\32\243k,J\270\\253\223\322=\273\2143\230"\252\247\214U\300-\260QU\350P=\356\352~DUh\27\4m\15{\334\273`N7\325\330\231\217\256\333|\205\254e\26\212\256Dv\257N\351\340\364\35\375\271\36J`C\277\324\253n\13\320\361\321\357t}"\302\371\35\267\3570\304\213\357I\11[\25\14\354\356D\334Rf\14\372\205\37\220\366\207\364\311\322\373\217\202\212v8\274K|\25\310\316\15X\321|\303g\273^\11;\246k"f\31\261\241\373i\270\224z\346\376\25\32D\2446\7\223\367\242+\301\231.+\22Z\16\2104E\341\215\336\22A\33[N\264\237\354D\272!*\376\22'\373\263\315\247\5\13\277$I'\262U\234v/)\6`~-)\322\351\3\342p\255\336\2\350\232WN%\233\255p\3.\205%\244)\246\256\30\321\321\331m\242#\232v\340Q\246\335\15\276\332\214\233%u\306ai\255\376"\240U\332O\36h\310u\31\212\242]\331\337\304\350\246\345/\212hw\32\332hv"C\24HE\321K\204\26E\325j>\355\306\3321\342\207\361\200\16G\171\304X*\273\240\223\221\267\237\215N\265\212\3263\226h\371\213\262rGb8X;\3522\367\202\243\326\24\34\322\241\226\241\21\4$2\361\37\37\370\250\274\351\0\265\20\377%\243U\275\265\205\213:\217L3\324\312\311\346\37\375Q>\227\201\357\22?\326\2\20\177\24\205\310\233Yk)\334\343\330\262\202Qi\361K\256\255m\203/\205F;\211\256GA\261\214\345\303\245^+\220\242\321'\220Xe\242CE\201s\375\301\274I\302\212\227z\32\252\323", ) f\31\261\241\373i\270\224z\346\376\25\32D\2446\7\223\367\242+\301\231.+\22Z\16\2104E\341\215\336\22A\33[N\264\237\354D\272!*\376\22'\373\263\315\247\5\13\277$I'\262U\234v/)\6`~-)\322\351\3\342p\255\336\2\350\232WN%\233\255p\3.\205%\244)\246\256\30\321\321\331m\242#\232v\340Q\246\335\15\276\332\214\233%u\306ai\255\376 (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "w\222\13\273\252ri\245\16\1\312\307h\344\366\21\256\233\12u(\243\334Rr\217\350\330\30]l\254\3626\200_\300\22\315\305'\21\314\226\36G\247\2742\252\32\243k,J\270\\253\223\322=\273\2143\230"\252\247\214U\300-\260QU\350P=\356\352~DUh\27\4m\15{\334\273`N7\325\330\231\217\256\333|\205\254e\26\212\256Dv\257N\351\340\364\35\375\271\36J`C\277\324\253n\13\320\361\321\357t}"\302\371\35\267\3570\304\213\357I\11[\25\14\354\356D\334Rf\14\372\205\37\220\366\207\364\311\322\373\217\202\212v8\274K|\25\310\316\15X\321|\303g\273^\11;\246k"f\31\261\241\373i\270\224z\346\376\25\32D\2446\7\223\367\242+\301\231.+\22Z\16\2104E\341\215\336\22A\33[N\264\237\354D\272!*\376\22'\373\263\315\247\5\13\277$I'\262U\234v/)\6`~-)\322\351\3\342p\255\336\2\350\232WN%\233\255p\3.\205%\244)\246\256\30\321\321\331m\242#\232v\340Q\246\335\15\276\332\214\233%u\306ai\255\376"\240U\332O\36h\310u\31\212\242]\331\337\304\350\246\345/\212hw\32\332hv"C\24HE\321K\204\26E\325j>\355\306\3321\342\207\361\200\16G\171\304X*\273\240\223\221\267\237\215N\265\212\3263\226h\371\213\262rGb8X;\3522\367\202\243\326\24\34\322\241\226\241\21\4$2\361\37\37\370\250\274\351\0\265\20\377%\243U\275\265\205\213:\217L3\324\312\311\346\37\375Q>\227\201\357\22?\326\2\20\177\24\205\310\233Yk)\334\343\330\262\202Qi\361K\256\255m\203/\205F;\211\256GA\261\214\345\303\245^+\220\242\321'\220Xe\242CE\201s\375\301\274I\302\212\227z\32\252\323", ) C\24HE\321K\204\26E\325j>\355\306\3321\342\207\361\200\16G\171\304X*\273\240\223\221\267\237\215N\265\212\3263\226h\371\213\262rGb8X;\3522\367\202\243\326\24\34\322\241\226\241\21\4$2\361\37\37\370\250\274\351\0\265\20\377%\243U\275\265\205\213:\217L3\324\312\311\346\37\375Q>\227\201\357\22?\326\2\20\177\24\205\310\233Yk)\334\343\330\262\202Qi\361K\256\255m\203/\205F;\211\256GA\261\214\345\303\245^+\220\242\321'\220Xe\242CE\201s\375\301\274I\302\212\227z\32\252\323", ) == 0x0
 01956   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01957   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01958   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01954  2016   NtUserWaitMessage  ... ) == 0x1
 01959  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01960  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01961  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01962  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01960  2016   NtUserRedrawWindow  ... ) == 0x1
 01959  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ) == 0x0
 01963  2016   NtUserWaitMessage  (...
 01958   896   NtUserMessageCall  ... ) == 0xe
 01964   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\24\272\0z\324>\312\251\332\352z\31`\9\303\275,~\220\325"\31R;\320\30\322\250\322\347\20Ap:~\250\264\377/\16\361!\231\231L\252U\335\316U\177y\33`\220\247\334\344\227lm0\276\21\250Q\265\334?\302\236?\340\313\12\202U\233\332\211\363\246\342k#}b)\267\27\225\212\353\37\377K\262\230\336\344(\323\354?j\276\327>!\367\33\316\200[=\211W\351{\12`\253\246\37\270\311\230S\344_&;hd\374<\3601\343\367\221\244i'\31%\2032\15$\261\300\370%\11\274\227\210\267"Oq?\213\241\21\336~\361]\212%&\363+\262\264\361\317.}_\24\355\323|\261\326$\355v,\270\217}WN\212\274t_\205o\4\3432\200H},\330"\17}\365s#A\350\250\337\302\367\254w\216\361\252B\256\366\205l\314\363<\372G\303\306q\343\23\316\233~\22\256\332<\367\272\202\246\343\36\36\342\211\14\260\264U\177YT5\246\224\342\35\242\323'\344\375\251\362\351\25\277O\30Z\207\27U\207\227E\214\342\177\201Fm\370}Z\374\374Ue\303\247~|\20ny\277\227\321{\345\366}\3230\260[\376\211UE\\262_\320\223\310\364\343\332\356!\312v\237\337\370y4\255\304{\227\266\7E\320C3CO4\202oV)s\2\217\5\234\213=\304\26\306H\335\7\364\216\235>\304D\322\375V\271\344\231\\11\232\211V\26yp\\270\326\203\275L\363Vs'\230%lQ\215\356\2003\30'\361\235\370.|oK\367VZ\344\354\177\355/\274@\256\360\221\313\244\323<\366\21v2\322\207(N%c}\260\377\274'\14c\207|/3\200R\327kZ\364;M\260\321\37\246\227\223\374/i\207\376\371\225\331\357\327\33R\17\373a\265YzIW\241H\320", ) \31R;\320\30\322\250\322\347\20Ap:~\250\264\377/\16\361!\231\231L\252U\335\316U\177y\33`\220\247\334\344\227lm0\276\21\250Q\265\334?\302\236?\340\313\12\202U\233\332\211\363\246\342k#}b)\267\27\225\212\353\37\377K\262\230\336\344(\323\354?j\276\327>!\367\33\316\200[=\211W\351{\12`\253\246\37\270\311\230S\344_&;hd\374<\3601\343\367\221\244i'\31%\2032\15$\261\300\370%\11\274\227\210\267 (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\24\272\0z\324>\312\251\332\352z\31`\9\303\275,~\220\325"\31R;\320\30\322\250\322\347\20Ap:~\250\264\377/\16\361!\231\231L\252U\335\316U\177y\33`\220\247\334\344\227lm0\276\21\250Q\265\334?\302\236?\340\313\12\202U\233\332\211\363\246\342k#}b)\267\27\225\212\353\37\377K\262\230\336\344(\323\354?j\276\327>!\367\33\316\200[=\211W\351{\12`\253\246\37\270\311\230S\344_&;hd\374<\3601\343\367\221\244i'\31%\2032\15$\261\300\370%\11\274\227\210\267"Oq?\213\241\21\336~\361]\212%&\363+\262\264\361\317.}_\24\355\323|\261\326$\355v,\270\217}WN\212\274t_\205o\4\3432\200H},\330"\17}\365s#A\350\250\337\302\367\254w\216\361\252B\256\366\205l\314\363<\372G\303\306q\343\23\316\233~\22\256\332<\367\272\202\246\343\36\36\342\211\14\260\264U\177YT5\246\224\342\35\242\323'\344\375\251\362\351\25\277O\30Z\207\27U\207\227E\214\342\177\201Fm\370}Z\374\374Ue\303\247~|\20ny\277\227\321{\345\366}\3230\260[\376\211UE\\262_\320\223\310\364\343\332\356!\312v\237\337\370y4\255\304{\227\266\7E\320C3CO4\202oV)s\2\217\5\234\213=\304\26\306H\335\7\364\216\235>\304D\322\375V\271\344\231\\11\232\211V\26yp\\270\326\203\275L\363Vs'\230%lQ\215\356\2003\30'\361\235\370.|oK\367VZ\344\354\177\355/\274@\256\360\221\313\244\323<\366\21v2\322\207(N%c}\260\377\274'\14c\207|/3\200R\327kZ\364;M\260\321\37\246\227\223\374/i\207\376\371\225\331\357\327\33R\17\373a\265YzIW\241H\320", ) \17}\365s#A\350\250\337\302\367\254w\216\361\252B\256\366\205l\314\363<\372G\303\306q\343\23\316\233~\22\256\332<\367\272\202\246\343\36\36\342\211\14\260\264U\177YT5\246\224\342\35\242\323'\344\375\251\362\351\25\277O\30Z\207\27U\207\227E\214\342\177\201Fm\370}Z\374\374Ue\303\247~|\20ny\277\227\321{\345\366}\3230\260[\376\211UE\\262_\320\223\310\364\343\332\356!\312v\237\337\370y4\255\304{\227\266\7E\320C3CO4\202oV)s\2\217\5\234\213=\304\26\306H\335\7\364\216\235>\304D\322\375V\271\344\231\\11\232\211V\26yp\\270\326\203\275L\363Vs'\230%lQ\215\356\2003\30'\361\235\370.|oK\367VZ\344\354\177\355/\274@\256\360\221\313\244\323<\366\21v2\322\207(N%c}\260\377\274'\14c\207|/3\200R\327kZ\364;M\260\321\37\246\227\223\374/i\207\376\371\225\331\357\327\33R\17\373a\265YzIW\241H\320", ) == 0x0
 01965   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01966   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01967   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01963  2016   NtUserWaitMessage  ... ) == 0x1
 01968  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01969  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01970  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01971  2016   NtGdiFlush  (... ) == 0x0
 01972  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01969  2016   NtUserRedrawWindow  ... ) == 0x1
 01968  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ) == 0x0
 01973  2016   NtUserWaitMessage  (...
 01967   896   NtUserMessageCall  ... ) == 0xf
 01974   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\21j-\354\243\231\316R+\24t\325\10\205H\262\342\262\244\303\371s\325>\377j\361*M2\220d\236\372\345\315VZ+\201XRa\201\261\37\317J\254\3675\222\274Y\221\207\204`\300~\32\251\372\326m\11\232HRK\2555gI\262\220kZ\251E\264$\235\207\37\271\266az\310\262`\340\365\262[*g\374\21\17xK(Vt-\367I\320Kr\245r\215\346\266%\265"\310\312%M"\266"\273'R\221d\321\35P'\250\217T\206\244@\362d~\15V\332\210zD\35\310.\231\237\215\304\210\374\374GQ\256N\305\351Q\17\351){Yx~\377\240\343\346\214X\222v\311\221\227)\332\2120\262z\305\201\302\15\371\212\3009\222@\332\312rC\15\16\351p\363^\222\236\32f\240\26n\252I\223\243!\214\361\307\233\355\345\2011m[9\237\214xH\217m/\34\4\13\[J\26Uc\230\222\206\304", ) \310\312%M (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\21j-\354\243\231\316R+\24t\325\10\205H\262\342\262\244\303\371s\325>\377j\361*M2\220d\236\372\345\315VZ+\201XRa\201\261\37\317J\254\3675\222\274Y\221\207\204`\300~\32\251\372\326m\11\232HRK\2555gI\262\220kZ\251E\264$\235\207\37\271\266az\310\262`\340\365\262[*g\374\21\17xK(Vt-\367I\320Kr\245r\215\346\266%\265"\310\312%M"\266"\273'R\221d\321\35P'\250\217T\206\244@\362d~\15V\332\210zD\35\310.\231\237\215\304\210\374\374GQ\256N\305\351Q\17\351){Yx~\377\240\343\346\214X\222v\311\221\227)\332\2120\262z\305\201\302\15\371\212\3009\222@\332\312rC\15\16\351p\363^\222\236\32f\240\26n\252I\223\243!\214\361\307\233\355\345\2011m[9\237\214xH\217m/\34\4\13\[J\26Uc\230\222\206\304", ) \273'R\221d\321\35P'\250\217T\206\244@\362d~\15V\332\210zD\35\310.\231\237\215\304\210\374\374GQ\256N\305\351Q\17\351){Yx~\377\240\343\346\214X\222v\311\221\227)\332\2120\262z\305\201\302\15\371\212\3009\222@\332\312rC\15\16\351p\363^\222\236\32f\240\26n\252I\223\243!\214\361\307\233\355\345\2011m[9\237\214xH\217m/\34\4322\270=\26\361\247\343\34\327\230C\351\330?\317*\353\350\7!\16\216\353\362!GD\315\215\222h\4F\255\32669\225\270\347\3\254\271H\21i\374(6r\347?\352\323\306kS\221\253G\364\250G\361\0< \16P\3\376\1g\36Z\201\337T\314q\12uX\363\2\33\21R\354\261o\202Q\216\322)K\370Q\275\316)\355\244\207\2437\5\376-\226\33\363\330\367<\31\37\356a\270\361\322e\235\363@\347A\6\352<\27\374\202\257\337\35(\300\221\30\6\254)\215\203\245\244\163\240\3169u\231\300\331,%G{T\206\335ai\23I!\p4Q\361\17T\325\270e\371\236*Y\240\315N\15\324?\15L#\246\13^\2523\211\3778\270\212\331)J{]\201Pp\242\345\354eb\354\345Te\250\247a|;u\3\23yce\233&\236M\360)l=\331\15>\13\[J\26Uc\230\222\206\304", ) == 0x0
 01975   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01976   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01977   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01973  2016   NtUserWaitMessage  ... ) == 0x1
 01978  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01979  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01980  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01981  2016   NtGdiFlush  (... ) == 0x0
 01982  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01979  2016   NtUserRedrawWindow  ... ) == 0x1
 01978  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ) == 0x0
 01983  2016   NtUserWaitMessage  (...
 01977   896   NtUserMessageCall  ... ) == 0x10
 01984   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\237\326\373\205\211\34b\221\247Y\304\262\263\335\355\22\211\362hS\274\274\350\341\214n\233\324\223\313./~w\254v2Slv0h#;o&\203\0*\224E\32\255\3\326\270\16\355\333\211\314\360\364R\177\333\361\315\227X\21\31\235\333^\364\2756\203\272\312\254\255e\203\232\202B`\315\237\2638V\35\331\225\261,\330\362"\217\334\276\355l\270\234\3002\365c<\372Wn/\246=\27\371\251?h"\245\377L\312\310nT\377\15p\237\337\320\346|\30\211\2\11IO\262\253s\220\313\264W]\336\2712\377\354\224E[g\354_3\6X\346\23\226\345&\261N\341._z\315\336<\261UZ3\373O\14J\255H\4\313\253\256v&\265`\350\227w\315&\365.Y\22\261\325\357N\23(\310\257\247\27L*\312\311\\203R\223\367\273U\261d\230\16\242[\320\325b\250\34\3265\235\373\364\376\355\342\32\306\2474ha\13V5\5\331\224\342\35\30\13\212v\242\H\235\253K]\336\270\271\245\364\361\14|2\373\205}=\317\236%\345\214\346K\337O\251\31\362\205\377\273\304\3ur\20\257\330\273b\356\360\5\247~\325\302\213\3O\272\305Ff\33\355\312\26\21\\270~\17Iw\246\316K~\361)\307\270\212\15\303j|\341g\227\262;\333\354\177j\11\360\317\32\320\345%_\320wVb\202\332s\204CzM\316M\375\231\266 :=\20Mq\330\364*\344\243\312\241\254\22\24g]\316\10\216\331\1\305\261P\34\224\210\0\0\0\0\25\0\14\09M\321\265\326\236]C\273{\366\246\253\327\366\336kq\207\250\302!loW\337q\235YMD\25\265W)\243a\272^e0\332\300\11UvQ95M\26\332\372\32\227\277\374\231\227\234hH\320\212\312\354\206\210i\210y\1{$+\365/\354\226c", ) \217\334\276\355l\270\234\3002\365c<\372Wn/\246=\27\371\251?h (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "\237\326\373\205\211\34b\221\247Y\304\262\263\335\355\22\211\362hS\274\274\350\341\214n\233\324\223\313./~w\254v2Slv0h#;o&\203\0*\224E\32\255\3\326\270\16\355\333\211\314\360\364R\177\333\361\315\227X\21\31\235\333^\364\2756\203\272\312\254\255e\203\232\202B`\315\237\2638V\35\331\225\261,\330\362"\217\334\276\355l\270\234\3002\365c<\372Wn/\246=\27\371\251?h"\245\377L\312\310nT\377\15p\237\337\320\346|\30\211\2\11IO\262\253s\220\313\264W]\336\2712\377\354\224E[g\354_3\6X\346\23\226\345&\261N\341._z\315\336<\261UZ3\373O\14J\255H\4\313\253\256v&\265`\350\227w\315&\365.Y\22\261\325\357N\23(\310\257\247\27L*\312\311\\203R\223\367\273U\261d\230\16\242[\320\325b\250\34\3265\235\373\364\376\355\342\32\306\2474ha\13V5\5\331\224\342\35\30\13\212v\242\H\235\253K]\336\270\271\245\364\361\14|2\373\205}=\317\236%\345\214\346K\337O\251\31\362\205\377\273\304\3ur\20\257\330\273b\356\360\5\247~\325\302\213\3O\272\305Ff\33\355\312\26\21\\270~\17Iw\246\316K~\361)\307\270\212\15\303j|\341g\227\262;\333\354\177j\11\360\317\32\320\345%_\320wVb\202\332s\204CzM\316M\375\231\266 :=\20Mq\330\364*\344\243\312\241\254\22\24g]\316\10\216\331\1\305\261P\34\224\210\0\0\0\0\25\0\14\09M\321\265\326\236]C\273{\366\246\253\327\366\336kq\207\250\302!loW\337q\235YMD\25\265W)\243a\272^e0\332\300\11UvQ95M\26\332\372\32\227\277\374\231\227\234hH\320\212\312\354\206\210i\210y\1{$+\365/\354\226c", ) , ) == 0x0
 01985   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01986   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01987   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01983  2016   NtUserWaitMessage  ... ) == 0x1
 01988  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01989  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 01990  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 01991  2016   NtGdiFlush  (... ) == 0x0
 01992  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01989  2016   NtUserRedrawWindow  ... ) == 0x1
 01988  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ) == 0x0
 01993  2016   NtUserWaitMessage  (...
 01987   896   NtUserMessageCall  ... ) == 0x11
 01994   896   NtReadFile  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536},  (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "oi\311\14\23\227\315\230\200\331\224\255A\26(\304\370\23'\262Z\34\331\2tE@\32\371\33SSbxtQ\221e6\305}\11;\202\10\252-\14\37O\274\37\206\351\356\7Q\260\254\2\200\1\20\317\3\207\274<\258\217\27(\350*\24\317X`\4x\304\37\13\223z\17\337\253\7k0\16o\254\363\274yr>a\240\250\302j\4\3H\262\225\33`\314VG)C\221\367\261B\224\24\32\27\27\231\337\250L\253\37\215\343\364\301\205T*\34\14Ad\256\240\22]\357\244\230#\250\340\207\300\221g[\205\234)\226\302DP\245\207\24\340f\246\30178\232\220\223U\375\250E=\270\3351\17\333\306\231\201\5F\11*!r\16\33\257Lo\30\326\0\15e\312\341^\252\331\16p\242i\374\35\215\222\310J\31V\257\375\360=jA\203\36\330\264\252v\1\326_\303\33Zi\363\230\217\252V\204?\224\371\274\6\211B>\221\21]\342U\0\214\257+p\362^\326\210\306\361E\222 \373\264.\323\2134\34T\3734\302I{7R`E\307\302E\347zT,j\22\213M\270\3038\273\256\214AGP\226\302\201c\16"\230TU=X\307\207\212\337\203\351Lt\211\5?\363\26\15o\246I\222\31x\244v\327K"a\272\217%d\1f\3064\31\0+\316c\320\307\23\214;\36wq%dEj\365`F{\334\210\235\17Ma\212\340\14P\226\353*x\203\252\310\242dt\203\3212u\262\272>\335x\325\305\375Cf\261\3008x\241*\226\337\223\3%\2\5\16\350a<\325\12\326\32\354)\302+f\207\353#nju\202\247\301\270A\303\34YA\263sQ\337v \14\356\331\23bea\22\322\241\7\255\361\237\311\3419\377\337P\330\252\373\212\232NlH<\2427R\242\272\13\2v\35k\2\202", ) \230TU=X\307\207\212\337\203\351Lt\211\5?\363\26\15o\246I\222\31x\244v\327K (128, 0, 0, 0, 65536, 0x0, 0, ... {status=0x0, info=65536}, "oi\311\14\23\227\315\230\200\331\224\255A\26(\304\370\23'\262Z\34\331\2tE@\32\371\33SSbxtQ\221e6\305}\11;\202\10\252-\14\37O\274\37\206\351\356\7Q\260\254\2\200\1\20\317\3\207\274<\258\217\27(\350*\24\317X`\4x\304\37\13\223z\17\337\253\7k0\16o\254\363\274yr>a\240\250\302j\4\3H\262\225\33`\314VG)C\221\367\261B\224\24\32\27\27\231\337\250L\253\37\215\343\364\301\205T*\34\14Ad\256\240\22]\357\244\230#\250\340\207\300\221g[\205\234)\226\302DP\245\207\24\340f\246\30178\232\220\223U\375\250E=\270\3351\17\333\306\231\201\5F\11*!r\16\33\257Lo\30\326\0\15e\312\341^\252\331\16p\242i\374\35\215\222\310J\31V\257\375\360=jA\203\36\330\264\252v\1\326_\303\33Zi\363\230\217\252V\204?\224\371\274\6\211B>\221\21]\342U\0\214\257+p\362^\326\210\306\361E\222 \373\264.\323\2134\34T\3734\302I{7R`E\307\302E\347zT,j\22\213M\270\3038\273\256\214AGP\226\302\201c\16"\230TU=X\307\207\212\337\203\351Lt\211\5?\363\26\15o\246I\222\31x\244v\327K"a\272\217%d\1f\3064\31\0+\316c\320\307\23\214;\36wq%dEj\365`F{\334\210\235\17Ma\212\340\14P\226\353*x\203\252\310\242dt\203\3212u\262\272>\335x\325\305\375Cf\261\3008x\241*\226\337\223\3%\2\5\16\350a<\325\12\326\32\354)\302+f\207\353#nju\202\247\301\270A\303\34YA\263sQ\337v \14\356\331\23bea\22\322\241\7\255\361\237\311\3419\377\337P\330\252\373\212\232NlH<\2427R\242\272\13\2v\35k\2\202", ) , ) == 0x0
 01995   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 01996   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 01997   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 01993  2016   NtUserWaitMessage  ... ) == 0x1
 01998  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 01999  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 02000  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 02001  2016   NtGdiFlush  (... ) == 0x0
 02002  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 01999  2016   NtUserRedrawWindow  ... ) == 0x1
 01998  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ) == 0x0
 02003  2016   NtUserWaitMessage  (...
 01997   896   NtUserMessageCall  ... ) == 0x12
 02004   896   NtReadFile  (128, 0, 0, 0, 12636, 0x0, 0, ... {status=0x0, info=12636},  (128, 0, 0, 0, 12636, 0x0, 0, ... {status=0x0, info=12636}, "D\346\273\21\244\177\360\332\327\375\27\371]\377e\353e\303W9L\3444\273\347;9\274U!z\315\337\31\213\370\216tW\336\226\336\226^\25e\251\\6\320\377\343\313\240!=\4\311\272\343}\231\37\317\303\3019^V\266\230\211\342\207*9`W\207q\242\306\332{\231\10\13cf\316\304o.\233\27\361\10Y\354~\364k\350\300\273\301P\11\345FJ\277\237\332\246\373:\27n0\27\317\300o\322\232\361\202\274\215k\20\12\17\240]\331\225\207\15\260]"J\203q\5\343_\214\15\202\2043\307K\274\4Q`\354\321\264\224\354"\252\236x\362\0\273\213\215vF\330\5U\35\33\362\250\212\225\14 \17\240\363\31e\225\345\360)p\312rv\1'R\15K\266\321\306*(\342\20\324\1\304>\222\2707\330S~,\272\227\361\331\265\246\301HA\\317j\267\11\31\214\300\345D\322=t\263\331-\240\345\313\246\15|\226V\31[\360\206\372\254Z\263\261\36=[\343\243\20\17\26k`\334\304\0\334\345\366\245\311\234\12\0\200;-O)/e\313\300\327\350\251vO\36\23l\322\22\212\375/\350\213]\345\256\307=v]\316Ga\367\12P\245l\274\245g\354\373\227\16\264"\1 \0\230%\10U\376d\217\320\14\271\373\337\305\375n6\4\10\237\335\332\217DM\21\0\314\314X\10\333\270J\5?z\25\312$\37\10\350tx\37NM\275=(\356\3752\232\335?\34a\315\34\312\223\277\227G\321u\226U\32\343\323\202 .T\233\265\303\231lUY", ) J\203q\5\343_\214\15\202\2043\307K\274\4Q`\354\321\264\224\354316\341)Z\354\224\210\314\30\21 [\354\344\311\247\234<\223\337\220\23\210\370[\212\243\30\333\356a\234N\300H\5\321\200\361\352oe\15\1\341\237\356\36:\344\357\211O\260\323\305G02\25\267\200K\210\342\227\240%(ErUl8\5\1^ (128, 0, 0, 0, 12636, 0x0, 0, ... {status=0x0, info=12636}, "D\346\273\21\244\177\360\332\327\375\27\371]\377e\353e\303W9L\3444\273\347;9\274U!z\315\337\31\213\370\216tW\336\226\336\226^\25e\251\\6\320\377\343\313\240!=\4\311\272\343}\231\37\317\303\3019^V\266\230\211\342\207*9`W\207q\242\306\332{\231\10\13cf\316\304o.\233\27\361\10Y\354~\364k\350\300\273\301P\11\345FJ\277\237\332\246\373:\27n0\27\317\300o\322\232\361\202\274\215k\20\12\17\240]\331\225\207\15\260]"J\203q\5\343_\214\15\202\2043\307K\274\4Q`\354\321\264\224\354"\252\236x\362\0\273\213\215vF\330\5U\35\33\362\250\212\225\14 \17\240\363\31e\225\345\360)p\312rv\1'R\15K\266\321\306*(\342\20\324\1\304>\222\2707\330S~,\272\227\361\331\265\246\301HA\\317j\267\11\31\214\300\345D\322=t\263\331-\240\345\313\246\15|\226V\31[\360\206\372\254Z\263\261\36=[\343\243\20\17\26k`\334\304\0\334\345\366\245\311\234\12\0\200;-O)/e\313\300\327\350\251vO\36\23l\322\22\212\375/\350\213]\345\256\307=v]\316Ga\367\12P\245l\274\245g\354\373\227\16\264"\1 \0\230%\10U\376d\217\320\14\271\373\337\305\375n6\4\10\237\335\332\217DM\21\0\314\314X\10\333\270J\5?z\25\312$\37\10\350tx\37NM\275=(\356\3752\232\335?\34a\315\34\312\223\277\227G\321u\226U\32\343\323\202 .T\233\265\303\231lUY", ) \1 \0\230%\10U\376d\217\320\14\271\373\337\305\375n6\4\10\237\335\332\217DM\21\0\314\314X\10\333\270J\5?z\25\312$\37\10\350tx\37NM\275=(\356\3752\232\335?\34a\315\34\312\223\277\227G\321u\226U\32\343\323\202 .T\233\265\303\231lUY", ) == 0x0
 02005   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 02006   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 02007   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 02003  2016   NtUserWaitMessage  ... ) == 0x1
 02008  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 02009  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 02010  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010054
 02011  2016   NtGdiFlush  (... ) == 0x0
 02012  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 02009  2016   NtUserRedrawWindow  ... ) == 0x1
 02008  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ) == 0x0
 02013  2016   NtUserWaitMessage  (...
 02007   896   NtUserMessageCall  ... ) == 0x13
 02014   896   NtSetInformationFile  (128, 458456, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 02015   896   NtReadFile  (128, 0, 0, 0, 36, 0x0, 0, ... {status=0x0, info=36},  (128, 0, 0, 0, 36, 0x0, 0, ... {status=0x0, info=36}, "MSCF\0\0\0\0X1\23\0\0\0\0\0,\0\0\0\0\0\0\0\3\1\1\0\22\0\0\0\314u\0\0", ) , ) == 0x0
 02016   896   NtUserShowWindow  (590128, 0, ...
 02013  2016   NtUserWaitMessage  ... ) == 0x1
 02017  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 02018  2016   NtUserGetThreadState  (0, ... ) == 0xc0144
 02019  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 02020  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 02021  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 02022  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 02023  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 02024  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 02025  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 02026  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 02027  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 02028  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 02029  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 02030  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 02031  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 02017  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ) == 0x0
 02032  2016   NtUserWaitMessage  (... ) == 0x1
 02033  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 02034   896   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ... ) == 0x0
 02035   896   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 02036   896   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ... ) == 0x0
 02037   896   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 02033  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ) == 0x0
 02038  2016   NtUserWaitMessage  (... ) == 0x1
 02039  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 02040  2016   NtUserInternalGetWindowText  (0x90130, 260, ...  (0x90130, 260, ... "Extracting Files", ) , ) == 0x10
 02041  2016   NtUserGetWindowDC  (590128, ... ) == 0x1010052
 02042  2016   NtGdiGetRandomRgn  (16842834, -939260295, 1, ... ) == 0x0
 02043  2016   NtGdiIntersectClipRect  (16842834, 0, 0, 0, 0, ... ) == 0x3
 02044  2016   NtGdiGetCharSet  (16842834, ... ) == 0x4e4
 02045  2016   NtGdiExtSelectClipRgn  (16842834, 0, 5, ... ) == 0x1
 02046  2016   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 02047  2016   NtUserCalcMenuBar  (590128, 3, 3, 29, 2501400, ... ) == 0x0
 02048  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 8386792, 690, 0, ...
 02049  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 0, 670, 1, ... ) == 0x0
 02048  2016   NtUserMessageCall  ... ) == 0x0
 02050  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 8386792, 690, 0, ...
 02051  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 0, 670, 1, ... ) == 0x0
 02050  2016   NtUserMessageCall  ... ) == 0x0
 02052  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 8386792, 690, 0, ...
 02053  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 02052  2016   NtUserMessageCall  ... ) == 0x0
 02054  2016   NtUserGetTitleBarInfo  (590128, 8387424, ... ) == 0x1
 02055  2016   NtUserBuildHwndList  (0, 590128, 1, 0, 64, ... (0xc0144, 0xa0132, 0xa0142, 0xb0116, 0x100100, 0x1, ), 6, ) == 0x0
 02056  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 02057  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 02058  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 02059  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 02060  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 02061  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 02062  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 02063  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 02064  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 02065  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 02066  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 02067  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 02068  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 02069  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 02070  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 02016   896   NtUserShowWindow  ... ) == 0x10
 02071   896   NtOpenProcessToken  (-1, 0x28, ... 124, ) == 0x0
 02072   896   NtQueryInformationToken  (124, Owner, 65536, ... {token info, class 4, size 32}, 32, ) == 0x0
 02073   896   NtQueryInformationToken  (124, User, 65536, ... {token info, class 1, size 36}, 36, ) == 0x0
 02074   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02075   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02076   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "a:"}, ... 136, ) }, ... 136, ) == 0x0
 02077   896   NtQuerySymbolicLinkObject  (136, ...  (136, ... "\Device\Floppy0", 32, ) , 32, ) == 0x0
 02039  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ) == 0x0
 02078  2016   NtUserWaitMessage  (...
 02079   896   NtClose  (136, ... ) == 0x0
 02080   896   NtClose  (132, ... ) == 0x0
 02081   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02082   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\b:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02083   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\b:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02084   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\b:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02085   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02086   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "b:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02087   896   NtClose  (132, ... ) == 0x0
 02088   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02089   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02090   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "c:"}, ... 136, ) }, ... 136, ) == 0x0
 02091   896   NtQuerySymbolicLinkObject  (136, ...  (136, ... "\Device\HarddiskVolume1", 48, ) , 48, ) == 0x0
 02092   896   NtClose  (136, ... ) == 0x0
 02093   896   NtClose  (132, ... ) == 0x0
 02094   896   NtOpenFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\c:\"}, 3, 8388641, ... 132, {status=0x0, info=1}, ) }, 3, 8388641, ... 132, {status=0x0, info=1}, ) == 0x0
 02095   896   NtQueryVolumeInformationFile  (132, 456984, 24, Size, ... {status=0x0, info=24}, ) == 0x0
 02096   896   NtClose  (132, ... ) == 0x0
 02097   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02098   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\d:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02099   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\d:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02100   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\d:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02101   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02102   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "d:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02103   896   NtClose  (132, ... ) == 0x0
 02104   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02105   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\e:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02106   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\e:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02107   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\e:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02108   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02109   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "e:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02110   896   NtClose  (132, ... ) == 0x0
 02111   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02112   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\f:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02113   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\f:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02114   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\f:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02115   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02116   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "f:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02117   896   NtClose  (132, ... ) == 0x0
 02118   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02119   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\g:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02120   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\g:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02121   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\g:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02122   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02123   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "g:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02124   896   NtClose  (132, ... ) == 0x0
 02125   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02126   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\h:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02127   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\h:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02128   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\h:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02129   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02130   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "h:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02131   896   NtClose  (132, ... ) == 0x0
 02132   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02133   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\i:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02134   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\i:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02135   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\i:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02136   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02137   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "i:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02138   896   NtClose  (132, ... ) == 0x0
 02139   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02140   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\j:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02141   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\j:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02142   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\j:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02143   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02144   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "j:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02145   896   NtClose  (132, ... ) == 0x0
 02146   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02147   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\k:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02148   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\k:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02149   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\k:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02150   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02151   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "k:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02152   896   NtClose  (132, ... ) == 0x0
 02153   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02154   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\l:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02155   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\l:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02156   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\l:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02157   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02158   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "l:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02159   896   NtClose  (132, ... ) == 0x0
 02160   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02161   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\m:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02162   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\m:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02163   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\m:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02164   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02165   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "m:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02166   896   NtClose  (132, ... ) == 0x0
 02167   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02168   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\n:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02169   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\n:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02170   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\n:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02171   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02172   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "n:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02173   896   NtClose  (132, ... ) == 0x0
 02174   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02175   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\o:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02176   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\o:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02177   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\o:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02178   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02179   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "o:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02180   896   NtClose  (132, ... ) == 0x0
 02181   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02182   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\p:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02183   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\p:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02184   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\p:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02185   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02186   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "p:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02187   896   NtClose  (132, ... ) == 0x0
 02188   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02189   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\q:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02190   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\q:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02191   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\q:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02192   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02193   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "q:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02194   896   NtClose  (132, ... ) == 0x0
 02195   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02196   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\r:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02197   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\r:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02198   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\r:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02199   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02200   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "r:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02201   896   NtClose  (132, ... ) == 0x0
 02202   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02203   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\s:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02204   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\s:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02205   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\s:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02206   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02207   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "s:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02208   896   NtClose  (132, ... ) == 0x0
 02209   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02210   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\t:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02211   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\t:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02212   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\t:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02213   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02214   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "t:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02215   896   NtClose  (132, ... ) == 0x0
 02216   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02217   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\u:"}, 3, 96, ... 132, {status=0x0, info=1}, ) }, 3, 96, ... 132, {status=0x0, info=1}, ) == 0x0
 02218   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\u:"}, ... 136, ) }, ... 136, ) == 0x0
 02219   896   NtQuerySymbolicLinkObject  (136, ...  (136, ... "\Device\WinDfs\U:0000000000009f43", 66, ) , 66, ) == 0x0
 02220   896   NtClose  (136, ... ) == 0x0
 02221   896   NtQueryVolumeInformationFile  (132, 455972, 8, Device, ... {status=0x0, info=8}, ) == 0x0
 02222   896   NtClose  (132, ... ) == 0x0
 02223   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02224   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "u:"}, ... 136, ) }, ... 136, ) == 0x0
 02225   896   NtQuerySymbolicLinkObject  (136, ...  (136, ... "\Device\WinDfs\U:0000000000009f43", 66, ) , 66, ) == 0x0
 02226   896   NtClose  (136, ... ) == 0x0
 02227   896   NtClose  (132, ... ) == 0x0
 02228   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02229   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\v:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02230   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\v:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02231   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\v:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02232   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02233   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "v:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02234   896   NtClose  (132, ... ) == 0x0
 02235   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02236   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\w:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02237   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\w:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02238   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\w:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02239   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02240   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "w:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02241   896   NtClose  (132, ... ) == 0x0
 02242   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02243   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\x:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02244   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\x:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02245   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\x:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02246   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02247   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "x:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02248   896   NtClose  (132, ... ) == 0x0
 02249   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02250   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\y:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02251   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\y:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02252   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\y:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02253   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02254   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "y:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02255   896   NtClose  (132, ... ) == 0x0
 02256   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02257   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\z:"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02258   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\z:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02259   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\z:"}, 3, 32, ... ) }, 3, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02260   896   NtOpenDirectoryObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??"}, ... 132, ) }, ... 132, ) == 0x0
 02261   896   NtOpenSymbolicLinkObject  (0x1, {24, 132, 0x40, 0, 0,  (0x1, {24, 132, 0x40, 0, 0, "z:"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02262   896   NtClose  (132, ... ) == 0x0
 02263   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 02264   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 132, ) == 0x0
 02265   896   NtQueryInformationToken  (132, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 02266   896   NtClose  (132, ... ) == 0x0
 02267   896   NtOpenKey  (0x20019, {24, 0, 0x640, 0, 0,  (0x20019, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... 132, ) }, ... 132, ) == 0x0
 02268   896   NtOpenKey  (0x20019, {24, 132, 0x40, 0, 0,  (0x20019, {24, 132, 0x40, 0, 0, "SOFTWARE\Microsoft\Cryptography\Providers\Type 001"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02269   896   NtClose  (132, ... ) == 0x0
 02270   896   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "SOFTWARE\Microsoft\Cryptography\Defaults\Provider Types\Type 001"}, ... 132, ) }, ... 132, ) == 0x0
 02271   896   NtQueryValueKey  (132,  (132, "Name", Partial, 144, ... TitleIdx=0, Type=1, Data="M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0S\0t\0r\0o\0n\0g\0 \0C\0r\0y\0p\0t\0o\0g\0r\0a\0p\0h\0i\0c\0 \0P\0r\0o\0v\0i\0d\0e\0r\0\0\0"}, 92, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (132, "Name", Partial, 144, ... TitleIdx=0, Type=1, Data="M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0S\0t\0r\0o\0n\0g\0 \0C\0r\0y\0p\0t\0o\0g\0r\0a\0p\0h\0i\0c\0 \0P\0r\0o\0v\0i\0d\0e\0r\0\0\0"}, 92, ) }, 92, ) == 0x0
 02272   896   NtQueryValueKey  (132,  (132, "Name", Partial, 144, ... TitleIdx=0, Type=1, Data="M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0S\0t\0r\0o\0n\0g\0 \0C\0r\0y\0p\0t\0o\0g\0r\0a\0p\0h\0i\0c\0 \0P\0r\0o\0v\0i\0d\0e\0r\0\0\0"}, 92, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (132, "Name", Partial, 144, ... TitleIdx=0, Type=1, Data="M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0S\0t\0r\0o\0n\0g\0 \0C\0r\0y\0p\0t\0o\0g\0r\0a\0p\0h\0i\0c\0 \0P\0r\0o\0v\0i\0d\0e\0r\0\0\0"}, 92, ) }, 92, ) == 0x0
 02273   896   NtQueryValueKey  (132,  (132, "Name", Partial, 144, ... TitleIdx=0, Type=1, Data="M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0S\0t\0r\0o\0n\0g\0 \0C\0r\0y\0p\0t\0o\0g\0r\0a\0p\0h\0i\0c\0 \0P\0r\0o\0v\0i\0d\0e\0r\0\0\0"}, 92, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (132, "Name", Partial, 144, ... TitleIdx=0, Type=1, Data="M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0S\0t\0r\0o\0n\0g\0 \0C\0r\0y\0p\0t\0o\0g\0r\0a\0p\0h\0i\0c\0 \0P\0r\0o\0v\0i\0d\0e\0r\0\0\0"}, 92, ) }, 92, ) == 0x0
 02274   896   NtQueryValueKey  (132,  (132, "Name", Partial, 144, ... TitleIdx=0, Type=1, Data="M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0S\0t\0r\0o\0n\0g\0 \0C\0r\0y\0p\0t\0o\0g\0r\0a\0p\0h\0i\0c\0 \0P\0r\0o\0v\0i\0d\0e\0r\0\0\0"}, 92, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (132, "Name", Partial, 144, ... TitleIdx=0, Type=1, Data="M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0S\0t\0r\0o\0n\0g\0 \0C\0r\0y\0p\0t\0o\0g\0r\0a\0p\0h\0i\0c\0 \0P\0r\0o\0v\0i\0d\0e\0r\0\0\0"}, 92, ) }, 92, ) == 0x0
 02275   896   NtClose  (132, ... ) == 0x0
 02276   896   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Strong Cryptographic Provider"}, ... 132, ) }, ... 132, ) == 0x0
 02277   896   NtQueryValueKey  (132,  (132, "Type", Partial, 144, ... TitleIdx=0, Type=4, Data="\1\0\0\0"}, 16, ) , Partial, 144, ... TitleIdx=0, Type=4, Data= (132, "Type", Partial, 144, ... TitleIdx=0, Type=4, Data="\1\0\0\0"}, 16, ) }, 16, ) == 0x0
 02278   896   NtQueryValueKey  (132,  (132, "Image Path", Partial, 144, ... TitleIdx=0, Type=1, Data="r\0s\0a\0e\0n\0h\0.\0d\0l\0l\0\0\0"}, 34, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (132, "Image Path", Partial, 144, ... TitleIdx=0, Type=1, Data="r\0s\0a\0e\0n\0h\0.\0d\0l\0l\0\0\0"}, 34, ) }, 34, ) == 0x0
 02279   896   NtQueryValueKey  (132,  (132, "Image Path", Partial, 144, ... TitleIdx=0, Type=1, Data="r\0s\0a\0e\0n\0h\0.\0d\0l\0l\0\0\0"}, 34, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (132, "Image Path", Partial, 144, ... TitleIdx=0, Type=1, Data="r\0s\0a\0e\0n\0h\0.\0d\0l\0l\0\0\0"}, 34, ) }, 34, ) == 0x0
 02280   896   NtQueryValueKey  (132,  (132, "Image Path", Partial, 144, ... TitleIdx=0, Type=1, Data="r\0s\0a\0e\0n\0h\0.\0d\0l\0l\0\0\0"}, 34, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (132, "Image Path", Partial, 144, ... TitleIdx=0, Type=1, Data="r\0s\0a\0e\0n\0h\0.\0d\0l\0l\0\0\0"}, 34, ) }, 34, ) == 0x0
 02281   896   NtQueryValueKey  (132,  (132, "Image Path", Partial, 144, ... TitleIdx=0, Type=1, Data="r\0s\0a\0e\0n\0h\0.\0d\0l\0l\0\0\0"}, 34, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (132, "Image Path", Partial, 144, ... TitleIdx=0, Type=1, Data="r\0s\0a\0e\0n\0h\0.\0d\0l\0l\0\0\0"}, 34, ) }, 34, ) == 0x0
 02282   896   NtQuerySystemInformation  (KernelDebugger, 2, ... {system info, class 35, size 2}, -1, ) == 0x0
 02283   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\u:\work\rsaenh.dll"}, 455408, ... ) }, 455408, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02284   896   NtQueryAttributesFile  ({24, 12, 0x40, 0, 0,  ({24, 12, 0x40, 0, 0, "rsaenh.dll"}, 455408, ... ) }, 455408, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02285   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\rsaenh.dll"}, 455408, ... ) }, 455408, ... ) == 0x0
 02286   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 455916,  (0x80100080, {24, 0, 0x40, 0, 455916, "\??\C:\WINDOWS\system32\rsaenh.dll"}, 0x0, 128, 1, 1, 96, 0, 0, ... 136, {status=0x0, info=1}, ) }, 0x0, 128, 1, 1, 96, 0, 0, ... 136, {status=0x0, info=1}, ) == 0x0
 02287   896   NtQueryInformationFile  (136, 455896, 24, Standard, ... {status=0x0, info=24}, ) == 0x0
 02288   896   NtCreateSection  (0xf0005, 0x0, 0x0, 2, 134217728, 136, ... 140, ) == 0x0
 02289   896   NtMapViewOfSection  (140, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 2, ... (0x950000), {0, 0}, 155648, ) == 0x0
 02290   896   NtClose  (140, ... ) == 0x0
 02291   896   NtClose  (136, ... ) == 0x0
 02292   896   NtUnmapViewOfSection  (-1, 0x950000, ... ) == 0x0
 02293   896   NtQueryFullAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\rsaenh.dll"}, 456144, ... ) }, 456144, ... ) == 0x0
 02294   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 455980,  (0x80100080, {24, 0, 0x40, 0, 455980, "\??\C:\WINDOWS\system32\rsaenh.dll"}, 0x0, 128, 1, 1, 96, 0, 0, ... 136, {status=0x0, info=1}, ) }, 0x0, 128, 1, 1, 96, 0, 0, ... 136, {status=0x0, info=1}, ) == 0x0
 02295   896   NtCreateSection  (0xf0005, 0x0, 0x0, 2, 134217728, 136, ... 140, ) == 0x0
 02296   896   NtMapViewOfSection  (140, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 2, ... (0x950000), {0, 0}, 155648, ) == 0x0
 02297   896   NtQueryDefaultLocale  (1, 455872, ... ) == 0x0
 02298   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x26000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02299   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x26000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02300   896   NtReadFile  (136, 0, 0, 0, 328, 0x0, 0, ... {status=0x0, info=328},  (136, 0, 0, 0, 328, 0x0, 0, ... {status=0x0, info=328}, "MZ\220\0\3\0\0\0\4\0\0\0\377\377\0\0\270\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\360\0\0\0\16\37\272\16\0\264\11\315!\270\1L\315!This program cannot be run in DOS mode.\15\15\12$\0\0\0\0\0\0\0\7\267\232\34C\326\364OC\326\364OC\326\364O\200\331\373OJ\326\364OC\326\365O\320\326\364O\200\331\251OH\326\364O\200\331\250OB\326\364O\200\331\252OB\326\364O\200\331\224OB\326\364O\200\331\253Oj\326\364O\200\331\256OB\326\364ORichC\326\364O\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0PE\0\0L\1\4\0(]\353@\0\0\0\0\0\0\0\0\340\0\16!\13\1\7\12\0\14\2\0\0F\0\0\0\0\0\0\3414\1\0\0\20\0\0\0 \2\0\0\0\375\17\0\20\0\0\0\2\0\0\5\0\1\0\5\0\1\0\4\0\0\0\0\0\0\0\0\200\2\0\0\4\0\0", ) , ) == 0x0
 02301   896   NtQueryInformationFile  (136, 456032, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 02302   896   NtSetInformationFile  (136, 456032, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 02303   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\3\0\0\10\0\0\4\0\0\20\0\0\0\0\20\0\0\20\0\0\0\0\0\0\20\0\0\0\200\30\2\0\273\2\0\08\14\2\0x\0\0\0\0P\2\0P\14\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0`\2\0\354\16\0\00\22\0\0\34\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\200`\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\20\0\00\2\0\00\12\2\0\340\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0.text\0\0\0;\13\2\0\0\20\0\0\0\14\2\0\0\4\0\0\0\0\0\0\0\0\0\0\0\0\0\0 \0\0`.data\0\0\0\210%\0\0\0 \2\0\0$\0\0\0\20\2\0\0\0\0\0\0\0\0\0\0\0\0\0@\0\0\300.rsrc\0\0\0P\14\0\0\0P\2\0\0\16\0\0\04\2\0\0\0\0\0\0\0\0\0\0\0\0\0@\0\0@.reloc\0\0r\20\0\0\0`\2\0\0\22\0\0\0B\2\0\0\0\0\0\0\0\0\0\0\0\0\0@\0\0B\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) , ) == 0x0
 02304   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\0 \0\0@ \0\200\0\0 \0@ \0\0@  \200\0  \0\0\0\0\200\0 \0\200@\0\0\200\0\0 \200@  \0\0\0 \0@ \0\200@\0 \200\0\0\0\0\0 \0\0@\0\0\0\0  \200@\0 \200@  \200\0\0 \200\0\0\0\200@ \0\0@\0\0\0\0  \0@  \0\0 \0\200@ \0\0\0\0\0\200\0 \0\200@  \0\0  \200@\0 \0\0\0\0\0\0 \0\200\0\0\0\200\0 \0\0@\0 \200\0\0 \0@\0 \0@  \200\0  \0@\0\0\0@  \200\0  \0\0\0 \0@ \0\200@\0\0\200\0\0 \200@  \0\0\0\0\0\0 \0\0@\0\0\200@ \0\200\0  \200\0\0 \200@ \0\0@\0\0\0@\0 \200\0@\0\0\0\2\0\0\0\2\0\1\4\0\0\1\4B\0\1\4@\0\0\0B\0\0\0\0\0\0\0\0\0\1\4\2\0\1\4\2\0\0\0@\0\1\4\0\0\0\0B\0\1\0@\0\1\4\2\0\0\4\2\0\1\0@\0\0\4@\0\0\4B\0\1\0\0\0\0\0\2\0\1\4\0\0\1\0B\0\0\4@\0\1\4B\0\0\0B\0\1\4\0\0\0\4B\0\0\4@\0\1\0\2\0\0\0\0\0\1\4B\0\0\0@\0\1\4@\0\1\4\2\0\0\0@\0\0\0\2\0\0\0\0\0\1\4@\0\1\4\2\0\1\4B\0\0\0B\0\0\0\0\0\0\0\2\0\0\4\0\0\1\4\0\0\0\0\2\0\1\0\0\0\0\4\2\0\1\0\2\0\1\0B\0\0\4\2\0\0\0@\0\0\4B\0\1\0\0\0\1\0B\0\1\4\0\0\0\4@\0\0\4B\0\1\4\0\0\1\0B\0\1\0@\0\1\4@\0\0\200\0\200 \0\0\202 ", ) , ) == 0x0
 02305   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\250TT\374m\273\273\326,\26\26:\245\306cc\204\370||\231\356ww\215\366{{\15\377\362\362\275\326kk\261\336ooT\221\305\305P`00\3\2\1\1\251\316gg}V++\31\347\376\376b\265\327\327\346M\253\253\232\354vvE\217\312\312\235\37\202\202@\211\311\311\207\372}}\25\357\372\372\353\262YY\311\216GG\13\373\360\360\354A\255\255g\263\324\324\375_\242\242\352E\257\257\277#\234\234\367S\244\244\226\344rr[\233\300\300\302u\267\267\34\341\375\375\256=\223\223jL&&Zl66A~??\2\365\367\367O\203\314\314\h44\364Q\245\2454\321\345\345\10\371\361\361\223\342qqs\253\330\330Sb11?*\25\25\14\10\4\4R\225\307\307eF##^\235\303\303(0\30\30\2417\226\226\17\12\5\5\265/\232\232\11\16\7\76$\22\22\233\33\200\200=\337\342\342&\315\353\353iN''\315\177\262\262\237\352uu\33\22\11\11\236\35\203\203tX,,.4\32\32-6\33\33\262\334nn\356\264ZZ\373[\240\240\366\244RRMv;;a\267\326\326\316}\263\263{R))>\335\343\343q^//\227\23\204\204\365\246SSh\271\321\321\0\0\0\0,\301\355\355`@  \37\343\374\374\310y\261\261\355\266[[\276\324jjF\215\313\313\331g\276\276Kr99\336\224JJ\324\230LL\350\260XXJ\205\317\317k\273\320\320*\305\357\357\345O\252\252\26\355\373\373\305\206CC\327\232MMUf33\224\21\205\205\317\212EE\20\351\371\371\6\4\2\2\201\376\177\177\360\240PPDx<<\272%\237\237\343K\250\250\363\242QQ\376]\243\243\300\200@@\212\5\217\217\255?\222\222\274!\235\235Hp88\4\361\365\365\337c\274\274\301w\266\266", ) , ) == 0x0
 02306   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\3252\266pHl\t\320\270WBPQ\364\247S~Ae\303\32\27\244\226:'^\313;\253k\361\37\235E\253\254\372X\223K\343\3U 0\372\366\255vm\221\210\314v%\365\2L\374O\345\327\327\305*\313\200&5D\217\265b\243I\336\261Zg%\272\33\230E\352\16\341]\376\300\2\303/u\22\201L\360\243\215F\227\306k\323\371\347\3\217_\225\25\222\234\353\277mz\332\225RY-\324\276\203\323Xt!)I\340iD\216\311\310ju\302\211x\364\216yk\231X>\335'\271q\266\276\341O\27\360\210\255f\311 \254\264}\316:\30c\337J\202\345\321`\227Q3EbS\177\340\261dw\204\273k\256\34\376\201\240\224\371\10+XpHh\31\217E\375\207\224\336l\267R{\370#\253s\323\342rK\2W\343\37\217*fU\253\7\262\353(\3/\265\302\232\206\305{\245\3237\10\3620(\207\262#\277\245\272\2\3j\\355\26\202+\212\317\34\222\247y\264\360\363\7\362\241Ni\342\315e\332\364\325\6\5\276\37\3214b\212\304\246\376\2354.S\240\242\363U2\5\212\341u\244\366\3539\13\203\354\252@`\357\6^q\237Q\275n\20\371>!\212=\226\335\6\256\335>\5FM\346\275\265\221T\215\5q\304]o\4\6\324\377`P\25$\31\230\373\227\326\275\351\314\211@Cwg\331\236\275\260\350B\210\7\211\2138\347\31[\333y\310\356G\241|\12\351|B\17\311\370\204\36\0\0\0\0\203\11\200\206H2+\355\254\36\21pNlZr\373\375\16\377V\17\2058\36=\256\325'6-9d\12\17\331!h\\246\321\233[T:$6.\261\14\12g\17\223W\347\322\264\356\226\236\33\233\221O\200\300\305\242a\334 iZwK\26\34\22\32\12\342\223\272\345\300\240*", ) , ) == 0x0
 02307   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "<"\340C.9\367^ 0\372U\354\232\267\1\342\223\272\12\360\210\255\27\376\201\240\34\324\276\203-\332\267\216&\310\254\231;\306\245\2240\234\322\337Y\222\333\322R\200\300\305O\216\311\310D\244\366\353u\252\377\346~\270\344\361c\266\355\374h\14\12g\261\2\3j\272\20\30}\247\36\21p\2544.S\235:'^\226("@\35\236/KG\351d"I\340i)[\373~4U\362s?\177\315P\16q\304]\5c\337J\30m\326G\23\3271\334\312\3318\321\301\313#\306\334\305*\313\327\357\25\350\346\341\34\345\355\363\7\362\360\375\16\377\373\247y\264\222\251p\271\231\273k\256\204\265b\243\217\237]\200\276\221T\215\265\203O\232\250\215F\227\243\0\0\0\0\13\16\11\15\26\34\22\32\35\22\33\27,8$4'6-9:$6.1*?#XpHhS~AeNlZrEbS\177tHl\\177FeQbT~FiZwK\260\340\220\320\273\356\231\335\246\374\202\312\255\362\213\307\234\330\264\344\227\326\275\351\212\304\246\376\201\312\257\363\350\220\330\270\343\236\321\265\376\214\312\242\365\202\303\257\304\250\374\214\317\246\365\201\322\264\356\226\331\272\347\233{\333;\273p\3252\266m\307)\241f\311 \254W\343\37\217\\355\26\202A\377\15\225J\361\4\230#\253s\323(\245z\3365\267a\311>\271h\304\17\223W\347\4\235^\352\31\217E\375\22\201L\360\313;\253k\3005\242f\335'\271q\326)\260|\347\3\217_\354\15\206R\361\37\235E\372\21\224H\223K\343\3\230E\352\16", ) \340C.9\367^ 0\372U\354\232\267\1\342\223\272\12\360\210\255\27\376\201\240\34\324\276\203-\332\267\216&\310\254\231;\306\245\2240\234\322\337Y\222\333\322R\200\300\305O\216\311\310D\244\366\353u\252\377\346~\270\344\361c\266\355\374h\14\12g\261\2\3j\272\20\30}\247\36\21p\2544.S\235:'^\226(213&5D\200|B\17\351rK\2\342`P\25\377nY\30\364Df;\305Jo6\316Xt!\323V},\3307\241\14z9\250\1q+\263\26l%\272\33g\17\2058V\1\2145]\23\227 (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "<"\340C.9\367^ 0\372U\354\232\267\1\342\223\272\12\360\210\255\27\376\201\240\34\324\276\203-\332\267\216&\310\254\231;\306\245\2240\234\322\337Y\222\333\322R\200\300\305O\216\311\310D\244\366\353u\252\377\346~\270\344\361c\266\355\374h\14\12g\261\2\3j\272\20\30}\247\36\21p\2544.S\235:'^\226("@\35\236/KG\351d"I\340i)[\373~4U\362s?\177\315P\16q\304]\5c\337J\30m\326G\23\3271\334\312\3318\321\301\313#\306\334\305*\313\327\357\25\350\346\341\34\345\355\363\7\362\360\375\16\377\373\247y\264\222\251p\271\231\273k\256\204\265b\243\217\237]\200\276\221T\215\265\203O\232\250\215F\227\243\0\0\0\0\13\16\11\15\26\34\22\32\35\22\33\27,8$4'6-9:$6.1*?#XpHhS~AeNlZrEbS\177tHl\\177FeQbT~FiZwK\260\340\220\320\273\356\231\335\246\374\202\312\255\362\213\307\234\330\264\344\227\326\275\351\212\304\246\376\201\312\257\363\350\220\330\270\343\236\321\265\376\214\312\242\365\202\303\257\304\250\374\214\317\246\365\201\322\264\356\226\331\272\347\233{\333;\273p\3252\266m\307)\241f\311 \254W\343\37\217\\355\26\202A\377\15\225J\361\4\230#\253s\323(\245z\3365\267a\311>\271h\304\17\223W\347\4\235^\352\31\217E\375\22\201L\360\313;\253k\3005\242f\335'\271q\326)\260|\347\3\217_\354\15\206R\361\37\235E\372\21\224H\223K\343\3\230E\352\16", ) I\340i)[\373~4U\362s?\177\315P\16q\304]\5c\337J\30m\326G\23\3271\334\312\3318\321\301\313#\306\334\305*\313\327\357\25\350\346\341\34\345\355\363\7\362\360\375\16\377\373\247y\264\222\251p\271\231\273k\256\204\265b\243\217\237]\200\276\221T\215\265\203O\232\250\215F\227\243\0\0\0\0\13\16\11\15\26\34\22\32\35\22\33\27,8$4'6-9:$6.1*?#XpHhS~AeNlZrEbS\177tHl\\177FeQbT~FiZwK\260\340\220\320\273\356\231\335\246\374\202\312\255\362\213\307\234\330\264\344\227\326\275\351\212\304\246\376\201\312\257\363\350\220\330\270\343\236\321\265\376\214\312\242\365\202\303\257\304\250\374\214\317\246\365\201\322\264\356\226\331\272\347\233{\333;\273p\3252\266m\307)\241f\311 \254W\343\37\217\\355\26\202A\377\15\225J\361\4\230#\253s\323(\245z\3365\267a\311>\271h\304\17\223W\347\4\235^\352\31\217E\375\22\201L\360\313;\253k\3005\242f\335'\271q\326)\260|\347\3\217_\354\15\206R\361\37\235E\372\21\224H\223K\343\3\230E\352\16", ) == 0x0
 02308   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "M\0a\0c\0h\0i\0n\0e\0K\0e\0y\0s\0\0\0-%lu\0\0\0\00x%02hx%02hx%02hx%02hx%02hx%02hx\0\0\0\0%lu\0S-%lu-\0\0-\0%\0l\0u\0\0\0\0\00\0x\0%\00\02\0h\0x\0%\00\02\0h\0x\0%\00\02\0h\0x\0%\00\02\0h\0x\0%\00\02\0h\0x\0%\00\02\0h\0x\0\0\0\0\0%\0l\0u\0\0\0S\0-\0%\0l\0u\0-\0\0\0\0\0\\0M\0i\0c\0r\0o\0s\0o\0f\0t\0\\0C\0r\0y\0p\0t\0o\0\\0R\0S\0A\0\\0\0\0\0\0\\0M\0i\0c\0r\0o\0s\0o\0f\0t\0\\0C\0r\0y\0p\0t\0o\0\\0D\0S\0S\0\\0\0\0\0\0SeRestorePrivilege\0\0SeBackupPrivilege\0\0\0.DEFAULT\0\0\0\0Software\Microsoft\Cryptography\UserKeys\0\0\0\0Software\Microsoft\Cryptography\MachineKeys\0Software\Microsoft\Cryptography\DSSUserKeys\0*\0\0\0SeSecurityPrivilege\0OffloadModEx", ) , ) == 0x0
 02309   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "3\300@\213M\374_^\350\317\305\0\0\311\302\14\0\314\314\314\314\314\213\377U\213\354\213E\10\203x\4\14u\26\201}\14\1\200\0\0t\11\201}\14\2\200\0\0u\43\300\353\33\300@]\302\10\0\314\314\314\314\314\213\377U\213\354\213E\10-\1\200\0\0VW\17\204\211\0\0\0HtWHt9Ht\12\270\10\0\11\200\351\235\0\0\0jt_W\350\324G\1\0\213\360\205\366u\10j\10X\351\206\0\0\0V\350\311\310\0\0\203&\0\213E\14\2110\213E\20\2118\353ojl_W\350\250G\1\0\213\360\205\366t\324\203fh\0V\350}\310\0\0\353\331jd\350\217G\1\0\213\360\205\366t\273j\31Y3\300\213\376\363\253!F\34V\350\220\24\1\0\213E\20\307\0d\0\0\0\213E\14\2110\353%j8^V\350^G\1\0\213\320\205\322t\2123\300j\16Y\213\372\363\253!B4\213E\20\2110\213E\14\211\203\300_^]\302\14\0\314\314\314\314\314\213\377U\213\354S3\3339]\24VWt\12\277\11\0\11\200\351\243\0\0\0S\377u\10\350[\223\0\0;\303u\12\277\1\0\11\200\351\214\0\0\0\213u\14VP\350\306\376\377\377\205\300u\7\277\10\0\11\200\353wj8\350\351F\1\0\213\3303\322;\332\17\204\361\0\0\0j\163\300Y\213\373\363\253\213M\10\213\306-\2L\0\0\211s\4\211\13\17\204\254\1\0\0-\34\0\0\17\204F\1\0\0\203\350\3\17\204%\1\0\0H\17\204\366\0\0\0Ht\9U\20\17\205\250\1\0\0\215C\10P\215C\14PV\350\205\376\377\377\205\300u\13Sj\1\377u\30\3503\223\0\0\213\3703\300\205\377\17\224\300\213\360\205\366u\36\205\333t\23\213C\14\205\300t\6P\350\236F\1\0S\350\230F", ) , ) == 0x0
 02310   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\253\253\2533\300@S\211s<\211s@\211C\\211C`\211sd\350P\377\377\377\213E\30;\306\213M\20\211K\14t"9u\34t\5\211C\20\353\30\213{\20\213\360\213\301\301\351\2\363\245\213\310\203\341\3\363\244\213M\203\366\201\352\1f\0\0tuJtTJt3\203\352\6t\37\203\352\5t\21Jt\16Jt\13\211s`\211sx\351\200\0\0\0\307Cx\20\0\0\0\353w\203{\14\20uM9u u\31j\20\353\15\203{\14\30u>9u u\12j\30\377s\20\350T\17\1\0\307Cx\10\0\0\0\353J\213E\249\260\204\1\0\0u\11\307Cl(\0\0\0\353\343\213\301\301\340\3\211Cl\353\331j\10_9{\14t\23\277\11\0\11\200;\336t\6S\350\2607\1\0\213\307\353\309u u\11W\377s\20\350\4\17\1\0\211{x\213E$\211\303\300_^[]\302 \0\314\314\314\314\314\213\377U\213\354V\213u\10\213F\20\205\300t\6P\350r7\1\0\213F\30\205\300t\6P\350e7\1\0V\350_7\1\0^]\302\4\0\314\314\314\314\314\213\377U\213\354\213E\14\213M\30W3\3223\377-\0$\0\0\211\21t\31-\1B\0\0tlHtUHtF\203\350\6t5-\367=\0\0u\6\307\1\1\0\0\0\213E\20R\301\340\3P\377u\14\213E\10\3774\205HB\377\17\350\204\207\1\0\205\300t\33\377G\213\307_]\302\24\0\203}\20\20t\360\203}\20\16\353*\203}\20\30t\344\203}\20\25\353\369U\24u\331\213E\20R\301\340\3Ph\2f\0\0\353\267\203}\20\10t\304\203}\20\7u\301\353\274\314\314\314\314\314\213\377U\213\354\213E\14V3\366\205\300t \215M\14Q\377u\20\377p\14\377p\4", ) 9u\34t\5\211C\20\353\30\213{\20\213\360\213\301\301\351\2\363\245\213\310\203\341\3\363\244\213M\203\366\201\352\1f\0\0tuJtTJt3\203\352\6t\37\203\352\5t\21Jt\16Jt\13\211s`\211sx\351\200\0\0\0\307Cx\20\0\0\0\353w\203{\14\20uM9u u\31j\20\353\15\203{\14\30u>9u u\12j\30\377s\20\350T\17\1\0\307Cx\10\0\0\0\353J\213E\249\260\204\1\0\0u\11\307Cl(\0\0\0\353\343\213\301\301\340\3\211Cl\353\331j\10_9{\14t\23\277\11\0\11\200;\336t\6S\350\2607\1\0\213\307\353\309u u\11W\377s\20\350\4\17\1\0\211{x\213E$\211\303\300_^[]\302 \0\314\314\314\314\314\213\377U\213\354V\213u\10\213F\20\205\300t\6P\350r7\1\0\213F\30\205\300t\6P\350e7\1\0V\350_7\1\0^]\302\4\0\314\314\314\314\314\213\377U\213\354\213E\14\213M\30W3\3223\377-\0$\0\0\211\21t\31-\1B\0\0tlHtUHtF\203\350\6t5-\367=\0\0u\6\307\1\1\0\0\0\213E\20R\301\340\3P\377u\14\213E\10\3774\205HB\377\17\350\204\207\1\0\205\300t\33\377G\213\307_]\302\24\0\203}\20\20t\360\203}\20\16\353*\203}\20\30t\344\203}\20\25\353\369U\24u\331\213E\20R\301\340\3Ph\2f\0\0\353\267\203}\20\10t\304\203}\20\7u\301\353\274\314\314\314\314\314\213\377U\213\354\213E\14V3\366\205\300t \215M\14Q\377u\20\377p\14\377p\4", ) == 0x0
 02311   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\1\0\11\200\351\325\0\0\0\215E\10Pj\2V\377u\14\350\237t\0\0\205\300t;\215E\10Pj\3V\377u\14\350\214t\0\0\205\300t(\215E\10Pj\4V\377u\14\350yt\0\0\205\300t\25= \0\11\200\17\205\221\0\0\0\270\3\0\11\200\351\207\0\0\0\213E\20\203\370\12\17\207\313\1\0\0\17\204u\1\0\0H\17\204]\1\0\0H\17\204\342\0\0\0H\17\204\316\0\0\0H\17\204\213\0\0\0HtrH\17\205\317\2\0\0\213E\24\213\20\367\302\300\376\377\377t\7\270\11\0\11\200\353;\367\302\4\0\0\0\213E\10t\20\367@h\4\0\0\0u\7\270\5\0\11\200\353 \271\0\1\0\0\205\321t\5\205Hht\353\213Hh3\312\201\341\4\1\0\03\312\211Hh3\300_3\311\205\300\17\224\301\213\361\205\366u\7P\377\25\304\21\375\17\213\306^]\302\24\0\213E\24\213\0\205\300t\264\203\370@w\257\213M\10\211Ad\353\314\213U\10\213B\4=\0$\0\0\17\204,\377\377\377=\0\244\0\0\17\204!\377\377\377\213M\24\212\1<\1t\20<\2t\14<\4t\10<\3\17\205r\377\377\377\213\1\211B`\353\220\213E\24\2038\1t\210\351^\377\377\377\213M\10\213A\4=\2f\0\0t\13=\1h\0\0\17\205\334\376\377\377\213u\24\205\366u\10jWX\351^\377\377\377\213\207\204\1\0\0\205\300t\13\203\370\1t\6\203a@\0\353\7\307A@\13\0\0\0\213E\10\213H@\205\311t\24\215xD\213\301\301\351\2\363\245\213\310\203\341\3\363\244\213E\10P\350\307\371\377\377\205\300\17\204\24\377\377\377\351\21\377\377\377\213E\10\213Hx\213u\24\215x\34\351g\1\0\0\213M\10\213A\4=\2f\0\0t\13=\1h\0\0\17\205W\376", ) , ) == 0x0
 02312   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "j\10X\351\264\1\0\0\213E\309{\10\213H$\213\372u\25\213\361\301\351\2\2706666\363\253\213\316\203\341\3\363\252\353\21\213s\4\213\301\301\351\2\363\245\213\310\203\341\3\363\244\213E\30\213@ \205\300t\11P\350C\30\1\0\213U\24\213E\30\211P \213C\20\205\300u\14\213E\30\307@,@\0\0\0\353\6\213M\30\211A,\213E\30\377p,\350\323\27\1\0\213\320\205\322\213E\30\211U\24u\24\377p \350\2\30\1\0\213E\30\203` \0\351h\377\377\377\203{\20\0\213H,\213\372u\25\213\361\301\351\2\270\\\\\363\253\213\316\203\341\3\363\252\353\21\213s\14\213\301\301\351\2\363\245\213\310\203\341\3\363\244\213E\30\213@(\205\300t\11P\350\265\27\1\0\213U\24\213E\30\211P(\351\323\0\0\0\213E\30\213H\4\201\351\1\200\0\0\17\204\236\0\0\0I\17\204\217\0\0\0It\177ItnIt\37\203\351\3t\12\270\10\0\11\200\351\244\0\0\0\213x\14j\11\213u\24Y\363\245\351\200\0\0\0\213p\14\215M\374Qj\2\377u\10\377p\20\350{c\0\0;\307t\14= \0\11\200uu\203\300\343\353p9^$u\7\270\14\0\11\200\353d\213E\374\213Hx\213u\24\215x,\213\301\301\351\2\363\245\213\310\203\341\3\363\244\3534\213@\149\30t\326\215x\4j\5\353\233\213@\149Xht\307\215xX\353\22\213@\149X\34\353\6\213@\149X4t\262\213\370\213u\24\245\245\245\245\213E\30\11X0\203}\20\2u\6\213E\30\11X\243\300[3\311\205\300\17\224\301\213\361\205\366u\7P\377\25\304\21\375\17_\213\306^\311\302\24\0\314\314\314\314\314\213\377U\213\354\213E\10-\1\200\0\0SVW\17\204\324\0\0\0", ) , ) == 0x0
 02313   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\304\215\226d\1\0\0\211U\300\215U\314R\215F8\215NXPQ\377u\300\211E\260\211M\264\350\5\35\0\0\205\300\17\205q\377\377\377;\337t3\201\373\11f\0\0t+\201\373\3f\0\0t#\201\373\1L\0\0u\11\306E\314\3\210E\315\353\34\201\373\6L\0\0u\24\306E\314\3\306E\315\1\353\12\366E\20\4\17\205\303\376\377\377\366E\20\1t\7\307E\274\1\0\0\0\215E\310Pj\0j\0\215E\314P\377u\10\377u\304\377u\274S\350\365\316\377\377\205\300\17\205\0\377\377\377\213]\20\203\343\4tA\213\266\204\1\0\0\205\366t\15\203\376\1t\10\213}\310!G@\353\14\213E\310\307@@\13\0\0\0\213\370\377w@\215GDP\377u\260\377u\264\377u\300\350L\34\0\0\205\300t\10\351\267\376\377\377\213}\310\213u\270Wj\2V\350\16T\0\0\205\300\17\205\240\376\377\377\203}\304\5u;\366E\20\20u5\205\333u1\213E\14=\1L\0\0t'=\6L\0\0t =\4L\0\0t\31=\5L\0\0t\22\3776\377u\10\350S\375\377\377\205\300\17\205_\376\377\3773\366[3\300\205\366\17\224\300\213\370\205\377u\249E\310t\10\377u\310\350\253\317\377\377V\377\25\304\21\375\17\213M\374\213\307_^\350n\204\0\0\311\302\20\0\314\314\314\314\314\213\377U\213\354\201\354<\1\0\0\241\244B\377\17S3\333f\367E\24\352\373V\213u\30\211E\374W\211\265\304\376\377\377\211\235\324\376\377\377\211\235\360\376\377\377\211\235\314\376\377\377\211\235\350\376\377\377\211\235\344\376\377\377\211\235\320\376\377\377t\12\276\11\0\11\200\351\271\3\0\0S\377u\10\350\274R\0\0\213\370;\373\211\275\324\376\377\377u\12\276\1\0\11\200\351\232\3\0\0\213]\14SW\350\216", ) , ) == 0x0
 02314   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "M\14u\25\213\35\324D\377\17\213G@\213O(\307E\30\1\0\0\0\353\30:\301\17\205C\2\0\0\203e\30\0\213\35\330D\377\17\213GL\213O0\205\300\17\204+\2\0\0\213U\374;J\14\17\205\37\2\0\0\213z\20\213\3603\322\363\246t\5\33\322\203\332\377\205\322\17\205\7\2\0\0\215M\364QP\350U\302\377\3773\3669u\20t"V\215E\14P\215E\24Pj\10\377u\20\377u\10\350:\323\377\377\205\300\17\204\330\1\0\0\301m\24\39u\34\213M\24\213E\364\215D\1\10\213M u\7\211\1\351R\2\0\09\1s\14\211\1\276\352\0\0\0\351B\2\0\0\213}\344\366G\3\360u\24j\1\377u\30SW\350?\35\0\0;\306\17\205h\376\377\3779u\30t\13\213\207<\1\0\0\213\177H\353\11\213\2074\1\0\0\213\177T;\306\211E\30\17\204~\1\0\0;\376u\15\213E\374\366@\11@\17\204Y\1\0\0\215E\364PV\377u\30\350\307\301\377\377\205\300\17\204D\1\0\09u\360\213E\364\213M\24\215<\1u\27W\350\27\367\0\0\213\330;\336\211]\354u\21j\10^\351\266\1\0\0\213]\370\203\303\10\211]\354\215E\364PS\377u\30\350\204\301\377\377\205\300\17\204\1\1\0\09u\20t\36VW\215E\364PSVj\1V\377u\20\377u\10\350D\246\377\377;\306\17\205\270\375\377\377\203}\360\0\213M\364\215Y\10\17\205<\1\0\0\213}\34\213u\354\203\307\10\3516\1\0\0\212\6<\3t\10<\4\17\205\262\0\0\0\213E\374\213@\20\205\300\17\204\270\0\0\0\213X\10\213u\34\203\303\7\301\353\3\203\303\24\205\366\17\204\25\1\0\0\213M 9\31\17\202\12\1\0\0\213\10\213U\370\211J\10\213H\10\211J\14\213H\20\211", ) V\215E\14P\215E\24Pj\10\377u\20\377u\10\350:\323\377\377\205\300\17\204\330\1\0\0\301m\24\39u\34\213M\24\213E\364\215D\1\10\213M u\7\211\1\351R\2\0\09\1s\14\211\1\276\352\0\0\0\351B\2\0\0\213}\344\366G\3\360u\24j\1\377u\30SW\350?\35\0\0;\306\17\205h\376\377\3779u\30t\13\213\207<\1\0\0\213\177H\353\11\213\2074\1\0\0\213\177T;\306\211E\30\17\204~\1\0\0;\376u\15\213E\374\366@\11@\17\204Y\1\0\0\215E\364PV\377u\30\350\307\301\377\377\205\300\17\204D\1\0\09u\360\213E\364\213M\24\215<\1u\27W\350\27\367\0\0\213\330;\336\211]\354u\21j\10^\351\266\1\0\0\213]\370\203\303\10\211]\354\215E\364PS\377u\30\350\204\301\377\377\205\300\17\204\1\1\0\09u\20t\36VW\215E\364PSVj\1V\377u\20\377u\10\350D\246\377\377;\306\17\205\270\375\377\377\203}\360\0\213M\364\215Y\10\17\205<\1\0\0\213}\34\213u\354\203\307\10\3516\1\0\0\212\6<\3t\10<\4\17\205\262\0\0\0\213E\374\213@\20\205\300\17\204\270\0\0\0\213X\10\213u\34\203\303\7\301\353\3\203\303\24\205\366\17\204\25\1\0\0\213M 9\31\17\202\12\1\0\0\213\10\213U\370\211J\10\213H\10\211J\14\213H\20\211", ) == 0x0
 02315   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\26\0\11\200\351\314\1\0\0\213^\10\203\303\7\301\353\3\205\377\17\204\245\1\0\0\213E\2749\30\17\202\232\1\0\0\215E\314PQ\377u\10\377u\14\350\2024\0\0\205\300\17\205b\1\0\0\213\313\213\321\301\351\2\363\253\213\312\203\341\3\363\252\213M\314\213A\4-\1\200\0\0t"Ht\37Ht\34Ht\31\203\350\4\17\205d\1\0\0\366A\24\1u\12\277\14\0\11\200\351Y\1\0\03\3779}\300t-W\377u\300\377\25\254\21\375\17\321\340P\377u\300\377u\14\377u\10\350,\250\377\377\205\300u\13\377\25\310\21\375\17\351\362\0\0\0\213M\314\366A0\1t\7\307E\264\1\0\0\0\213F\4W\211E\310\215E\310P\215E\330Pj\2\377u\14\377u\10\350r\322\377\377\205\300t\305\377v\4\350f\347\0\0;\307\211E\320tS\366E\30\4t#\213M\314\201y\4\4\200\0\0\17\205\316\0\0\0P\377u\264\215E\330\377u\310PS\350\342\375\377\377\353\33P\377u\30\215E\330\377u\310P\213E\314\377p\4V\350\313\374\377\377;\307uo\377v\4\350\23\347\0\0;\307\211E\324u\10j\10_\351\216\0\0\0W\377u\304\213}\254\377u\270W\350\266\14\0\0\205\300uD9E\304t\10\213\207<\1\0\0\353\6\213\2074\1\0\0\205\300u\7\277\15\0\11\200\353\\213N\4;H\4t\7\277\32\0\11\200\353M\213u\324V\377u\320P\377\267\200\1\0\0\350O\37\0\0\205\300t\4\213\370\3532\213}\260\213\313\213\301\301\351\2\363\245\213\310\213E\274\203\341\3\363\244\211\303\377\353\26\213E\274\367\337\33\377\211\30\201\347\352\0\0\0\353\5\277\10\0\11\2003\300\205\377\17\224\300\203}\324\0\213\360t\10\377u\324\350\242\346\0\0\203}\320\0t\10\377u", ) Ht\37Ht\34Ht\31\203\350\4\17\205d\1\0\0\366A\24\1u\12\277\14\0\11\200\351Y\1\0\03\3779}\300t-W\377u\300\377\25\254\21\375\17\321\340P\377u\300\377u\14\377u\10\350,\250\377\377\205\300u\13\377\25\310\21\375\17\351\362\0\0\0\213M\314\366A0\1t\7\307E\264\1\0\0\0\213F\4W\211E\310\215E\310P\215E\330Pj\2\377u\14\377u\10\350r\322\377\377\205\300t\305\377v\4\350f\347\0\0;\307\211E\320tS\366E\30\4t#\213M\314\201y\4\4\200\0\0\17\205\316\0\0\0P\377u\264\215E\330\377u\310PS\350\342\375\377\377\353\33P\377u\30\215E\330\377u\310P\213E\314\377p\4V\350\313\374\377\377;\307uo\377v\4\350\23\347\0\0;\307\211E\324u\10j\10_\351\216\0\0\0W\377u\304\213}\254\377u\270W\350\266\14\0\0\205\300uD9E\304t\10\213\207<\1\0\0\353\6\213\2074\1\0\0\205\300u\7\277\15\0\11\200\353\\213N\4;H\4t\7\277\32\0\11\200\353M\213u\324V\377u\320P\377\267\200\1\0\0\350O\37\0\0\205\300t\4\213\370\3532\213}\260\213\313\213\301\301\351\2\363\245\213\310\213E\274\203\341\3\363\244\211\303\377\353\26\213E\274\367\337\33\377\211\30\201\347\352\0\0\0\353\5\277\10\0\11\2003\300\205\377\17\224\300\203}\324\0\213\360t\10\377u\324\350\242\346\0\0\203}\320\0t\10\377u", ) == 0x0
 02316   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\12\213U\334\211\2\203\301\354Q\203\300\24P\350\241\330\0\0\211E\304\205\300\17\205[\377\377\377\213u\334\213E\340\3770\3776\203}\20\1u\15j\1\377s\\377s(\377s@\353\13j\0\377s\\377s0\377sL\350F'\1\0\211E\344\205\300u\36\367E\310\10\0\0\0t\25\377u\20\377u\310\3775\310D\377\17S\350\263\372\377\377\211E\304\203M\374\377\353\36\307E\344\32\0\11\200\353\3613\300@\303\213e\350\307E\344W\0\0\0\203M\374\377\213]\10\203}\300\0t\15\201\303h\1\0\0S\377\25\270\21\375\17\213}\264\205\377t\34\213M\2603\300\213\321\301\351\2\363\253\213\312\203\341\3\363\252\377u\264\377\25\250\21\375\17\213E\344\350\361W\0\0\302\20\0\314\314\314\314\314\213\377U\213\354\203\354L\241\244B\377\17S3\333V\213u\10\211E\374\213E\14W\211u\314\211E\320\211]\334\211]\324\211]\340\307E\264\20\0\0\0\306E\354p\306E\355\362\306E\356\205\306E\357\36\306E\360N\210]\361\210]\362\210]\363\210]\364\210]\365\210]\366\210]\367\210]\370\210]\371\210]\372\210]\373\215x\1\212\10@:\313u\371+\307\203\300\6\211E\310\350\262\343\0\0\205\300\17\205\27\1\0\0h\320\23\375\17\377\25\230\21\375\17;\303\211E\334\17\204\1\1\0\0\213=\234\21\375\17h\274\23\375\17P\377\327h\244\23\375\17\377u\334\211E\304\377\327\367E\20 \0\0\0\211E\270\17\205\326\0\0\09]\304\17\204\315\0\0\0;\303\17\204\305\0\0\0\213E\310@P\350\220\326\0\0;\303\211E\324\17\204\240\0\0\0\213M\320\276\234\23\375\17\213\370\245f\245\244\213\361\212\21A:\323u\371+\316\213\370\213\321O\212O\1G:\313u\370\213\312\301\351\2\363\245j", ) , ) == 0x0
 02317   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\2r\3\213p\14\203\371\3r\3\213P\30RV\377u\10\215E\24P\377u\20\377u\14\350\226\373\377\377\205\300u\22\367E\20\20\0\0\0u\7\213E\24\203`\10\03\3003\311\205\300\17\224\301\213\361\205\366u\7P\377\25\304\21\375\17\213\306^]\302\20\0\314\314\314\314\314\213\377U\213\3543\3223\3119U\14v\22\213E\10\3\301\210\20A;M\14\306\0\377\210\20r\356]\302\10\0\314\314\314\314\314\213\377U\213\354\203}\10\0V\213u\14t9\201>RSA1t\7\270\3\0\11\200\353A\213F\10j\0j\0\377u\24\203\300\7\301\350\3P\215F\24Pj\4\215F\20P\377u\20\377u\10\350\260\1\1\0\205\300u\25\377u\24\377u\20V\350\377\257\0\0\205\300u\5j\10X\353\23\300^]\302\20\0\314\314\314\314\314\213\377U\213\354\203\354\30\213E\14\213@\10SVW\215P\7j\10\301\352\3^\203\342\7\213\316+\312;\316t\2\3\316\203\300\17\301\350\4\321\351\3\301\215<\200\321\347\213\307\203\340\7t\6\213\316+\310\3\371\203\307\24;=xE\377\17\211}\374w6\241|E\377\17\3\307;\307r+\203\300\10P\350\311\30\1\0\205\300t\36\215G\10\203\300\3\203\340\374\350\343F\0\0\213\334\205\333t\12\307\3Stck\3\336u"\215G\10P\377\25\200E\377\17\213\330\205\333\17\204\355\0\0\0\307\3Heap\3\336\17\204\265\0\0\0\213u\14\213\317\213\301\301\351\2\213\373\363\245\213\310\213E\374\203\341\3\203\300\354\363\244P\215{\24W\350\36\307\0\0\213\360\205\366\17\205\203\0\0\09E\10tg\201;RSA2t\7\276\3\0\11\200\353o\213K\10\213E\14\213@\4\203\301\7\301\351\3@\321\350\215tC\24j\0\215Q\1\321\352\211", ) \215G\10P\377\25\200E\377\17\213\330\205\333\17\204\355\0\0\0\307\3Heap\3\336\17\204\265\0\0\0\213u\14\213\317\213\301\301\351\2\213\373\363\245\213\310\213E\374\203\341\3\203\300\354\363\244P\215{\24W\350\36\307\0\0\213\360\205\366\17\205\203\0\0\09E\10tg\201;RSA2t\7\276\3\0\11\200\353o\213K\10\213E\14\213@\4\203\301\7\301\351\3@\321\350\215tC\24j\0\215Q\1\321\352\211", ) == 0x0
 02318   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\340\350\304\374\377\377\211E\334\205\300t\13\211E\344\211]\374\351W\1\0\0\203}\20\0u2\215~@\211}\244\215\236<\1\0\0\211]\240\215F(\211E\274\215\2068\1\0\0\211E\304\215FH\211E\270\307E\264\1\0\0\0\241\234D\377\17\353-\215~L\211}\244\215\2364\1\0\0\211]\240\215F0\211E\274\215\2060\1\0\0\211E\304\215FT\211E\270\203e\264\0\241\240D\377\17\211E\260\213\7\205\300t\15P\350\2\270\0\0\3773\350\373\267\0\0\203e\314\0\213E\320\213M\304\211\1\213E\300\213M\274\211\1\213E\324\211\3\213E\340\211\7\17\266E\14\203\340\1\213M\270\211\1\366F\3\360u\26\377u\264\377u\14\377u\260V\350N\332\377\377\211E\334\205\300uW\213}\24W\203}\20\0u\36j\2\377u\10\350\21\216\377\377\205\300u\10\377\25\310\21\375\17\3537\215E\330Pj\3\353\24j\1\377u\10\350\363\215\377\377\205\300t\342\215E\330Pj\4\377u\10\3777\350\230\3\0\0\211E\334\205\300t\23= \0\11\200u\3\203\300\343\211E\344\203M\374\377\3536\270\0@\0\0\205E\14t\15\213M\330\11A\10\213E\330\200Hi\1\203M\374\377\203e\344\0\353\253\300@\303\213e\350\307E\344W\0\0\0\203M\374\377\213u\2343\3779}\254t\15\201\306h\1\0\0V\377\25\270\21\375\179}\314t\329}\324t\10\377u\324\350\371\266\0\09}\340t\10\377u\340\350\354\266\0\0\213E\344\350\317\0\0\302\24\0\314\314\314\314\314\213\377U\213\354\203}\14\0\213E\10SVWt\16\213\260<\1\0\0\215H(\215x@\353\14\213\2604\1\0\0\215H0\215xL\213^\10\321\353\203\303?\301\353\5\215\34\335\24\0\0\0\213\301;\30\211", ) , ) == 0x0
 02319   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\377u$\213\310\213E\374\377u \203\341\3\363\244\213M\34\213u\30\215<\20\213\321\301\351\2\363\245h\3\200\0\0\377u\370\213\312\203\341\3\363\244\213u\364\213}\10P\3\336SW\350?\376\377\377\205\300u\36\377u$\3\367\377u\14h\4\200\0\0\377u\370\377u\374SV\350!\376\377\377\205\300t\4\213\360\353\32\213u$\205\366v\21\213E \213M\14+\310\212\24\10\20@Nu\3673\366\203}\14\0t\10\377u\14\350\1\250\0\0\377u\374\350\371\247\0\0_\213\306^[\311\302 \0\314\314\314\314\314\213\377U\213\354\213E\10\213\200$\2\0\0\205\300t\6P\350\323\247\0\0]\302\4\0\314\314\314\314\314\213\377U\213\354\213E\10\213\200<\2\0\0\205\300t\6P\350\262\247\0\0]\302\4\0\314\314\314\314\314\213\377U\213\354Q\203e\374\0S\213]\14\213C\4=\1L\0\0t\37=\4L\0\0t\30=\6L\0\0t\21=\5L\0\0t\12\270\12\0\11\200\351_\2\0\0\203{\30\0VWu$\276h\3\0\0V\350\34\247\0\0\213\370\205\377\211{\30\17\204\342\1\0\0\271\332\0\0\03\300\363\253\211s\24\213E\20\213{\30j\24Y;\301\17\205:\1\0\0\213u\24\213F\14\211\207d\3\0\0\213\6\203\350\0\17\204\246\0\0\0H\17\205\335\1\0\0\213F\10\250\7\17\205\322\1\0\0\215M\374Qj\0\301\350\3P\377v\4\213E\10\377\260\204\1\0\0\350\234o\377\377\205\300u\12\270\11\0\11\200\351\316\1\0\0\213F\4-\1f\0\0t\37Ht\34Ht\31\203\350\6t\24-\370\1\0\0\17\205\211\1\0\0\203\247\\3\0\0\0\353\12\307\207\\3\0\0\10\0\0\0\201{\4\5L\0\0u\25\213F\10\301\350\3;C\14t\12\270\3", ) , ) == 0x0
 02320   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\311\302\20\0\314\314\314\314\314\213\377U\213\354\203\354\30\213E\10S\213X\14\213E\20V3\3663\3119u\24W\211u\364t0\213M\14%\0\4\0\0\211E\360t\23\307E\370\254\26\375\17\307E\20\3\0\0\0\215\14I\353D\307E\370\250\26\375\17\307E\20\2\0\0\0\353+%\0\4\0\0\211E\360t\20\307E\370\240\26\375\17\307E\20\5\0\0\0\353\32\213M\14\307E\370\230\26\375\17\307E\20\4\0\0\0\213\203(\2\0\0\215\14\210\213E\20\17\257E\14\215\4@\3\2030\4\0\0\3\203 \2\0\0\3\203\34\1\0\0\215D\1\1P\211E\354\350\225\227\0\0\213\370;\376\211}\374u\10j\10^\351\323\1\0\0\213M\143\300@9u\24\210\17t';\316v#\211M\24\213M\20\213u\370\213\321\3\370\301\351\2\363\245\213\312\203\341\3\3\302\377M\24\363\244\213}\374u\340\213\2130\4\0\0\213\321\301\351\2\3\370\215\2630\3\0\0\363\245\213\312\203\341\3\363\244\213M\14\3\2030\4\0\0\205\311v$\211M\24\213U\374\213M\20\213u\370\215<\20\213\321\301\351\2\363\245\213\312\203\341\3\3\302\377M\24\363\244u\337\213\213 \2\0\0\213U\374\215<\20\213\321\301\351\2\215\263 \1\0\0\363\245\213\312\203\341\3\363\244\213M\14\3\203 \2\0\0\205\311v$\211M\24\213U\374\213M\20\213u\370\215<\20\213\321\301\351\2\363\245\213\312\203\341\3\3\302\377M\24\363\244u\337\203}\360\0uS\213\213(\2\0\0\213U\374\213\263$\2\0\0\215<\20\213\321\301\351\2\363\245\213\312\203\341\3\363\244\3\203(\2\0\0\203}\14\0v'\213M\14\211M\24\213U\374\213M\20\213u\370\215<\20\213\321\301\351\2\363\245\213\312\203\341\3\3\302\377M\24\363\244u\337\213\213", ) , ) == 0x0
 02321   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "E\10P\245\215E\374Ph\364\26\375\17\245\377\263@\1\0\0\350,\246\377\377\205\300t\4\213\360\353nj\1\215E\364P\215E\370Ph\344\26\375\17\377\263@\1\0\0\350\12\246\377\377\205\300u\336\213u\374\205\366t \213\273X\1\0\0\203\307\10\245\245\245\245\213u\374\213\273X\1\0\0\203\306\20\203\307\30\245\245\245\245\213u\370\205\366t \213\273X\1\0\0\203\307(\245\245\245\245\213u\370\213\273X\1\0\0\203\306\20\203\3078\245\245\245\2453\366\203}\374\0t\10\377u\374\350\361\207\0\0\203}\370\0t\10\377u\370\350\343\207\0\0_\213\306^[\311\302\4\0\314\314\314\314\314\213\377U\213\354SV\213u\10W3\3333\3779\236X\1\0\0u\7\270\26\0\11\200\353T9]\14t(\377u\14\377\25\254\21\375\17\215|\0\2W\350\\207\0\0\213\330\205\333u\5j\10X\3531\377u\14S\377\25x\21\375\17\213\206X\1\0\0\213@H\205\300t\6P\350w\207\0\0\213\206X\1\0\0\211xL\213\206X\1\0\0\211XH3\300_^[]\302\10\0\314\314\314\314\314\213\377U\213\354SV\213u\10\205\366WtE\213\6\213M\14\213]\20\213}\24\211\1\213F\4\211\3\213\7\205\300t\6P\350*\207\0\0\3773\350\340\206\0\0\205\300\211\7u\5j\10X\353\27\213\13\213\370\213\301\301\351\2\203\306\10\363\245\213\310\203\341\3\363\2443\300_^[]\302\20\0\314\314\314\314\314\213\377U\213\354\203\354\24\213M\10\213\201X\1\0\0S3\3339] V\211]\374\213p\4\213E$W\211]\10\211\30t\7\307E\10\1\0\0\03\3009]\34\215}\354\253\253\253\253\307E\354\20\0\0\0t\329Y(\17\204\213\0\0\0\213\201X\1\0\0\215P\10\203\300\30\215", ) , ) == 0x0
 02322   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\0\0\213\2338\36\375\173\373\213\2318\37\375\173\373\213\2308\34\375\173\373\213\2328\35\375\173\373\213E\103\333\213U\143\3073\327%\374\374\374\374\201\342\317\317\317\317\212\330\212\314\301\312\4\213\2538\30\375\17\212\3323\365\213\2518\32\375\173\365\212\316\301\350\20\213\2538\31\375\173\365\212\334\301\352\20\213\2518\33\375\173\365\213l$\34\212\316%\377\0\0\0\201\342\377\0\0\0\213\2338\36\375\173\363\213\2318\37\375\173\363\213\2308\34\375\173\363\213\2328\35\375\173\363\213E\203\333\213U\243\3063\326%\374\374\374\374\201\342\317\317\317\317\212\330\212\314\301\312\4\213\2538\30\375\17\212\3323\375\213\2518\32\375\173\375\212\316\301\350\20\213\2538\31\375\173\375\212\334\301\352\20\213\2518\33\375\173\375\213l$\34\212\316%\377\0\0\0\201\342\377\0\0\0\213\2338\36\375\173\373\213\2318\37\375\173\373\213\2308\34\375\173\373\213\2328\35\375\173\373\213E\303\333\213U\343\3073\327%\374\374\374\374\201\342\317\317\317\317\212\330\212\314\301\312\4\213\2538\30\375\17\212\3323\365\213\2518\32\375\173\365\212\316\301\350\20\213\2538\31\375\173\365\212\334\301\352\20\213\2518\33\375\173\365\213l$\34\212\316%\377\0\0\0\201\342\377\0\0\0\213\2338\36\375\173\363\213\2318\37\375\173\363\213\2308\34\375\173\363\213\2328\35\375\173\363\213E 3\333\213U$3\3063\326%\374\374\374\374\201\342\317\317\317\317\212\330\212\314\301\312\4\213\2538\30\375\17\212\3323\375\213\2518\32\375\173\375\212\316\301\350\20\213\2538\31\375\173\375\212\334\301\352\20\213\2518\33\375\173\375\213l$\34\212\316%\377\0\0\0\201\342\377\0\0\0\213\2338\36\375\17", ) , ) == 0x0
 02323   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "D$ \205\300\17\204\31\7\0\0\213\307\367\320\213\357#\301#\352\3\330\213\6\3\335\3\330\301\350\20\213\357\3\3103\300f\321\303f\213\303#\350\203\360\377#\302\3\315\3\3103\300f\301\301\2f\213\301\213\350\203\360\377#\353#\307\3\320\213F\4\3\320\301\350\20\3\325\3\3703\300f\301\302\3f\213\302\213\350\203\360\377#\303#\351\3\370\3\375\203\306\10f\301\307\5\213\307\367\320\213\357#\301#\352\3\330\213\6\3\335\3\330\301\350\20\213\357\3\3103\300f\321\303f\213\303#\350\203\360\377#\302\3\315\3\3103\300f\301\301\2f\213\301\213\350\203\360\377#\353#\307\3\320\213F\4\3\320\301\350\20\3\325\3\3703\300f\301\302\3f\213\302\213\350\203\360\377#\303#\351\3\370\3\375\203\306\10f\301\307\5\213\307\367\320\213\357#\301#\352\3\330\213\6\3\335\3\330\301\350\20\213\357\3\3103\300f\321\303f\213\303#\350\203\360\377#\302\3\315\3\3103\300f\301\301\2f\213\301\213\350\203\360\377#\353#\307\3\320\213F\4\3\320\301\350\20\3\325\3\3703\300f\301\302\3f\213\302\213\350\203\360\377#\303#\351\3\370\3\375\203\306\10f\301\307\5\213\307\367\320\213\357#\301#\352\3\330\213\6\3\335\3\330\301\350\20\213\357\3\3103\300f\321\303f\213\303#\350\203\360\377#\302\3\315\3\3103\300f\301\301\2f\213\301\213\350\203\360\377#\353#\307\3\320\213F\4\3\320\301\350\20\3\325\3\3703\300f\301\302\3f\213\302\213\350\203\360\377#\303#\351\3\370\3\375\203\306\10f\301\307\5\213\307\367\320\213\357#\301#\352\3\330\213\6\3\335\3\330\301\350\20\213\357\3\3103\300f\321\303f\213\303#\350\203\360\377#\302\3\315\3\3103\300f\301\301\2f\213\301\213\350\203\360\377#\353#\307\3\320\213F\4\3\320", ) , ) == 0x0
 02324   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\345]\302\14\0\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\213\377U\213\354\213M\14\203\371\1\17\216\346\0\0\0\213E\10V\203\300\26IW\215\233\0\0\0\0\17\266p\374\213<\265XR\375\17\17\266P\375\213\24\225XV\375\17\17\266p\3733\327\213<\265XN\375\17\17\266p\3723\3273\24\265XJ\375\17\211P\372\17\266p\377\213<\265XN\375\17\17\266P\1\213\24\225XV\375\17\17\26603\327\213<\265XR\375\17\17\266p\3763\3273\24\265XJ\375\17\211P\376\17\266p\4\213<\265XR\375\17\17\266P\5\213\24\225XV\375\17\17\266p\33\327\213<\265XN\375\17\17\266p\23\3273\24\265XJ\375\17\211P\2\17\266p\10\17\266P\11\213<\265XR\375\17\17\266p\7\213\24\225XV\375\173\327\213<\265XN\375\17\17\266p\63\3273\24\265XJ\375\17\211P\6\203\300\20I\17\205+\377\377\377_^]\302\10\0\314\314\314\314\314\213\377U\213\354\203\354\30SV\213u\10\213\16W\213}\20\213\27\213_\4\213~\103\312\213V\4\213v\143\323\213]\203{\10\241\244B\377\17\211}\364\213\373\213_\14\17\266}\3663\363\213\34\275X1\375\17\211u\370\301\356\30\2134\265X5\375\173\363\17\266\37634\275X-\375\17\17\266\371\213\34\275X)\375\17\17\266}\3723\363\211E\374\213E\14\2110\213\34\275X1\375\17\213\361\301\356\30\2134\265X5\375\173\363\213]\364\211U\360\17\266\37734\275X-\375\17\17\266\322\213<\225X)\375\17\17\266U\3633\367\211p\4\213<\225X5\375\17\211M\354\17\266u\3563<\265X1\375\17\213U\370\17\266\3663<\265X-\375\17\17\266\363\213\34\265X)\375\17\17\266u\3673\373", ) , ) == 0x0
 02325   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "]\370\301\353\10\17\266\33334\235X-\375\17\17\266]\36434\235X)\375\17\17\266]\362\211p\10\17\266u\367\2134\265X5\375\1734\235X1\375\17\17\266\326\213\34\225X-\375\17\17\266U\3703\363\213\34\225X)\375\17\213U\3503\363\203\301@J\211p\14\211U\350\17\205\365\373\377\377\213\217\220\0\0\0\213\227\224\0\0\0\213\303P\4\213\267\230\0\0\03\3133p\10\213X\14\211u\364\213\267\234\0\0\03\363\211u\370\17\266\361\212\34\265Y)\375\17\210\30\17\266\366\212\34\265Y)\375\17\17\266u\366\210X\1\212\34\265Y)\375\17\213u\370\210X\2\211U\360\17\266\322\301\356\30\212\34\265Y)\375\17\210X\3\212\24\225Y)\375\17\210P\4\213U\364\17\266\366\212\34\265Y)\375\17\17\266u\372\210X\5\212\34\265Y)\375\17\210X\6\211M\354\17\266u\357\212\34\265Y)\375\17\210X\7\17\266\322\212\24\225Y)\375\17\210P\10\213U\370\17\266\366\212\34\265Y)\375\17\17\266u\356\210X\11\212\34\265Y)\375\17\17\266u\363\210X\12\212\34\265Y)\375\17\210X\13\213\30\213p\4\17\266\322\212\24\225Y)\375\17\210P\14\17\266\315\212\24\215Y)\375\17\17\266M\362\210P\15\212\24\215Y)\375\17\17\266M\367\210P\16\212\24\215Y)\375\17\210P\17\213\217\240\0\0\03\331\211\30\213\227\244\0\0\03\362\213P\10\211p\4\213\217\250\0\0\03\321\213H\14\211P\10\213\227\254\0\0\03\312_\211H\14\213M\374^[\350*\304\377\377\213\345]\302\14\0\314\314\314\314\314\314\314\314\314\314\314\314\213\377U\213\354\203\354\30\213U\24\213M\20\301\342\4S\213\34\12V\2154\12\213U\10\213\22W\213~\43\323\213]\103{\4\241\244B\377\17\211", ) , ) == 0x0
 02326   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\375\17\17\266\326\213<\225X=\375\17\213U\3643\367\17\266\37234\275X9\375\17\17\266}\362\211p\10\17\266u\357\2134\265XE\375\1734\275XA\375\17\17\266\326\213<\225X=\375\17\17\266\3233\36734\225X9\375\17\213U\350\203\351@J\211p\14\211U\350\17\205G\374\377\377\213M\20\213q\24\213Q\20\213x\43\20\213X\103\367\213x\14\211u\360\213q\303\363\211u\364\213q\343\367\211u\370\17\266\362\212\236XI\375\17\17\266u\371\210\30\212\236XI\375\17\17\266u\366\210X\1\212\236XI\375\17\213u\360\210X\2\211U\354\301\356\30\212\236XI\375\17\17\266u\360\210X\3\212\236XI\375\17\210X\4\17\266\326\212\222XI\375\17\210P\5\213U\370\301\352\20\17\266\322\212\222XI\375\17\210P\6\213U\364\301\352\30\212\222XI\375\17\210P\7\213U\364\17\266\362\212\236XI\375\17\17\266u\361\210X\10\212\236XI\375\17\17\266u\356\210X\11\212\236XI\375\17\17\266u\373\210X\12\212\236XI\375\17\17\266u\370\210X\13\212\236XI\375\17\213x\4\17\266\326\210X\14\212\222XI\375\17\213\30\213p\10\210P\15\17\266U\362\212\222XI\375\17\210P\16\17\266U\357\212\222XI\375\17\210P\17\213\213\332\211\30\213Q\43\372\211x\4\213Q\103\362\213P\14\211p\10\213I\14_3\321\213M\374^\211P\14[\350H\264\377\377\213\345]\302\14\0\314\314\314\314\314\314\314\314\314\314\213\377U\213\354\203}\24\1\213M\20\213\1uD\203\301\4\203\370\16u\22\213E\10Q\213M\14PQ\350\332\342\377\377]\302\20\0\203\370\12u\22\213U\10\213E\14QRP\350S\351\377\377]\302\20\0\213U\14PQ\213M\10QR\350 \337\377\377", ) , ) == 0x0
 02327   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\377v?SV\213u\10\212\142\17\266\301\213\330\301\353\4\17\266\233H(\375\17\203\340\17\17\266\200H(\375\17\3\330\201\343\1\0\0\200y\5K\203\313\376Cu\6\200\361\1\210\142B;\327r\310^[_]\302\10\0\314\314\314\314\314\314\314\314\314\314\314\314\314\213\377U\213\354V\213u\10W\213}\14WV\350\254\371\377\377\203\307\10W\215\206\200\0\0\0P\350\234\371\377\377\215\276\0\1\0\0\271 \0\0\0\363\245_^]\302\10\0\314\314\314\314\314\314\314\314\314\213\377U\213\354V\213u\14W\213}\10VW\350l\371\377\377\215F\10P\215\217\200\0\0\0Q\350\\371\377\377\203\306\20V\201\307\0\1\0\0W\350L\371\377\377_^]\302\10\0\314\314\314\314\314\314\213\377U\213\354\213E\24\215P\7\301\352\3\215\14\325\0\0\0\0+\310\270\377\0\0\0\323\370S\213]\20V\213u\14\213\313W\213}\10\210E\27\213\301\301\351\2\363\245\213\310\203\341\3\201\373\200\0\0\0\363\244}9\213M\10\277\1\0\0\0\276\200\0\0\0+\373\215D\31\377+\363\215\233\0\0\0\03\311\212\14\73\333\212\30\3\313\201\341\377\0\0\0\212\211 \27\375\17\210H\1@Nu\342\213u\10\17\266M\27\213\306+\302\17\266\270\200\0\0\0\5\200\0\0\0#\317\212\211 \27\375\17\210\10\271\177\0\0\0+\312x\37\215D1\1\215q\1\220\17\266L\2\377\17\26683\317\212\211 \27\375\17\210H\377HNu\351_^3\300[]\302\20\0\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\213L$\203\300\205\311v7W\213|$\14V\213t$\24SU\213\$\24+\376+\336\213\24>\213.\3\320\270\0\0\0\0\23\300\3\325\203\320\0\211\24\36\203\340\1\203\306\4Iu\341][^", ) , ) == 0x0
 02328   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\213\313\215\4\23\213\321\301\351\2\213\360\363\245\213\312\203\341\3\363\244\213u\370\213}\10\213\313\301\351\2\363\245\213\312\213U\360\203\341\3\363\244\213}\374\2154\23\213\313\213\321\301\351\2\363\245\213\312\213U\364\203\341\3\363\244\213\313\213\370\213\301\301\351\2\213\362\363\245\213\310\203\341\3\363\244\213}\370\3\323\213\362\213\313\213\321\301\351\2\363\245\213\312\213U\370\351\317\376\377\377\213E\14\213L\3\374\277\0\0\0\200\205\317t\14\213M\30VQPP\350%\361\377\377\213E\20\205|\3\374t\14\213U\24VRPP\350\20\361\377\377\213E\350\205\300^t\7P\377\25\250\21\375\17_\270\1\0\0\0[\213\345]\302\30\0_3\300[\213\345]\302\30\0\314\314\314\314\314\314\314\314\314\314\213\377U\213\354\201\354\220\0\0\0S\213]\10\213\3W3\377=RSA1\211}\374t\12_3\300[\213\345]\302\14\0\213C\10\321\350V\213\360\301\356\5F\250\37t\1F\213K\20\270\1\0\0\0;\310\215\146u\21\213u\14\213}\20\363\245^_[\213\345]\302\14\0\215C\24QP\211E\370\213E\14P\211M\10\350\223\363\377\377\205\300}b\301\346\3\201\376\210\0\0\0v\24Vj\0\377\25\364\20\375\17\205\300\211E\374tG\213\320\353\6\215\225p\377\377\3773\300\213\316\301\351\2\213\372\363\253\213\316\203\341\3\363\252\213K\20\213E\10P\213E\20\211\12\213M\370QR\213U\14RP\350\355\20\0\0\213\370\213E\374\205\300t\7P\377\25\250\21\375\17^\213\307_[\213\345]\302\14\0\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\213\377U\213\354\203\354(V\213u\10\201>RSA2u\16\215E\330PV\350\22\6\0\0\205\300u\113\300^\213\345]\302\14\0\213N\10\321\351", ) , ) == 0x0
 02329   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "u\325_^[]\302\14\0\314\314\314\314\314\314\314\314\314\314\314\213\377U\213\354Q\213E\20\205\300VW\17\204\374\0\0\0\213}\14\2154\205\0\0\0\0\213L>\374\205\311\17\204\346\0\0\0\215\14v\215T\301\4Rj\0\377\25\364\20\375\17\205\300\211E\374\17\204\313\0\0\0\215\140S\213]\10\211K\10\3\316\211K\14\3\316\211K\20\213\316\211C\4\213\367\213\370\213\301\301\351\2\363\245\213\310\203\341\3\363\244\213u\20\213K\4\301\346\2\213D\16\374\277\0\0\0\200\205\307u\30\213C\4\213U\20RPPP\350\14\341\377\377\213C\4\205|\6\374t\350\213{\20\215N\4\213\321\301\351\23\300\363\253\213\312\203\341\3\363\252\213C\20\213}\14\307D0\4\1\0\0\0\213u\20\213S\10\213C\20V\215N\2QRWP\350\351\345\377\377\205\300u\25\213M\374Q\377\25\250\21\375\17[_3\300^\213\345]\302\14\0\213S\10\213C\14VRWP\350\345\340\377\377\2113[_\270\1\0\0\0^\213\345]\302\14\0_3\300^\213\345]\302\14\0\314\314\314\314\314\314\314\213\377U\213\354\203\354\10\213E\10\213H\10\213P\14SV\213u\14W\2138\213@\4\211E\10\215\\276\3703\300;\336\211M\374\211U\370r'\220\213L\273\4;\310Ws\11\213U\374R+\301P\353\7\213U\370R+\310QS\350a\375\377\377\203\353\4;\336s\332\215\34\275\0\0\0\0\213\143;\310s!+\310\211\143\215\244$\0\0\0\0\213E\10WP\215F\4PP\350\1\340\377\377\205\300t\355\353&+\310\211\143\213M\10W\215F\4QP\350\10\343\377\377\205\300|\17\213U\10WR\215F\4PP\350\31\340\377\377\213E\10\213L3\374\213\243WP\213D\3\374PQR\350E", ) , ) == 0x0
 02330   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\253\253\253\2533\300\203e\374\0\215}\364\253\2533\300\215}\354\253\253\215E\374\211E\370\215E\354Pj\0\215E\324Pj\0\215E\344Ph4]\375\17\215E\364P\307E\324\20\0\0\0\307E\364\4\0\0\0\307E\344\21\0\0\0\307E\350 ]\375\17\350\273\371\377\377\203}\360\0\213\370t\11\377u\360\377\25\250\21\375\17\213\307_\311\303\314\314\314\314\314\213\377U\213\354\203\354(3\300VW\215}\330\253\253\253\2533\300\215}\360\253\2533\300\215}\370\2533\3119M\14j\4\253Xt\2\213\310\211E\360\215E\10\211E\364\215E\370PQ\215E\330Pj\0\215E\350Ph4]\375\17\215E\360P\307E\330\20\0\0\0\307E\350\21\0\0\0\307E\354 ]\375\17\3508\371\377\377\205\300t\4\213\360\3533\377u\370\350b\367\377\377\205\300\213U\20\211\2u\5j\10^\353\35\213M\370\213E\24\213u\374\211\10\213:\213\301\301\351\2\363\245\213\310\203\341\3\363\2443\366\203}\374\0t\11\377u\374\377\25\250\21\375\17_\213\306^\311\302\20\0\314\314\314\314\314\213\377U\213\354\203\354(W3\300\215}\330\253\253\253\2533\300\215}\360\253\2533\300\215}\350\253\2533\300\215}\370\2533\3119M\10\253t\3j\4Y\213E\20\211E\360\213E\14j\0\211E\364\215E\350PQ\215E\330Pj\0\215E\370Pj\0\215E\360P\307E\330\20\0\0\0\307E\370\21\0\0\0\307E\374 ]\375\17\350\343\370\377\377\205\300\213M\354t\4\213\370\353\26\203}\350\4t\7\277\26\0\11\200\353\11\213\1\213U\24\211\23\377\205\311t\7Q\377\25\250\21\375\17\213\307_\311\302\20\0\314\314\314\314\314\213\377U\213\354\203\354 \241\244B\377\17S3\333VW\2135D\20\375\17\213}\10\211E\374", ) , ) == 0x0
 02331   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\363\2443\300_^[\311\302\14\0\314\314\314\314\314\213\377U\213\354\203\3548\241\244B\377\17\213M S\213]\34V\2135 \21\375\17W3\377WS\377u\30\211E\374\213E\14W\377u\24\211E\320\377u\20\211M\314P\211}\330\211}\324\377\326\203\370\377\17\205\246\0\0\0\377\25\310\21\375\179}\10\17\204\223\0\0\0\211E\310\215E\330Pj\10\3508\351\377\377;\307uxj\103\300\366E\23\200Y\215}\334\363\253\215E\344\307E\334\1\0\0\0Pt\7hx^\375\17\353\5hd^\375\17j\0\377\25p\20\375\173\377;\307t=\215E\324P\215E\334P\377u\330\307E\354\2\0\0\0\377\25l\20\375\17\205\300t!9}\324t&W\201\313\0\0\0\2S\377u\30W\377u\24\377u\20\377u\320\377\326\203\370\377u\23\377\25\310\21\375\17\213\360\353\20\213u\310\353\13\213\360\353\26\213M\314\211\13\366\203}\330\0t\11\377u\330\377\25\370\20\375\17\213M\374_\213\306^[\350\273d\377\377\311\302\34\0\314\314\314\314\314\213\377U\213\354QQSV\213u\30\203\16\377Wj\33\3773\333\366E\17\200X\211}\374\211E\370t\4C\211E\370\366E\17@t\12j\4X3\333\211E\370\213\370\215E\374P\377u\24\377u\20\350&\376\377\377\205\300ufV\201\317\0\0\0\10W\377u\370S\377u\14\377u\374\377u\10\350\202\376\377\377\205\300t:3\366\203\370 t\5\203\370\5u2\203\376\30s-\377\266\364B\377\17\377\25\20\21\375\17\377u\30\203\306\4W\377u\370S\377u\14\377u\374\377u\10\350H\376\377\377\205\300u\3103\366\353\14\203\370\2\276\26\0\11\200t\2\213\360\203}\374\0t\10\377u\374\350\244\346\377\377_\213\306^[\311\302\24\0\314", ) , ) == 0x0
 02332   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "6\377\327\205\300\17\204\316\0\0\09]\14u\109\235\234\375\377\377tL\215\205\244\375\377\377P\350\14\335\377\377;\303\17\205\277\0\0\09\235\244\375\377\377u\32\276 \0\11\200\353g\215\205\254\375\377\377P\3776\377\327\205\300\17\204\213\0\0\0\377\265\244\375\377\377\215\205\330\375\377\377P\350"\376\377\377\205\300t\327\377\265\224\375\377\377\215\205\330\375\377\377\377\265\230\375\377\377\377\265\250\375\377\377P\377u\14\350\345\373\377\377;\303\17\205k\377\377\3773\3669\235\244\375\377\377t\13\377\265\244\375\377\377\350\354\327\377\3779\235\250\375\377\377t\13\377\265\250\375\377\377\350\331\327\377\3779\235\240\375\377\377t\13\377\265\240\375\377\377\350\306\327\377\377\213M\374_\213\306^[\350\7U\377\377\311\302\30\0\377\25\310\21\375\17\203\370\22u\7\276\3\1\0\0\353\244\213\360\353\240\314\314\314\314\314\213\377U\213\354\201\354(\4\0\0\241\244B\377\17S\213]\14V\2135\24\21\375\17W3\322RR\211E\374\213E\10j\377\211\205\330\373\377\377\213E\30S\211\205\334\373\377\377j\23\300\271\5\1\0\0\215\275\350\373\377\377R\211\225\340\373\377\377\363\253\377\326\213\370\205\377u\15\377\25\310\21\375\17\213\360\351\251\0\0\0\215G\1=\12\2\0\0v(\215D?\2P\350\336\326\377\377\205\300\211\205\344\373\377\377u\10j\10^\351\203\0\0\0\307\205\340\373\377\377\1\0\0\0\353\14\215\205\350\373\377\377\211\205\344\373\377\377W\377\265\344\373\377\377j\377Sj\2j\0\377\326\205\300u\12\377\25\310\21\375\17\213\360\3530\377\265\334\373\377\377\377u\24\377u\20\377\265\344\373\377\377\377\265\330\373\377\377\377\25t\20\375\17\205\300t\14\203\370\2u\325\276\26\0\11\200\353\23\366\203\275\340\373\377\377\0t\24\203\275\344\373\377\377", ) \376\377\377\205\300t\327\377\265\224\375\377\377\215\205\330\375\377\377\377\265\230\375\377\377\377\265\250\375\377\377P\377u\14\350\345\373\377\377;\303\17\205k\377\377\3773\3669\235\244\375\377\377t\13\377\265\244\375\377\377\350\354\327\377\3779\235\250\375\377\377t\13\377\265\250\375\377\377\350\331\327\377\3779\235\240\375\377\377t\13\377\265\240\375\377\377\350\306\327\377\377\213M\374_\213\306^[\350\7U\377\377\311\302\30\0\377\25\310\21\375\17\203\370\22u\7\276\3\1\0\0\353\244\213\360\353\240\314\314\314\314\314\213\377U\213\354\201\354(\4\0\0\241\244B\377\17S\213]\14V\2135\24\21\375\17W3\322RR\211E\374\213E\10j\377\211\205\330\373\377\377\213E\30S\211\205\334\373\377\377j\23\300\271\5\1\0\0\215\275\350\373\377\377R\211\225\340\373\377\377\363\253\377\326\213\370\205\377u\15\377\25\310\21\375\17\213\360\351\251\0\0\0\215G\1=\12\2\0\0v(\215D?\2P\350\336\326\377\377\205\300\211\205\344\373\377\377u\10j\10^\351\203\0\0\0\307\205\340\373\377\377\1\0\0\0\353\14\215\205\350\373\377\377\211\205\344\373\377\377W\377\265\344\373\377\377j\377Sj\2j\0\377\326\205\300u\12\377\25\310\21\375\17\213\360\3530\377\265\334\373\377\377\377u\24\377u\20\377\265\344\373\377\377\377\265\330\373\377\377\377\25t\20\375\17\205\300t\14\203\370\2u\325\276\26\0\11\200\353\23\366\203\275\340\373\377\377\0t\24\203\275\344\373\377\377", ) == 0x0
 02333   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\353U\215E\10P\215E\374PS\350\11\375\377\377\205\300t\4\213\360\3531\213}\30\205\377\213M\10\213E\34u\4\211\10\353\369\10\211\10s\7\276\352\0\0\0\353\23\213u\374\213\301\301\351\2\363\245\213\310\203\341\3\363\2443\366\203}\374\0t\10\377u\374\3507\310\377\377\205\333t\6S\350-\310\377\377[\203}\370\0t\10\377u\370\350\36\310\377\377\203}\364\0t\10\377u\364\350\20\310\377\377_\213\306^\311\302\30\0\314\314\314\314\314\213\377U\213\354V\213u\10\205\366t\24\213F\4\205\300t\7P\377\25\244\21\375\17V\350\342\307\377\377^]\302\4\0\314\314\314\314\314h4\1\0\0hx_\375\17\350\303G\377\377\241\244B\377\17\211E\344\213E\10\211\205\274\376\377\3773\333\211\235\330\376\377\377\211\235\304\376\377\377\211\235\300\376\377\377\211\235\324\376\377\377\211\235\314\376\377\377\211]\374\215\205\324\376\377\377Ph\31\0\2\0ShP_\375\17h\2\0\0\200\377\25\224\20\375\17\211\205\310\376\377\377;\303\17\205\341\0\0\0\307\205\320\376\377\377\5\1\0\0\215\205\320\376\377\377P\215\205\334\376\377\377PSS\277D_\375\17W\377\265\324\376\377\377\2135\300\20\375\17\377\326\211\205\310\376\377\377;\303tL=\352\0\0\0\17\205\236\0\0\0\377\265\320\376\377\377\350\331\306\377\377\211\205\330\376\377\377;\303\17\204\205\0\0\0\307\205\304\376\377\377\1\0\0\0\215\215\320\376\377\377QPSSWh\2\0\0\200\377\326\211\205\310\376\377\377;\303t\16\353]\215\205\334\376\377\377\211\205\330\376\377\377j\14_W\350\216\306\377\377\213\360\211\265\300\376\377\377;\363t<\211>SS\377\265\330\376\377\377\377\25H\21\375\17\211F\4;\303t%h4_\375\17P\377\25\234\21\375\17\211F\10;\303t\22\213", ) , ) == 0x0
 02334   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\350\307E\334\10\0\0\0\377u\330\350~\270\377\377\203M\374\3773\3779}\340t\11\377u\340\377\25\304\20\375\17\213E\334\350\2278\377\377\303\314\314\314\314\314\213\377U\213\354\213M\20\205\311\213E\14V\213u\10u\10\213H$\211N\30\353\6\213P$\211Q$P\350\310\375\377\377\377N$^]\302\14\0\314\314\314\314\314\213\377U\213\354\213U\10\213B\30VW3\3663\3113\377\205\300t#S\205\311t\10\213X ;Y s\4\213\310\213\376\213\360\213@$\205\300u\347WQR\350\223\377\377\377[_^]\302\4\0\314\314\314\314\314\213\377U\213\354VW\377\25l\21\375\17\213U\10\213J,\213u\14\213\3703\300@\203\371\377t\27S\213\337+^ ;\331[v\14\377u\20VR\350R\377\377\3773\300\211~ _^]\302\14\0\314\314\314\314\314\213\377U\213\354QQ\213E\10S\213X\30W3\300\215}\370\253\253\213E\24\203 \0\215E\370P\350\235\266\377\377\205\300t\43\300\353}\205\333twV\213C\24;E\20uI\213s\20\213}\14\212\17\212\301:\16u\32\204\300t\22\212O\1\212\301:N\1u\14GGFF\204\300u\3423\300\353\5\33\300\203\330\377\205\300u\30j\10Y\215{\30\215u\3703\300\363\246t\5\33\300\203\330\377\205\300t\14\213E\24\211\30\213[$\205\333u\243\205\333^t\24\213E\24\3770S\377u\10\350\31\377\377\377\205\300u\23\333\213\303_[\311\302\20\0\314\314\314\314\314\213\377U\213\354QVW\213}\10\213w\30\203e\10\0\377\25l\21\375\17\211E\374+G\349G(w2\205\366t(S\213E\374+F 9G(s\21\377u\10\213^$VW\350M\376\377\377\213\363\353\6\211u\10\213v$\205\366u\332[", ) , ) == 0x0
 02335   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "D\22\2\0\236\21\2\0\252\21\2\0\266\21\2\0\300\21\2\0\316\21\2\0\334\21\2\0\350\21\2\0\372\21\2\0\16\22\2\0"\22\2\00\22\2\0<\26\2\0\0\0\0\0r\21\2\0V\21\2\0B\21\2\0.\21\2\0\24\21\2\0\376\20\2\0\272\22\2\0\322\22\2\0\342\22\2\0\360\22\2\0\376\22\2\0\22\23\2\0\36\23\2\00\23\2\0>\23\2\0J\23\2\0R\23\2\0h\23\2\0x\23\2\0\216\23\2\0\234\23\2\0\260\23\2\0\274\23\2\0\312\23\2\0\330\23\2\0\352\23\2\0\372\23\2\0\20\24\2\0&\24\2\06\24\2\0H\24\2\0Z\24\2\0j\24\2\0z\24\2\0\206\24\2\0\220\24\2\0\242\24\2\0\350\20\2\0\330\20\2\0\276\20\2\0\240\20\2\0\224\20\2\0x\20\2\0b\20\2\0J\20\2\0:\20\2\0.\20\2\0"\20\2\0\6\20\2\0\366\17\2\0\344\17\2\0\330\17\2\0\312\17\2\0\276\17\2\0\262\17\2\0\240\17\2\0\210\17\2\0p\17\2\0d\17\2\0X\17\2\0H\17\2\08\17\2\0\0\0\0\0\216\25\2\0\202\25\2\0v\25\2\0\0\0\0\0\364\16\2\0\376\16\2\0\6\17\2\0\22\17\2\0\34\17\2\0\326\24\2\0\314\24\2\0\302\24\2\0\270\24\2\0\256\24\2\0\340\16\2\0\0\0\0\0\376\24\2\0\10\25\2\0\26\25\2\0&\25\2\0F\25\2\0X\25\2\0\346\24\2\0\0\0\0\0\355\0_except_handler3\0\0\372\1_strlwr\0\245\2free\0\0;\1_initterm\0\330\2malloc\0\0\266\0_adjust_fdiv\0\0msvcrt.dll\0\0h\1GetLas", ) \22\2\00\22\2\0<\26\2\0\0\0\0\0r\21\2\0V\21\2\0B\21\2\0.\21\2\0\24\21\2\0\376\20\2\0\272\22\2\0\322\22\2\0\342\22\2\0\360\22\2\0\376\22\2\0\22\23\2\0\36\23\2\00\23\2\0>\23\2\0J\23\2\0R\23\2\0h\23\2\0x\23\2\0\216\23\2\0\234\23\2\0\260\23\2\0\274\23\2\0\312\23\2\0\330\23\2\0\352\23\2\0\372\23\2\0\20\24\2\0&\24\2\06\24\2\0H\24\2\0Z\24\2\0j\24\2\0z\24\2\0\206\24\2\0\220\24\2\0\242\24\2\0\350\20\2\0\330\20\2\0\276\20\2\0\240\20\2\0\224\20\2\0x\20\2\0b\20\2\0J\20\2\0:\20\2\0.\20\2\0 (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "D\22\2\0\236\21\2\0\252\21\2\0\266\21\2\0\300\21\2\0\316\21\2\0\334\21\2\0\350\21\2\0\372\21\2\0\16\22\2\0"\22\2\00\22\2\0<\26\2\0\0\0\0\0r\21\2\0V\21\2\0B\21\2\0.\21\2\0\24\21\2\0\376\20\2\0\272\22\2\0\322\22\2\0\342\22\2\0\360\22\2\0\376\22\2\0\22\23\2\0\36\23\2\00\23\2\0>\23\2\0J\23\2\0R\23\2\0h\23\2\0x\23\2\0\216\23\2\0\234\23\2\0\260\23\2\0\274\23\2\0\312\23\2\0\330\23\2\0\352\23\2\0\372\23\2\0\20\24\2\0&\24\2\06\24\2\0H\24\2\0Z\24\2\0j\24\2\0z\24\2\0\206\24\2\0\220\24\2\0\242\24\2\0\350\20\2\0\330\20\2\0\276\20\2\0\240\20\2\0\224\20\2\0x\20\2\0b\20\2\0J\20\2\0:\20\2\0.\20\2\0"\20\2\0\6\20\2\0\366\17\2\0\344\17\2\0\330\17\2\0\312\17\2\0\276\17\2\0\262\17\2\0\240\17\2\0\210\17\2\0p\17\2\0d\17\2\0X\17\2\0H\17\2\08\17\2\0\0\0\0\0\216\25\2\0\202\25\2\0v\25\2\0\0\0\0\0\364\16\2\0\376\16\2\0\6\17\2\0\22\17\2\0\34\17\2\0\326\24\2\0\314\24\2\0\302\24\2\0\270\24\2\0\256\24\2\0\340\16\2\0\0\0\0\0\376\24\2\0\10\25\2\0\26\25\2\0&\25\2\0F\25\2\0X\25\2\0\346\24\2\0\0\0\0\0\355\0_except_handler3\0\0\372\1_strlwr\0\245\2free\0\0;\1_initterm\0\330\2malloc\0\0\266\0_adjust_fdiv\0\0msvcrt.dll\0\0h\1GetLas", ) , ) == 0x0
 02336   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\225\13#\305r\230\235IzFN\341\346/\306c!\217f\334\233\314\342'\3'\205\360:\2\373@\0\0\0\0Qt\366\362#\354\241vUX\7q\277\177\12\36kHH\273\222\266*\261\7\244!\321\306\313_@\316\335\272\333\374\27\373\247\275\341\364c\330\236\211\342\335z\354\21\326\251\234\272\307^5\226\246o\177,\0\0\0\0\0\0\0\0RSA1H\0\0\0\0\2\0\0?\0\0\0\1\0\1\0\357L\154\317D\17\261s\254\324\233\276\314-\21*+\275!\4\216\254\255\325\374\322P\245\33C\25bg\217^\0\271%\33\342O\276\241P\241D;\27\330\221\365(\371\372\256\347\300\375\271\315vO\0\0\0\0\0\0\0\0\270/k\211\310\354\364\376\13\360m*\332?\303\350\226\202\205\353\256\1\24s\371\10E\300jm>i\200j\14a\212c\322\373\0\0\0\334\356L\371,\0\0\0\3618)\311\336\0\0\0\224Vx\220\253\315\357YE\232\371'\204t\312\325Xu\22\316\357w\223{\230\337\235\242\334{z\235\223\216\366|\1^\353\1#\4g\10\253\15\357Now is t\254\227M\331\2\23\210,G\334\360\23\177\245\3262\1#Eg\211\253\315\357Now is t?\244\16\212\230MH\25\345\307\315\336\207+\362|\1#Eg\211\253\315\357#Eg\211\253\315\357\1Eg\211\253\315\357\1#Now is t1O\203'\372z\11\250\363\300\377\2l\20\211\1#Eg\211\253\315\357#Eg\211\253\315\357\1Now is t\267\203Wy\356&\254\267\23K\230\370\356\263\366\7\0\1\2\3\4\5\6\7\10\11\12\13\14\15\16\17\0\1\2\3\4\5\6\7\10\11\12\13\14\15\16\17\12\224\13\265An\360E\361\303\224X\306S\352Z", ) , ) == 0x0
 02337   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "age Authentication Code\0\0\0\0\0\0\0\0\0\0\0\0\0\0$\0\0\0\4\0\0\200\1\0\0\0@\0\00\0\0\0\11\0\0\0RSA_SIGN\0\0\0\0\0\0\0\0\0\0\0\0\16\0\0\0RSA Signature\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\244\0\0\0\4\0\0\200\1\0\0\0@\0\00\0\0\0\11\0\0\0RSA_KEYX\0\0\0\0\0\0\0\0\0\0\0\0\21\0\0\0RSA Key Exchange\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\11\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\5\0\0\0HMAC\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\22\0\0\0Hugo's MAC (HMAC)\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\2f\0\0\200\0\0\0(\0\0\0\200\0\0\0\0\0\0\0\4\0\0\0RC2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\30\0\0\0RSA Data Security's RC2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1h\0\0\200\0\0\0(\0\0\0\200\0\0\0\0\0\0\0\4\0\0\0", ) , ) == 0x0
 02338   896   NtReadFile  (136, 0, 0, 0, 1924, 0x0, 0, ... {status=0x0, info=1924},  (136, 0, 0, 0, 1924, 0x0, 0, ... {status=0x0, info=1924}, " \1\0\0\0\0\0\0\14\0\0\0SSL3 SHAMD5\0\0\0\0\0\0\0\0\0\14\0\0\0SSL3 SHAMD5\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0$\0\0\0\4\0\0\200\1\0\0\0@\0\0 \0\0\0\11\0\0\0RSA_SIGN\0\0\0\0\0\0\0\0\0\0\0\0\16\0\0\0RSA Signature\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\10$\377\17\200(\377\17\250-\377\17\09\377\17\340?\377\17\3202\377\17\20\244\37M\331o\320\21\214X\0\300O\331\22k\21\244\37M\331o\320\21\214X\0\300O\331\22k\22\244\37M\331o\320\21\214X\0\300O\331\22k0\214\7\212U7\320\21\240\275\0\252\0aBj\277D\377\377@\273\0\0\0\0\0\0\0\0\0\0\0\0\0\0\320[\375\17\324[\375\17\330[\375\17\334[\375\17\340[\375\17\350[\375\17\360[\375\17\370[\375\17\0\\375\17\14\\375\17\30\\375\17$\\375\170\\375\17@\\375\17P\\375\17`\\375\17\1\0\0\0\12\0\0\0d\0\0\0\364\1\0\0\350\3\0\0\210\23\0\0\0\0\0\0\355\11\377\17\10\12\377\17\0\0\0\0\357\6\377\17\0\0\0\0\333\6\377\17\300\6\377\17\345\6\377\17\0\0\0\0\22\12\377\17\0\0\0\0\310\11\377\17", ) , ) == 0x0
 02339   896   NtQueryInformationFile  (136, 456032, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 02340   896   NtSetInformationFile  (136, 456032, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 02341   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\0\1\0\0H\1\0\0\217-l#\214\27<\361\0\07\0C\0A\0P\0I\0:\0 \0T\0h\0e\0 \0i\0n\0s\0t\0a\0l\0l\0 \0p\0r\0o\0g\0r\0a\0m\0 \0c\0o\0u\0l\0d\0 \0n\0o\0t\0 \0o\0p\0e\0n\0 \0s\0i\0g\0n\0a\0t\0u\0r\0e\0 \0f\0i\0l\0e\0?\0C\0A\0P\0I\0:\0 \0T\0h\0e\0 \0i\0n\0s\0t\0a\0l\0l\0 \0p\0r\0o\0g\0r\0a\0m\0 \0c\0o\0u\0l\0d\0 \0n\0o\0t\0 \0g\0e\0t\0 \0t\0h\0e\0 \0s\0i\0z\0e\0 \0o\0f\0 \0R\0s\0a\0b\0a\0s\0e\0.\0s\0i\0g\03\0C\0A\0P\0I\0:\0 \0T\0h\0e\0 \0i\0n\0s\0t\0a\0l\0l\0 \0p\0r\0o\0g\0r\0a\0m\0 \0c\0o\0u\0l\0d\0 \0n\0o\0t\0 \0a\0l\0l\0o\0c\0a\0t\0e\0 \0m\0e\0m\0o\0r\0y\04\0C\0A\0P\0I\0:\0 \0T\0h\0e\0 \0i\0n\0s\0t\0a\0l\0l\0 \0p\0r\0o\0g\0r\0a\0m\0 \0c\0o\0u\0l\0d\0 \0n\0o\0t\0 \0R\0e\0a\0d\0 \0R\0s\0a\0b\0a\0s\0e\0.\0s\0i\0g\05\0C\0A\0P\0I\0:\0 \0T\0h\0e\0 \0i\0n\0s\0t\0a\0", ) , ) == 0x0
 02342   896   NtReadFile  (136, 0, 0, 0, 2720, 0x0, 0, ... {status=0x0, info=2720},  (136, 0, 0, 0, 2720, 0x0, 0, ... {status=0x0, info=2720}, "\3047\3247\3427\3607\28\178\358+8\2208\3138\3258\3378\3518\09\79\279$9=9D9Q9\9n9u9\1779\2119\3129\3279\3479\3619\10:\17:\37:*:A:H:X:c:u:|:\206:\223:\316:\333:\353:\365:\14;\23;#;.;B;I;Y;d;v;};\207;\224;\317;\331;\351;\363;\7<\24<$\30>(>6>G>T>d>r>\200>\222>\237>\255>\273>;?]?j?t?~?\226?\247?\256?\275?\323?\332?\341?\360?\0p\1\0\324\1\0\0\20\110\230\370q0x0\2020\2140\2360\2570\2660\3050\3330\3420\3510\3700\121\211\331'1n1z1\2071\2311\2461\2621\3041\3231\3421\3571\3741\112\262%272D2\2732\3422\3512\3632\3752\303&3-373E3R3a3o3\2033\2123\2263\2403\3533\3623\3743\64\304&404?4R4Y4c4r4\2044\2134\2254\2374\3324\3474\3614\3734\165\255\375,5B5I5P5]5o5v5\2005\2125\3035\3125\3245\3365\3645\3735\106\276&616;6H6Z6a6k6u6\2546\2636\2756\3076\3316\3526\3616\07\237\327$737E7L7V7b7\2477\2637\3007\3227\3377\3537\3757\148\338(858", ) , ) == 0x0
 02343   896   NtUnmapViewOfSection  (-1, 0x950000, ... ) == 0x0
 02344   896   NtClose  (140, ... ) == 0x0
 02345   896   NtClose  (136, ... ) == 0x0
 02346   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "rsaenh.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02347   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\u:\work\rsaenh.dll"}, 454784, ... ) }, 454784, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02348   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\rsaenh.dll"}, 454784, ... ) }, 454784, ... ) == 0x0
 02349   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\rsaenh.dll"}, 5, 96, ... 136, {status=0x0, info=1}, ) }, 5, 96, ... 136, {status=0x0, info=1}, ) == 0x0
 02350   896   NtCreateSection  (0xf, 0x0, 0x0, 16, 16777216, 136, ... 140, ) == 0x0
 02351   896   NtQuerySection  (140, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 02352   896   NtClose  (136, ... ) == 0x0
 02353   896   NtMapViewOfSection  (140, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0xffd0000), 0x0, 163840, ) == 0x0
 02354   896   NtClose  (140, ... ) == 0x0
 02355   896   NtProtectVirtualMemory  (-1, (0xffd1000), 560, 4, ... (0xffd1000), 4096, 32, ) == 0x0
 02356   896   NtProtectVirtualMemory  (-1, (0xffd1000), 4096, 32, ... (0xffd1000), 4096, 4, ) == 0x0
 02357   896   NtFlushInstructionCache  (-1, 268242944, 560, ... ) == 0x0
 02358   896   NtProtectVirtualMemory  (-1, (0xffd1000), 560, 4, ... (0xffd1000), 4096, 32, ) == 0x0
 02359   896   NtProtectVirtualMemory  (-1, (0xffd1000), 4096, 32, ... (0xffd1000), 4096, 4, ) == 0x0
 02360   896   NtFlushInstructionCache  (-1, 268242944, 560, ... ) == 0x0
 02361   896   NtProtectVirtualMemory  (-1, (0xffd1000), 560, 4, ... (0xffd1000), 4096, 32, ) == 0x0
 02362   896   NtProtectVirtualMemory  (-1, (0xffd1000), 4096, 32, ... (0xffd1000), 4096, 4, ) == 0x0
 02363   896   NtFlushInstructionCache  (-1, 268242944, 560, ... ) == 0x0
 02364   896   NtProtectVirtualMemory  (-1, (0xffd1000), 560, 4, ... (0xffd1000), 4096, 32, ) == 0x0
 02365   896   NtProtectVirtualMemory  (-1, (0xffd1000), 4096, 32, ... (0xffd1000), 4096, 4, ) == 0x0
 02366   896   NtFlushInstructionCache  (-1, 268242944, 560, ... ) == 0x0
 02367   896   NtProtectVirtualMemory  (-1, (0xffd1000), 560, 4, ... (0xffd1000), 4096, 32, ) == 0x0
 02368   896   NtProtectVirtualMemory  (-1, (0xffd1000), 4096, 32, ... (0xffd1000), 4096, 4, ) == 0x0
 02369   896   NtFlushInstructionCache  (-1, 268242944, 560, ... ) == 0x0
 02370   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rsaenh.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02371   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\u:\work\crypt32.dll"}, 453416, ... ) }, 453416, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02372   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\crypt32.dll"}, 453416, ... ) }, 453416, ... ) == 0x0
 02373   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 454184,  (0x80100080, {24, 0, 0x40, 0, 454184, "\??\C:\WINDOWS\system32\crypt32.dll"}, 0x0, 0, 5, 1, 96, 0, 0, ... 140, {status=0x0, info=1}, ) }, 0x0, 0, 5, 1, 96, 0, 0, ... 140, {status=0x0, info=1}, ) == 0x0
 02374   896   NtCreateSection  (0xf0005, 0x0, 0x0, 2, 134217728, 140, ... 136, ) == 0x0
 02375   896   NtClose  (140, ... ) == 0x0
 02376   896   NtMapViewOfSection  (136, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 2, ... (0x950000), {0, 0}, 598016, ) == 0x0
 02377   896   NtClose  (136, ... ) == 0x0
 02378   896   NtAllocateVirtualMemory  (-1, 577536, 0, 20480, 4096, 4, ... 577536, 20480, ) == 0x0
 02379   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02380   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02381   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02382   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02383   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02384   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02385   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02386   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02387   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02388   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02389   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02390   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02391   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02392   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02393   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02394   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02395   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02396   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02397   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02398   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02399   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02400   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02401   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02402   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02403   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02404   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02405   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02406   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02407   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02408   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02409   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02410   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02411   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02412   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02413   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02414   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02415   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02416   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02417   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02418   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02419   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02420   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02421   896   NtQueryDefaultLocale  (1, 453668, ... ) == 0x0
 02422   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x92000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02423   896   NtUnmapViewOfSection  (-1, 0x950000, ... ) == 0x0
 02424   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\rsaenh.dll"}, 453644, ... ) }, 453644, ... ) == 0x0
 02425   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 454420,  (0x80100080, {24, 0, 0x40, 0, 454420, "\??\C:\WINDOWS\system32\rsaenh.dll"}, 0x0, 0, 3, 1, 96, 0, 0, ... 136, {status=0x0, info=1}, ) }, 0x0, 0, 3, 1, 96, 0, 0, ... 136, {status=0x0, info=1}, ) == 0x0
 02426   896   NtQueryVolumeInformationFile  (136, 454604, 8, Device, ... {status=0x0, info=8}, ) == 0x0
 02427   896   NtQueryInformationFile  (136, 454472, 40, Basic, ... {status=0x0, info=40}, ) == 0x0
 02428   896   NtQueryInformationFile  (136, 454776, 24, Standard, ... {status=0x0, info=24}, ) == 0x0
 02429   896   NtClose  (136, ... ) == 0x0
 02430   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\rsaenh.dll"}, 453124, ... ) }, 453124, ... ) == 0x0
 02431   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 453900,  (0x80100080, {24, 0, 0x40, 0, 453900, "\??\C:\WINDOWS\system32\rsaenh.dll"}, 0x0, 0, 3, 1, 96, 0, 0, ... 136, {status=0x0, info=1}, ) }, 0x0, 0, 3, 1, 96, 0, 0, ... 136, {status=0x0, info=1}, ) == 0x0
 02432   896   NtQueryVolumeInformationFile  (136, 454084, 8, Device, ... {status=0x0, info=8}, ) == 0x0
 02433   896   NtQueryInformationFile  (136, 453952, 40, Basic, ... {status=0x0, info=40}, ) == 0x0
 02434   896   NtCreateSection  (0xf0005, 0x0, 0x0, 2, 134217728, 136, ... 140, ) == 0x0
 02435   896   NtMapViewOfSection  (140, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 2, ... (0x950000), {0, 0}, 155648, ) == 0x0
 02436   896   NtQueryDefaultLocale  (1, 454136, ... ) == 0x0
 02437   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x26000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02438   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x26000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02439   896   NtQueryDefaultLocale  (1, 454136, ... ) == 0x0
 02440   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x26000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02441   896   NtQueryVirtualMemory  (-1, 0x950000, Basic, 28, ... {BaseAddress=0x950000,AllocationBase=0x950000,AllocationProtect=0x2,RegionSize=0x26000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 02442   896   NtReadFile  (136, 0, 0, 0, 328, 0x0, 0, ... {status=0x0, info=328},  (136, 0, 0, 0, 328, 0x0, 0, ... {status=0x0, info=328}, "MZ\220\0\3\0\0\0\4\0\0\0\377\377\0\0\270\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\360\0\0\0\16\37\272\16\0\264\11\315!\270\1L\315!This program cannot be run in DOS mode.\15\15\12$\0\0\0\0\0\0\0\7\267\232\34C\326\364OC\326\364OC\326\364O\200\331\373OJ\326\364OC\326\365O\320\326\364O\200\331\251OH\326\364O\200\331\250OB\326\364O\200\331\252OB\326\364O\200\331\224OB\326\364O\200\331\253Oj\326\364O\200\331\256OB\326\364ORichC\326\364O\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0PE\0\0L\1\4\0(]\353@\0\0\0\0\0\0\0\0\340\0\16!\13\1\7\12\0\14\2\0\0F\0\0\0\0\0\0\3414\1\0\0\20\0\0\0 \2\0\0\0\375\17\0\20\0\0\0\2\0\0\5\0\1\0\5\0\1\0\4\0\0\0\0\0\0\0\0\200\2\0\0\4\0\0", ) , ) == 0x0
 02443   896   NtQueryInformationFile  (136, 454300, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 02444   896   NtSetInformationFile  (136, 454300, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 02445   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\3\0\0\10\0\0\4\0\0\20\0\0\0\0\20\0\0\20\0\0\0\0\0\0\20\0\0\0\200\30\2\0\273\2\0\08\14\2\0x\0\0\0\0P\2\0P\14\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0`\2\0\354\16\0\00\22\0\0\34\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\200`\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\20\0\00\2\0\00\12\2\0\340\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0.text\0\0\0;\13\2\0\0\20\0\0\0\14\2\0\0\4\0\0\0\0\0\0\0\0\0\0\0\0\0\0 \0\0`.data\0\0\0\210%\0\0\0 \2\0\0$\0\0\0\20\2\0\0\0\0\0\0\0\0\0\0\0\0\0@\0\0\300.rsrc\0\0\0P\14\0\0\0P\2\0\0\16\0\0\04\2\0\0\0\0\0\0\0\0\0\0\0\0\0@\0\0@.reloc\0\0r\20\0\0\0`\2\0\0\22\0\0\0B\2\0\0\0\0\0\0\0\0\0\0\0\0\0@\0\0B\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) , ) == 0x0
 02446   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\0 \0\0@ \0\200\0\0 \0@ \0\0@  \200\0  \0\0\0\0\200\0 \0\200@\0\0\200\0\0 \200@  \0\0\0 \0@ \0\200@\0 \200\0\0\0\0\0 \0\0@\0\0\0\0  \200@\0 \200@  \200\0\0 \200\0\0\0\200@ \0\0@\0\0\0\0  \0@  \0\0 \0\200@ \0\0\0\0\0\200\0 \0\200@  \0\0  \200@\0 \0\0\0\0\0\0 \0\200\0\0\0\200\0 \0\0@\0 \200\0\0 \0@\0 \0@  \200\0  \0@\0\0\0@  \200\0  \0\0\0 \0@ \0\200@\0\0\200\0\0 \200@  \0\0\0\0\0\0 \0\0@\0\0\200@ \0\200\0  \200\0\0 \200@ \0\0@\0\0\0@\0 \200\0@\0\0\0\2\0\0\0\2\0\1\4\0\0\1\4B\0\1\4@\0\0\0B\0\0\0\0\0\0\0\0\0\1\4\2\0\1\4\2\0\0\0@\0\1\4\0\0\0\0B\0\1\0@\0\1\4\2\0\0\4\2\0\1\0@\0\0\4@\0\0\4B\0\1\0\0\0\0\0\2\0\1\4\0\0\1\0B\0\0\4@\0\1\4B\0\0\0B\0\1\4\0\0\0\4B\0\0\4@\0\1\0\2\0\0\0\0\0\1\4B\0\0\0@\0\1\4@\0\1\4\2\0\0\0@\0\0\0\2\0\0\0\0\0\1\4@\0\1\4\2\0\1\4B\0\0\0B\0\0\0\0\0\0\0\2\0\0\4\0\0\1\4\0\0\0\0\2\0\1\0\0\0\0\4\2\0\1\0\2\0\1\0B\0\0\4\2\0\0\0@\0\0\4B\0\1\0\0\0\1\0B\0\1\4\0\0\0\4@\0\0\4B\0\1\4\0\0\1\0B\0\1\0@\0\1\4@\0\0\200\0\200 \0\0\202 ", ) , ) == 0x0
 02447   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\250TT\374m\273\273\326,\26\26:\245\306cc\204\370||\231\356ww\215\366{{\15\377\362\362\275\326kk\261\336ooT\221\305\305P`00\3\2\1\1\251\316gg}V++\31\347\376\376b\265\327\327\346M\253\253\232\354vvE\217\312\312\235\37\202\202@\211\311\311\207\372}}\25\357\372\372\353\262YY\311\216GG\13\373\360\360\354A\255\255g\263\324\324\375_\242\242\352E\257\257\277#\234\234\367S\244\244\226\344rr[\233\300\300\302u\267\267\34\341\375\375\256=\223\223jL&&Zl66A~??\2\365\367\367O\203\314\314\h44\364Q\245\2454\321\345\345\10\371\361\361\223\342qqs\253\330\330Sb11?*\25\25\14\10\4\4R\225\307\307eF##^\235\303\303(0\30\30\2417\226\226\17\12\5\5\265/\232\232\11\16\7\76$\22\22\233\33\200\200=\337\342\342&\315\353\353iN''\315\177\262\262\237\352uu\33\22\11\11\236\35\203\203tX,,.4\32\32-6\33\33\262\334nn\356\264ZZ\373[\240\240\366\244RRMv;;a\267\326\326\316}\263\263{R))>\335\343\343q^//\227\23\204\204\365\246SSh\271\321\321\0\0\0\0,\301\355\355`@  \37\343\374\374\310y\261\261\355\266[[\276\324jjF\215\313\313\331g\276\276Kr99\336\224JJ\324\230LL\350\260XXJ\205\317\317k\273\320\320*\305\357\357\345O\252\252\26\355\373\373\305\206CC\327\232MMUf33\224\21\205\205\317\212EE\20\351\371\371\6\4\2\2\201\376\177\177\360\240PPDx<<\272%\237\237\343K\250\250\363\242QQ\376]\243\243\300\200@@\212\5\217\217\255?\222\222\274!\235\235Hp88\4\361\365\365\337c\274\274\301w\266\266", ) , ) == 0x0
 02448   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\3252\266pHl\t\320\270WBPQ\364\247S~Ae\303\32\27\244\226:'^\313;\253k\361\37\235E\253\254\372X\223K\343\3U 0\372\366\255vm\221\210\314v%\365\2L\374O\345\327\327\305*\313\200&5D\217\265b\243I\336\261Zg%\272\33\230E\352\16\341]\376\300\2\303/u\22\201L\360\243\215F\227\306k\323\371\347\3\217_\225\25\222\234\353\277mz\332\225RY-\324\276\203\323Xt!)I\340iD\216\311\310ju\302\211x\364\216yk\231X>\335'\271q\266\276\341O\27\360\210\255f\311 \254\264}\316:\30c\337J\202\345\321`\227Q3EbS\177\340\261dw\204\273k\256\34\376\201\240\224\371\10+XpHh\31\217E\375\207\224\336l\267R{\370#\253s\323\342rK\2W\343\37\217*fU\253\7\262\353(\3/\265\302\232\206\305{\245\3237\10\3620(\207\262#\277\245\272\2\3j\\355\26\202+\212\317\34\222\247y\264\360\363\7\362\241Ni\342\315e\332\364\325\6\5\276\37\3214b\212\304\246\376\2354.S\240\242\363U2\5\212\341u\244\366\3539\13\203\354\252@`\357\6^q\237Q\275n\20\371>!\212=\226\335\6\256\335>\5FM\346\275\265\221T\215\5q\304]o\4\6\324\377`P\25$\31\230\373\227\326\275\351\314\211@Cwg\331\236\275\260\350B\210\7\211\2138\347\31[\333y\310\356G\241|\12\351|B\17\311\370\204\36\0\0\0\0\203\11\200\206H2+\355\254\36\21pNlZr\373\375\16\377V\17\2058\36=\256\325'6-9d\12\17\331!h\\246\321\233[T:$6.\261\14\12g\17\223W\347\322\264\356\226\236\33\233\221O\200\300\305\242a\334 iZwK\26\34\22\32\12\342\223\272\345\300\240*", ) , ) == 0x0
 02449   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "<"\340C.9\367^ 0\372U\354\232\267\1\342\223\272\12\360\210\255\27\376\201\240\34\324\276\203-\332\267\216&\310\254\231;\306\245\2240\234\322\337Y\222\333\322R\200\300\305O\216\311\310D\244\366\353u\252\377\346~\270\344\361c\266\355\374h\14\12g\261\2\3j\272\20\30}\247\36\21p\2544.S\235:'^\226("@\35\236/KG\351d"I\340i)[\373~4U\362s?\177\315P\16q\304]\5c\337J\30m\326G\23\3271\334\312\3318\321\301\313#\306\334\305*\313\327\357\25\350\346\341\34\345\355\363\7\362\360\375\16\377\373\247y\264\222\251p\271\231\273k\256\204\265b\243\217\237]\200\276\221T\215\265\203O\232\250\215F\227\243\0\0\0\0\13\16\11\15\26\34\22\32\35\22\33\27,8$4'6-9:$6.1*?#XpHhS~AeNlZrEbS\177tHl\\177FeQbT~FiZwK\260\340\220\320\273\356\231\335\246\374\202\312\255\362\213\307\234\330\264\344\227\326\275\351\212\304\246\376\201\312\257\363\350\220\330\270\343\236\321\265\376\214\312\242\365\202\303\257\304\250\374\214\317\246\365\201\322\264\356\226\331\272\347\233{\333;\273p\3252\266m\307)\241f\311 \254W\343\37\217\\355\26\202A\377\15\225J\361\4\230#\253s\323(\245z\3365\267a\311>\271h\304\17\223W\347\4\235^\352\31\217E\375\22\201L\360\313;\253k\3005\242f\335'\271q\326)\260|\347\3\217_\354\15\206R\361\37\235E\372\21\224H\223K\343\3\230E\352\16", ) \340C.9\367^ 0\372U\354\232\267\1\342\223\272\12\360\210\255\27\376\201\240\34\324\276\203-\332\267\216&\310\254\231;\306\245\2240\234\322\337Y\222\333\322R\200\300\305O\216\311\310D\244\366\353u\252\377\346~\270\344\361c\266\355\374h\14\12g\261\2\3j\272\20\30}\247\36\21p\2544.S\235:'^\226(213&5D\200|B\17\351rK\2\342`P\25\377nY\30\364Df;\305Jo6\316Xt!\323V},\3307\241\14z9\250\1q+\263\26l%\272\33g\17\2058V\1\2145]\23\227 (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "<"\340C.9\367^ 0\372U\354\232\267\1\342\223\272\12\360\210\255\27\376\201\240\34\324\276\203-\332\267\216&\310\254\231;\306\245\2240\234\322\337Y\222\333\322R\200\300\305O\216\311\310D\244\366\353u\252\377\346~\270\344\361c\266\355\374h\14\12g\261\2\3j\272\20\30}\247\36\21p\2544.S\235:'^\226("@\35\236/KG\351d"I\340i)[\373~4U\362s?\177\315P\16q\304]\5c\337J\30m\326G\23\3271\334\312\3318\321\301\313#\306\334\305*\313\327\357\25\350\346\341\34\345\355\363\7\362\360\375\16\377\373\247y\264\222\251p\271\231\273k\256\204\265b\243\217\237]\200\276\221T\215\265\203O\232\250\215F\227\243\0\0\0\0\13\16\11\15\26\34\22\32\35\22\33\27,8$4'6-9:$6.1*?#XpHhS~AeNlZrEbS\177tHl\\177FeQbT~FiZwK\260\340\220\320\273\356\231\335\246\374\202\312\255\362\213\307\234\330\264\344\227\326\275\351\212\304\246\376\201\312\257\363\350\220\330\270\343\236\321\265\376\214\312\242\365\202\303\257\304\250\374\214\317\246\365\201\322\264\356\226\331\272\347\233{\333;\273p\3252\266m\307)\241f\311 \254W\343\37\217\\355\26\202A\377\15\225J\361\4\230#\253s\323(\245z\3365\267a\311>\271h\304\17\223W\347\4\235^\352\31\217E\375\22\201L\360\313;\253k\3005\242f\335'\271q\326)\260|\347\3\217_\354\15\206R\361\37\235E\372\21\224H\223K\343\3\230E\352\16", ) I\340i)[\373~4U\362s?\177\315P\16q\304]\5c\337J\30m\326G\23\3271\334\312\3318\321\301\313#\306\334\305*\313\327\357\25\350\346\341\34\345\355\363\7\362\360\375\16\377\373\247y\264\222\251p\271\231\273k\256\204\265b\243\217\237]\200\276\221T\215\265\203O\232\250\215F\227\243\0\0\0\0\13\16\11\15\26\34\22\32\35\22\33\27,8$4'6-9:$6.1*?#XpHhS~AeNlZrEbS\177tHl\\177FeQbT~FiZwK\260\340\220\320\273\356\231\335\246\374\202\312\255\362\213\307\234\330\264\344\227\326\275\351\212\304\246\376\201\312\257\363\350\220\330\270\343\236\321\265\376\214\312\242\365\202\303\257\304\250\374\214\317\246\365\201\322\264\356\226\331\272\347\233{\333;\273p\3252\266m\307)\241f\311 \254W\343\37\217\\355\26\202A\377\15\225J\361\4\230#\253s\323(\245z\3365\267a\311>\271h\304\17\223W\347\4\235^\352\31\217E\375\22\201L\360\313;\253k\3005\242f\335'\271q\326)\260|\347\3\217_\354\15\206R\361\37\235E\372\21\224H\223K\343\3\230E\352\16", ) == 0x0
 02450   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "M\0a\0c\0h\0i\0n\0e\0K\0e\0y\0s\0\0\0-%lu\0\0\0\00x%02hx%02hx%02hx%02hx%02hx%02hx\0\0\0\0%lu\0S-%lu-\0\0-\0%\0l\0u\0\0\0\0\00\0x\0%\00\02\0h\0x\0%\00\02\0h\0x\0%\00\02\0h\0x\0%\00\02\0h\0x\0%\00\02\0h\0x\0%\00\02\0h\0x\0\0\0\0\0%\0l\0u\0\0\0S\0-\0%\0l\0u\0-\0\0\0\0\0\\0M\0i\0c\0r\0o\0s\0o\0f\0t\0\\0C\0r\0y\0p\0t\0o\0\\0R\0S\0A\0\\0\0\0\0\0\\0M\0i\0c\0r\0o\0s\0o\0f\0t\0\\0C\0r\0y\0p\0t\0o\0\\0D\0S\0S\0\\0\0\0\0\0SeRestorePrivilege\0\0SeBackupPrivilege\0\0\0.DEFAULT\0\0\0\0Software\Microsoft\Cryptography\UserKeys\0\0\0\0Software\Microsoft\Cryptography\MachineKeys\0Software\Microsoft\Cryptography\DSSUserKeys\0*\0\0\0SeSecurityPrivilege\0OffloadModEx", ) , ) == 0x0
 02451   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "3\300@\213M\374_^\350\317\305\0\0\311\302\14\0\314\314\314\314\314\213\377U\213\354\213E\10\203x\4\14u\26\201}\14\1\200\0\0t\11\201}\14\2\200\0\0u\43\300\353\33\300@]\302\10\0\314\314\314\314\314\213\377U\213\354\213E\10-\1\200\0\0VW\17\204\211\0\0\0HtWHt9Ht\12\270\10\0\11\200\351\235\0\0\0jt_W\350\324G\1\0\213\360\205\366u\10j\10X\351\206\0\0\0V\350\311\310\0\0\203&\0\213E\14\2110\213E\20\2118\353ojl_W\350\250G\1\0\213\360\205\366t\324\203fh\0V\350}\310\0\0\353\331jd\350\217G\1\0\213\360\205\366t\273j\31Y3\300\213\376\363\253!F\34V\350\220\24\1\0\213E\20\307\0d\0\0\0\213E\14\2110\353%j8^V\350^G\1\0\213\320\205\322t\2123\300j\16Y\213\372\363\253!B4\213E\20\2110\213E\14\211\203\300_^]\302\14\0\314\314\314\314\314\213\377U\213\354S3\3339]\24VWt\12\277\11\0\11\200\351\243\0\0\0S\377u\10\350[\223\0\0;\303u\12\277\1\0\11\200\351\214\0\0\0\213u\14VP\350\306\376\377\377\205\300u\7\277\10\0\11\200\353wj8\350\351F\1\0\213\3303\322;\332\17\204\361\0\0\0j\163\300Y\213\373\363\253\213M\10\213\306-\2L\0\0\211s\4\211\13\17\204\254\1\0\0-\34\0\0\17\204F\1\0\0\203\350\3\17\204%\1\0\0H\17\204\366\0\0\0Ht\9U\20\17\205\250\1\0\0\215C\10P\215C\14PV\350\205\376\377\377\205\300u\13Sj\1\377u\30\3503\223\0\0\213\3703\300\205\377\17\224\300\213\360\205\366u\36\205\333t\23\213C\14\205\300t\6P\350\236F\1\0S\350\230F", ) , ) == 0x0
 02452   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\253\253\2533\300@S\211s<\211s@\211C\\211C`\211sd\350P\377\377\377\213E\30;\306\213M\20\211K\14t"9u\34t\5\211C\20\353\30\213{\20\213\360\213\301\301\351\2\363\245\213\310\203\341\3\363\244\213M\203\366\201\352\1f\0\0tuJtTJt3\203\352\6t\37\203\352\5t\21Jt\16Jt\13\211s`\211sx\351\200\0\0\0\307Cx\20\0\0\0\353w\203{\14\20uM9u u\31j\20\353\15\203{\14\30u>9u u\12j\30\377s\20\350T\17\1\0\307Cx\10\0\0\0\353J\213E\249\260\204\1\0\0u\11\307Cl(\0\0\0\353\343\213\301\301\340\3\211Cl\353\331j\10_9{\14t\23\277\11\0\11\200;\336t\6S\350\2607\1\0\213\307\353\309u u\11W\377s\20\350\4\17\1\0\211{x\213E$\211\303\300_^[]\302 \0\314\314\314\314\314\213\377U\213\354V\213u\10\213F\20\205\300t\6P\350r7\1\0\213F\30\205\300t\6P\350e7\1\0V\350_7\1\0^]\302\4\0\314\314\314\314\314\213\377U\213\354\213E\14\213M\30W3\3223\377-\0$\0\0\211\21t\31-\1B\0\0tlHtUHtF\203\350\6t5-\367=\0\0u\6\307\1\1\0\0\0\213E\20R\301\340\3P\377u\14\213E\10\3774\205HB\377\17\350\204\207\1\0\205\300t\33\377G\213\307_]\302\24\0\203}\20\20t\360\203}\20\16\353*\203}\20\30t\344\203}\20\25\353\369U\24u\331\213E\20R\301\340\3Ph\2f\0\0\353\267\203}\20\10t\304\203}\20\7u\301\353\274\314\314\314\314\314\213\377U\213\354\213E\14V3\366\205\300t \215M\14Q\377u\20\377p\14\377p\4", ) 9u\34t\5\211C\20\353\30\213{\20\213\360\213\301\301\351\2\363\245\213\310\203\341\3\363\244\213M\203\366\201\352\1f\0\0tuJtTJt3\203\352\6t\37\203\352\5t\21Jt\16Jt\13\211s`\211sx\351\200\0\0\0\307Cx\20\0\0\0\353w\203{\14\20uM9u u\31j\20\353\15\203{\14\30u>9u u\12j\30\377s\20\350T\17\1\0\307Cx\10\0\0\0\353J\213E\249\260\204\1\0\0u\11\307Cl(\0\0\0\353\343\213\301\301\340\3\211Cl\353\331j\10_9{\14t\23\277\11\0\11\200;\336t\6S\350\2607\1\0\213\307\353\309u u\11W\377s\20\350\4\17\1\0\211{x\213E$\211\303\300_^[]\302 \0\314\314\314\314\314\213\377U\213\354V\213u\10\213F\20\205\300t\6P\350r7\1\0\213F\30\205\300t\6P\350e7\1\0V\350_7\1\0^]\302\4\0\314\314\314\314\314\213\377U\213\354\213E\14\213M\30W3\3223\377-\0$\0\0\211\21t\31-\1B\0\0tlHtUHtF\203\350\6t5-\367=\0\0u\6\307\1\1\0\0\0\213E\20R\301\340\3P\377u\14\213E\10\3774\205HB\377\17\350\204\207\1\0\205\300t\33\377G\213\307_]\302\24\0\203}\20\20t\360\203}\20\16\353*\203}\20\30t\344\203}\20\25\353\369U\24u\331\213E\20R\301\340\3Ph\2f\0\0\353\267\203}\20\10t\304\203}\20\7u\301\353\274\314\314\314\314\314\213\377U\213\354\213E\14V3\366\205\300t \215M\14Q\377u\20\377p\14\377p\4", ) == 0x0
 02453   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\1\0\11\200\351\325\0\0\0\215E\10Pj\2V\377u\14\350\237t\0\0\205\300t;\215E\10Pj\3V\377u\14\350\214t\0\0\205\300t(\215E\10Pj\4V\377u\14\350yt\0\0\205\300t\25= \0\11\200\17\205\221\0\0\0\270\3\0\11\200\351\207\0\0\0\213E\20\203\370\12\17\207\313\1\0\0\17\204u\1\0\0H\17\204]\1\0\0H\17\204\342\0\0\0H\17\204\316\0\0\0H\17\204\213\0\0\0HtrH\17\205\317\2\0\0\213E\24\213\20\367\302\300\376\377\377t\7\270\11\0\11\200\353;\367\302\4\0\0\0\213E\10t\20\367@h\4\0\0\0u\7\270\5\0\11\200\353 \271\0\1\0\0\205\321t\5\205Hht\353\213Hh3\312\201\341\4\1\0\03\312\211Hh3\300_3\311\205\300\17\224\301\213\361\205\366u\7P\377\25\304\21\375\17\213\306^]\302\24\0\213E\24\213\0\205\300t\264\203\370@w\257\213M\10\211Ad\353\314\213U\10\213B\4=\0$\0\0\17\204,\377\377\377=\0\244\0\0\17\204!\377\377\377\213M\24\212\1<\1t\20<\2t\14<\4t\10<\3\17\205r\377\377\377\213\1\211B`\353\220\213E\24\2038\1t\210\351^\377\377\377\213M\10\213A\4=\2f\0\0t\13=\1h\0\0\17\205\334\376\377\377\213u\24\205\366u\10jWX\351^\377\377\377\213\207\204\1\0\0\205\300t\13\203\370\1t\6\203a@\0\353\7\307A@\13\0\0\0\213E\10\213H@\205\311t\24\215xD\213\301\301\351\2\363\245\213\310\203\341\3\363\244\213E\10P\350\307\371\377\377\205\300\17\204\24\377\377\377\351\21\377\377\377\213E\10\213Hx\213u\24\215x\34\351g\1\0\0\213M\10\213A\4=\2f\0\0t\13=\1h\0\0\17\205W\376", ) , ) == 0x0
 02454   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "j\10X\351\264\1\0\0\213E\309{\10\213H$\213\372u\25\213\361\301\351\2\2706666\363\253\213\316\203\341\3\363\252\353\21\213s\4\213\301\301\351\2\363\245\213\310\203\341\3\363\244\213E\30\213@ \205\300t\11P\350C\30\1\0\213U\24\213E\30\211P \213C\20\205\300u\14\213E\30\307@,@\0\0\0\353\6\213M\30\211A,\213E\30\377p,\350\323\27\1\0\213\320\205\322\213E\30\211U\24u\24\377p \350\2\30\1\0\213E\30\203` \0\351h\377\377\377\203{\20\0\213H,\213\372u\25\213\361\301\351\2\270\\\\\363\253\213\316\203\341\3\363\252\353\21\213s\14\213\301\301\351\2\363\245\213\310\203\341\3\363\244\213E\30\213@(\205\300t\11P\350\265\27\1\0\213U\24\213E\30\211P(\351\323\0\0\0\213E\30\213H\4\201\351\1\200\0\0\17\204\236\0\0\0I\17\204\217\0\0\0It\177ItnIt\37\203\351\3t\12\270\10\0\11\200\351\244\0\0\0\213x\14j\11\213u\24Y\363\245\351\200\0\0\0\213p\14\215M\374Qj\2\377u\10\377p\20\350{c\0\0;\307t\14= \0\11\200uu\203\300\343\353p9^$u\7\270\14\0\11\200\353d\213E\374\213Hx\213u\24\215x,\213\301\301\351\2\363\245\213\310\203\341\3\363\244\3534\213@\149\30t\326\215x\4j\5\353\233\213@\149Xht\307\215xX\353\22\213@\149X\34\353\6\213@\149X4t\262\213\370\213u\24\245\245\245\245\213E\30\11X0\203}\20\2u\6\213E\30\11X\243\300[3\311\205\300\17\224\301\213\361\205\366u\7P\377\25\304\21\375\17_\213\306^\311\302\24\0\314\314\314\314\314\213\377U\213\354\213E\10-\1\200\0\0SVW\17\204\324\0\0\0", ) , ) == 0x0
 02455   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\304\215\226d\1\0\0\211U\300\215U\314R\215F8\215NXPQ\377u\300\211E\260\211M\264\350\5\35\0\0\205\300\17\205q\377\377\377;\337t3\201\373\11f\0\0t+\201\373\3f\0\0t#\201\373\1L\0\0u\11\306E\314\3\210E\315\353\34\201\373\6L\0\0u\24\306E\314\3\306E\315\1\353\12\366E\20\4\17\205\303\376\377\377\366E\20\1t\7\307E\274\1\0\0\0\215E\310Pj\0j\0\215E\314P\377u\10\377u\304\377u\274S\350\365\316\377\377\205\300\17\205\0\377\377\377\213]\20\203\343\4tA\213\266\204\1\0\0\205\366t\15\203\376\1t\10\213}\310!G@\353\14\213E\310\307@@\13\0\0\0\213\370\377w@\215GDP\377u\260\377u\264\377u\300\350L\34\0\0\205\300t\10\351\267\376\377\377\213}\310\213u\270Wj\2V\350\16T\0\0\205\300\17\205\240\376\377\377\203}\304\5u;\366E\20\20u5\205\333u1\213E\14=\1L\0\0t'=\6L\0\0t =\4L\0\0t\31=\5L\0\0t\22\3776\377u\10\350S\375\377\377\205\300\17\205_\376\377\3773\366[3\300\205\366\17\224\300\213\370\205\377u\249E\310t\10\377u\310\350\253\317\377\377V\377\25\304\21\375\17\213M\374\213\307_^\350n\204\0\0\311\302\20\0\314\314\314\314\314\213\377U\213\354\201\354<\1\0\0\241\244B\377\17S3\333f\367E\24\352\373V\213u\30\211E\374W\211\265\304\376\377\377\211\235\324\376\377\377\211\235\360\376\377\377\211\235\314\376\377\377\211\235\350\376\377\377\211\235\344\376\377\377\211\235\320\376\377\377t\12\276\11\0\11\200\351\271\3\0\0S\377u\10\350\274R\0\0\213\370;\373\211\275\324\376\377\377u\12\276\1\0\11\200\351\232\3\0\0\213]\14SW\350\216", ) , ) == 0x0
 02456   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "M\14u\25\213\35\324D\377\17\213G@\213O(\307E\30\1\0\0\0\353\30:\301\17\205C\2\0\0\203e\30\0\213\35\330D\377\17\213GL\213O0\205\300\17\204+\2\0\0\213U\374;J\14\17\205\37\2\0\0\213z\20\213\3603\322\363\246t\5\33\322\203\332\377\205\322\17\205\7\2\0\0\215M\364QP\350U\302\377\3773\3669u\20t"V\215E\14P\215E\24Pj\10\377u\20\377u\10\350:\323\377\377\205\300\17\204\330\1\0\0\301m\24\39u\34\213M\24\213E\364\215D\1\10\213M u\7\211\1\351R\2\0\09\1s\14\211\1\276\352\0\0\0\351B\2\0\0\213}\344\366G\3\360u\24j\1\377u\30SW\350?\35\0\0;\306\17\205h\376\377\3779u\30t\13\213\207<\1\0\0\213\177H\353\11\213\2074\1\0\0\213\177T;\306\211E\30\17\204~\1\0\0;\376u\15\213E\374\366@\11@\17\204Y\1\0\0\215E\364PV\377u\30\350\307\301\377\377\205\300\17\204D\1\0\09u\360\213E\364\213M\24\215<\1u\27W\350\27\367\0\0\213\330;\336\211]\354u\21j\10^\351\266\1\0\0\213]\370\203\303\10\211]\354\215E\364PS\377u\30\350\204\301\377\377\205\300\17\204\1\1\0\09u\20t\36VW\215E\364PSVj\1V\377u\20\377u\10\350D\246\377\377;\306\17\205\270\375\377\377\203}\360\0\213M\364\215Y\10\17\205<\1\0\0\213}\34\213u\354\203\307\10\3516\1\0\0\212\6<\3t\10<\4\17\205\262\0\0\0\213E\374\213@\20\205\300\17\204\270\0\0\0\213X\10\213u\34\203\303\7\301\353\3\203\303\24\205\366\17\204\25\1\0\0\213M 9\31\17\202\12\1\0\0\213\10\213U\370\211J\10\213H\10\211J\14\213H\20\211", ) V\215E\14P\215E\24Pj\10\377u\20\377u\10\350:\323\377\377\205\300\17\204\330\1\0\0\301m\24\39u\34\213M\24\213E\364\215D\1\10\213M u\7\211\1\351R\2\0\09\1s\14\211\1\276\352\0\0\0\351B\2\0\0\213}\344\366G\3\360u\24j\1\377u\30SW\350?\35\0\0;\306\17\205h\376\377\3779u\30t\13\213\207<\1\0\0\213\177H\353\11\213\2074\1\0\0\213\177T;\306\211E\30\17\204~\1\0\0;\376u\15\213E\374\366@\11@\17\204Y\1\0\0\215E\364PV\377u\30\350\307\301\377\377\205\300\17\204D\1\0\09u\360\213E\364\213M\24\215<\1u\27W\350\27\367\0\0\213\330;\336\211]\354u\21j\10^\351\266\1\0\0\213]\370\203\303\10\211]\354\215E\364PS\377u\30\350\204\301\377\377\205\300\17\204\1\1\0\09u\20t\36VW\215E\364PSVj\1V\377u\20\377u\10\350D\246\377\377;\306\17\205\270\375\377\377\203}\360\0\213M\364\215Y\10\17\205<\1\0\0\213}\34\213u\354\203\307\10\3516\1\0\0\212\6<\3t\10<\4\17\205\262\0\0\0\213E\374\213@\20\205\300\17\204\270\0\0\0\213X\10\213u\34\203\303\7\301\353\3\203\303\24\205\366\17\204\25\1\0\0\213M 9\31\17\202\12\1\0\0\213\10\213U\370\211J\10\213H\10\211J\14\213H\20\211", ) == 0x0
 02457   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\26\0\11\200\351\314\1\0\0\213^\10\203\303\7\301\353\3\205\377\17\204\245\1\0\0\213E\2749\30\17\202\232\1\0\0\215E\314PQ\377u\10\377u\14\350\2024\0\0\205\300\17\205b\1\0\0\213\313\213\321\301\351\2\363\253\213\312\203\341\3\363\252\213M\314\213A\4-\1\200\0\0t"Ht\37Ht\34Ht\31\203\350\4\17\205d\1\0\0\366A\24\1u\12\277\14\0\11\200\351Y\1\0\03\3779}\300t-W\377u\300\377\25\254\21\375\17\321\340P\377u\300\377u\14\377u\10\350,\250\377\377\205\300u\13\377\25\310\21\375\17\351\362\0\0\0\213M\314\366A0\1t\7\307E\264\1\0\0\0\213F\4W\211E\310\215E\310P\215E\330Pj\2\377u\14\377u\10\350r\322\377\377\205\300t\305\377v\4\350f\347\0\0;\307\211E\320tS\366E\30\4t#\213M\314\201y\4\4\200\0\0\17\205\316\0\0\0P\377u\264\215E\330\377u\310PS\350\342\375\377\377\353\33P\377u\30\215E\330\377u\310P\213E\314\377p\4V\350\313\374\377\377;\307uo\377v\4\350\23\347\0\0;\307\211E\324u\10j\10_\351\216\0\0\0W\377u\304\213}\254\377u\270W\350\266\14\0\0\205\300uD9E\304t\10\213\207<\1\0\0\353\6\213\2074\1\0\0\205\300u\7\277\15\0\11\200\353\\213N\4;H\4t\7\277\32\0\11\200\353M\213u\324V\377u\320P\377\267\200\1\0\0\350O\37\0\0\205\300t\4\213\370\3532\213}\260\213\313\213\301\301\351\2\363\245\213\310\213E\274\203\341\3\363\244\211\303\377\353\26\213E\274\367\337\33\377\211\30\201\347\352\0\0\0\353\5\277\10\0\11\2003\300\205\377\17\224\300\203}\324\0\213\360t\10\377u\324\350\242\346\0\0\203}\320\0t\10\377u", ) Ht\37Ht\34Ht\31\203\350\4\17\205d\1\0\0\366A\24\1u\12\277\14\0\11\200\351Y\1\0\03\3779}\300t-W\377u\300\377\25\254\21\375\17\321\340P\377u\300\377u\14\377u\10\350,\250\377\377\205\300u\13\377\25\310\21\375\17\351\362\0\0\0\213M\314\366A0\1t\7\307E\264\1\0\0\0\213F\4W\211E\310\215E\310P\215E\330Pj\2\377u\14\377u\10\350r\322\377\377\205\300t\305\377v\4\350f\347\0\0;\307\211E\320tS\366E\30\4t#\213M\314\201y\4\4\200\0\0\17\205\316\0\0\0P\377u\264\215E\330\377u\310PS\350\342\375\377\377\353\33P\377u\30\215E\330\377u\310P\213E\314\377p\4V\350\313\374\377\377;\307uo\377v\4\350\23\347\0\0;\307\211E\324u\10j\10_\351\216\0\0\0W\377u\304\213}\254\377u\270W\350\266\14\0\0\205\300uD9E\304t\10\213\207<\1\0\0\353\6\213\2074\1\0\0\205\300u\7\277\15\0\11\200\353\\213N\4;H\4t\7\277\32\0\11\200\353M\213u\324V\377u\320P\377\267\200\1\0\0\350O\37\0\0\205\300t\4\213\370\3532\213}\260\213\313\213\301\301\351\2\363\245\213\310\213E\274\203\341\3\363\244\211\303\377\353\26\213E\274\367\337\33\377\211\30\201\347\352\0\0\0\353\5\277\10\0\11\2003\300\205\377\17\224\300\203}\324\0\213\360t\10\377u\324\350\242\346\0\0\203}\320\0t\10\377u", ) == 0x0
 02458   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\12\213U\334\211\2\203\301\354Q\203\300\24P\350\241\330\0\0\211E\304\205\300\17\205[\377\377\377\213u\334\213E\340\3770\3776\203}\20\1u\15j\1\377s\\377s(\377s@\353\13j\0\377s\\377s0\377sL\350F'\1\0\211E\344\205\300u\36\367E\310\10\0\0\0t\25\377u\20\377u\310\3775\310D\377\17S\350\263\372\377\377\211E\304\203M\374\377\353\36\307E\344\32\0\11\200\353\3613\300@\303\213e\350\307E\344W\0\0\0\203M\374\377\213]\10\203}\300\0t\15\201\303h\1\0\0S\377\25\270\21\375\17\213}\264\205\377t\34\213M\2603\300\213\321\301\351\2\363\253\213\312\203\341\3\363\252\377u\264\377\25\250\21\375\17\213E\344\350\361W\0\0\302\20\0\314\314\314\314\314\213\377U\213\354\203\354L\241\244B\377\17S3\333V\213u\10\211E\374\213E\14W\211u\314\211E\320\211]\334\211]\324\211]\340\307E\264\20\0\0\0\306E\354p\306E\355\362\306E\356\205\306E\357\36\306E\360N\210]\361\210]\362\210]\363\210]\364\210]\365\210]\366\210]\367\210]\370\210]\371\210]\372\210]\373\215x\1\212\10@:\313u\371+\307\203\300\6\211E\310\350\262\343\0\0\205\300\17\205\27\1\0\0h\320\23\375\17\377\25\230\21\375\17;\303\211E\334\17\204\1\1\0\0\213=\234\21\375\17h\274\23\375\17P\377\327h\244\23\375\17\377u\334\211E\304\377\327\367E\20 \0\0\0\211E\270\17\205\326\0\0\09]\304\17\204\315\0\0\0;\303\17\204\305\0\0\0\213E\310@P\350\220\326\0\0;\303\211E\324\17\204\240\0\0\0\213M\320\276\234\23\375\17\213\370\245f\245\244\213\361\212\21A:\323u\371+\316\213\370\213\321O\212O\1G:\313u\370\213\312\301\351\2\363\245j", ) , ) == 0x0
 02459   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\2r\3\213p\14\203\371\3r\3\213P\30RV\377u\10\215E\24P\377u\20\377u\14\350\226\373\377\377\205\300u\22\367E\20\20\0\0\0u\7\213E\24\203`\10\03\3003\311\205\300\17\224\301\213\361\205\366u\7P\377\25\304\21\375\17\213\306^]\302\20\0\314\314\314\314\314\213\377U\213\3543\3223\3119U\14v\22\213E\10\3\301\210\20A;M\14\306\0\377\210\20r\356]\302\10\0\314\314\314\314\314\213\377U\213\354\203}\10\0V\213u\14t9\201>RSA1t\7\270\3\0\11\200\353A\213F\10j\0j\0\377u\24\203\300\7\301\350\3P\215F\24Pj\4\215F\20P\377u\20\377u\10\350\260\1\1\0\205\300u\25\377u\24\377u\20V\350\377\257\0\0\205\300u\5j\10X\353\23\300^]\302\20\0\314\314\314\314\314\213\377U\213\354\203\354\30\213E\14\213@\10SVW\215P\7j\10\301\352\3^\203\342\7\213\316+\312;\316t\2\3\316\203\300\17\301\350\4\321\351\3\301\215<\200\321\347\213\307\203\340\7t\6\213\316+\310\3\371\203\307\24;=xE\377\17\211}\374w6\241|E\377\17\3\307;\307r+\203\300\10P\350\311\30\1\0\205\300t\36\215G\10\203\300\3\203\340\374\350\343F\0\0\213\334\205\333t\12\307\3Stck\3\336u"\215G\10P\377\25\200E\377\17\213\330\205\333\17\204\355\0\0\0\307\3Heap\3\336\17\204\265\0\0\0\213u\14\213\317\213\301\301\351\2\213\373\363\245\213\310\213E\374\203\341\3\203\300\354\363\244P\215{\24W\350\36\307\0\0\213\360\205\366\17\205\203\0\0\09E\10tg\201;RSA2t\7\276\3\0\11\200\353o\213K\10\213E\14\213@\4\203\301\7\301\351\3@\321\350\215tC\24j\0\215Q\1\321\352\211", ) \215G\10P\377\25\200E\377\17\213\330\205\333\17\204\355\0\0\0\307\3Heap\3\336\17\204\265\0\0\0\213u\14\213\317\213\301\301\351\2\213\373\363\245\213\310\213E\374\203\341\3\203\300\354\363\244P\215{\24W\350\36\307\0\0\213\360\205\366\17\205\203\0\0\09E\10tg\201;RSA2t\7\276\3\0\11\200\353o\213K\10\213E\14\213@\4\203\301\7\301\351\3@\321\350\215tC\24j\0\215Q\1\321\352\211", ) == 0x0
 02460   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\340\350\304\374\377\377\211E\334\205\300t\13\211E\344\211]\374\351W\1\0\0\203}\20\0u2\215~@\211}\244\215\236<\1\0\0\211]\240\215F(\211E\274\215\2068\1\0\0\211E\304\215FH\211E\270\307E\264\1\0\0\0\241\234D\377\17\353-\215~L\211}\244\215\2364\1\0\0\211]\240\215F0\211E\274\215\2060\1\0\0\211E\304\215FT\211E\270\203e\264\0\241\240D\377\17\211E\260\213\7\205\300t\15P\350\2\270\0\0\3773\350\373\267\0\0\203e\314\0\213E\320\213M\304\211\1\213E\300\213M\274\211\1\213E\324\211\3\213E\340\211\7\17\266E\14\203\340\1\213M\270\211\1\366F\3\360u\26\377u\264\377u\14\377u\260V\350N\332\377\377\211E\334\205\300uW\213}\24W\203}\20\0u\36j\2\377u\10\350\21\216\377\377\205\300u\10\377\25\310\21\375\17\3537\215E\330Pj\3\353\24j\1\377u\10\350\363\215\377\377\205\300t\342\215E\330Pj\4\377u\10\3777\350\230\3\0\0\211E\334\205\300t\23= \0\11\200u\3\203\300\343\211E\344\203M\374\377\3536\270\0@\0\0\205E\14t\15\213M\330\11A\10\213E\330\200Hi\1\203M\374\377\203e\344\0\353\253\300@\303\213e\350\307E\344W\0\0\0\203M\374\377\213u\2343\3779}\254t\15\201\306h\1\0\0V\377\25\270\21\375\179}\314t\329}\324t\10\377u\324\350\371\266\0\09}\340t\10\377u\340\350\354\266\0\0\213E\344\350\317\0\0\302\24\0\314\314\314\314\314\213\377U\213\354\203}\14\0\213E\10SVWt\16\213\260<\1\0\0\215H(\215x@\353\14\213\2604\1\0\0\215H0\215xL\213^\10\321\353\203\303?\301\353\5\215\34\335\24\0\0\0\213\301;\30\211", ) , ) == 0x0
 02461   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\377u$\213\310\213E\374\377u \203\341\3\363\244\213M\34\213u\30\215<\20\213\321\301\351\2\363\245h\3\200\0\0\377u\370\213\312\203\341\3\363\244\213u\364\213}\10P\3\336SW\350?\376\377\377\205\300u\36\377u$\3\367\377u\14h\4\200\0\0\377u\370\377u\374SV\350!\376\377\377\205\300t\4\213\360\353\32\213u$\205\366v\21\213E \213M\14+\310\212\24\10\20@Nu\3673\366\203}\14\0t\10\377u\14\350\1\250\0\0\377u\374\350\371\247\0\0_\213\306^[\311\302 \0\314\314\314\314\314\213\377U\213\354\213E\10\213\200$\2\0\0\205\300t\6P\350\323\247\0\0]\302\4\0\314\314\314\314\314\213\377U\213\354\213E\10\213\200<\2\0\0\205\300t\6P\350\262\247\0\0]\302\4\0\314\314\314\314\314\213\377U\213\354Q\203e\374\0S\213]\14\213C\4=\1L\0\0t\37=\4L\0\0t\30=\6L\0\0t\21=\5L\0\0t\12\270\12\0\11\200\351_\2\0\0\203{\30\0VWu$\276h\3\0\0V\350\34\247\0\0\213\370\205\377\211{\30\17\204\342\1\0\0\271\332\0\0\03\300\363\253\211s\24\213E\20\213{\30j\24Y;\301\17\205:\1\0\0\213u\24\213F\14\211\207d\3\0\0\213\6\203\350\0\17\204\246\0\0\0H\17\205\335\1\0\0\213F\10\250\7\17\205\322\1\0\0\215M\374Qj\0\301\350\3P\377v\4\213E\10\377\260\204\1\0\0\350\234o\377\377\205\300u\12\270\11\0\11\200\351\316\1\0\0\213F\4-\1f\0\0t\37Ht\34Ht\31\203\350\6t\24-\370\1\0\0\17\205\211\1\0\0\203\247\\3\0\0\0\353\12\307\207\\3\0\0\10\0\0\0\201{\4\5L\0\0u\25\213F\10\301\350\3;C\14t\12\270\3", ) , ) == 0x0
 02462   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\311\302\20\0\314\314\314\314\314\213\377U\213\354\203\354\30\213E\10S\213X\14\213E\20V3\3663\3119u\24W\211u\364t0\213M\14%\0\4\0\0\211E\360t\23\307E\370\254\26\375\17\307E\20\3\0\0\0\215\14I\353D\307E\370\250\26\375\17\307E\20\2\0\0\0\353+%\0\4\0\0\211E\360t\20\307E\370\240\26\375\17\307E\20\5\0\0\0\353\32\213M\14\307E\370\230\26\375\17\307E\20\4\0\0\0\213\203(\2\0\0\215\14\210\213E\20\17\257E\14\215\4@\3\2030\4\0\0\3\203 \2\0\0\3\203\34\1\0\0\215D\1\1P\211E\354\350\225\227\0\0\213\370;\376\211}\374u\10j\10^\351\323\1\0\0\213M\143\300@9u\24\210\17t';\316v#\211M\24\213M\20\213u\370\213\321\3\370\301\351\2\363\245\213\312\203\341\3\3\302\377M\24\363\244\213}\374u\340\213\2130\4\0\0\213\321\301\351\2\3\370\215\2630\3\0\0\363\245\213\312\203\341\3\363\244\213M\14\3\2030\4\0\0\205\311v$\211M\24\213U\374\213M\20\213u\370\215<\20\213\321\301\351\2\363\245\213\312\203\341\3\3\302\377M\24\363\244u\337\213\213 \2\0\0\213U\374\215<\20\213\321\301\351\2\215\263 \1\0\0\363\245\213\312\203\341\3\363\244\213M\14\3\203 \2\0\0\205\311v$\211M\24\213U\374\213M\20\213u\370\215<\20\213\321\301\351\2\363\245\213\312\203\341\3\3\302\377M\24\363\244u\337\203}\360\0uS\213\213(\2\0\0\213U\374\213\263$\2\0\0\215<\20\213\321\301\351\2\363\245\213\312\203\341\3\363\244\3\203(\2\0\0\203}\14\0v'\213M\14\211M\24\213U\374\213M\20\213u\370\215<\20\213\321\301\351\2\363\245\213\312\203\341\3\3\302\377M\24\363\244u\337\213\213", ) , ) == 0x0
 02463   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "E\10P\245\215E\374Ph\364\26\375\17\245\377\263@\1\0\0\350,\246\377\377\205\300t\4\213\360\353nj\1\215E\364P\215E\370Ph\344\26\375\17\377\263@\1\0\0\350\12\246\377\377\205\300u\336\213u\374\205\366t \213\273X\1\0\0\203\307\10\245\245\245\245\213u\374\213\273X\1\0\0\203\306\20\203\307\30\245\245\245\245\213u\370\205\366t \213\273X\1\0\0\203\307(\245\245\245\245\213u\370\213\273X\1\0\0\203\306\20\203\3078\245\245\245\2453\366\203}\374\0t\10\377u\374\350\361\207\0\0\203}\370\0t\10\377u\370\350\343\207\0\0_\213\306^[\311\302\4\0\314\314\314\314\314\213\377U\213\354SV\213u\10W3\3333\3779\236X\1\0\0u\7\270\26\0\11\200\353T9]\14t(\377u\14\377\25\254\21\375\17\215|\0\2W\350\\207\0\0\213\330\205\333u\5j\10X\3531\377u\14S\377\25x\21\375\17\213\206X\1\0\0\213@H\205\300t\6P\350w\207\0\0\213\206X\1\0\0\211xL\213\206X\1\0\0\211XH3\300_^[]\302\10\0\314\314\314\314\314\213\377U\213\354SV\213u\10\205\366WtE\213\6\213M\14\213]\20\213}\24\211\1\213F\4\211\3\213\7\205\300t\6P\350*\207\0\0\3773\350\340\206\0\0\205\300\211\7u\5j\10X\353\27\213\13\213\370\213\301\301\351\2\203\306\10\363\245\213\310\203\341\3\363\2443\300_^[]\302\20\0\314\314\314\314\314\213\377U\213\354\203\354\24\213M\10\213\201X\1\0\0S3\3339] V\211]\374\213p\4\213E$W\211]\10\211\30t\7\307E\10\1\0\0\03\3009]\34\215}\354\253\253\253\253\307E\354\20\0\0\0t\329Y(\17\204\213\0\0\0\213\201X\1\0\0\215P\10\203\300\30\215", ) , ) == 0x0
 02464   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\0\0\213\2338\36\375\173\373\213\2318\37\375\173\373\213\2308\34\375\173\373\213\2328\35\375\173\373\213E\103\333\213U\143\3073\327%\374\374\374\374\201\342\317\317\317\317\212\330\212\314\301\312\4\213\2538\30\375\17\212\3323\365\213\2518\32\375\173\365\212\316\301\350\20\213\2538\31\375\173\365\212\334\301\352\20\213\2518\33\375\173\365\213l$\34\212\316%\377\0\0\0\201\342\377\0\0\0\213\2338\36\375\173\363\213\2318\37\375\173\363\213\2308\34\375\173\363\213\2328\35\375\173\363\213E\203\333\213U\243\3063\326%\374\374\374\374\201\342\317\317\317\317\212\330\212\314\301\312\4\213\2538\30\375\17\212\3323\375\213\2518\32\375\173\375\212\316\301\350\20\213\2538\31\375\173\375\212\334\301\352\20\213\2518\33\375\173\375\213l$\34\212\316%\377\0\0\0\201\342\377\0\0\0\213\2338\36\375\173\373\213\2318\37\375\173\373\213\2308\34\375\173\373\213\2328\35\375\173\373\213E\303\333\213U\343\3073\327%\374\374\374\374\201\342\317\317\317\317\212\330\212\314\301\312\4\213\2538\30\375\17\212\3323\365\213\2518\32\375\173\365\212\316\301\350\20\213\2538\31\375\173\365\212\334\301\352\20\213\2518\33\375\173\365\213l$\34\212\316%\377\0\0\0\201\342\377\0\0\0\213\2338\36\375\173\363\213\2318\37\375\173\363\213\2308\34\375\173\363\213\2328\35\375\173\363\213E 3\333\213U$3\3063\326%\374\374\374\374\201\342\317\317\317\317\212\330\212\314\301\312\4\213\2538\30\375\17\212\3323\375\213\2518\32\375\173\375\212\316\301\350\20\213\2538\31\375\173\375\212\334\301\352\20\213\2518\33\375\173\375\213l$\34\212\316%\377\0\0\0\201\342\377\0\0\0\213\2338\36\375\17", ) , ) == 0x0
 02465   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "D$ \205\300\17\204\31\7\0\0\213\307\367\320\213\357#\301#\352\3\330\213\6\3\335\3\330\301\350\20\213\357\3\3103\300f\321\303f\213\303#\350\203\360\377#\302\3\315\3\3103\300f\301\301\2f\213\301\213\350\203\360\377#\353#\307\3\320\213F\4\3\320\301\350\20\3\325\3\3703\300f\301\302\3f\213\302\213\350\203\360\377#\303#\351\3\370\3\375\203\306\10f\301\307\5\213\307\367\320\213\357#\301#\352\3\330\213\6\3\335\3\330\301\350\20\213\357\3\3103\300f\321\303f\213\303#\350\203\360\377#\302\3\315\3\3103\300f\301\301\2f\213\301\213\350\203\360\377#\353#\307\3\320\213F\4\3\320\301\350\20\3\325\3\3703\300f\301\302\3f\213\302\213\350\203\360\377#\303#\351\3\370\3\375\203\306\10f\301\307\5\213\307\367\320\213\357#\301#\352\3\330\213\6\3\335\3\330\301\350\20\213\357\3\3103\300f\321\303f\213\303#\350\203\360\377#\302\3\315\3\3103\300f\301\301\2f\213\301\213\350\203\360\377#\353#\307\3\320\213F\4\3\320\301\350\20\3\325\3\3703\300f\301\302\3f\213\302\213\350\203\360\377#\303#\351\3\370\3\375\203\306\10f\301\307\5\213\307\367\320\213\357#\301#\352\3\330\213\6\3\335\3\330\301\350\20\213\357\3\3103\300f\321\303f\213\303#\350\203\360\377#\302\3\315\3\3103\300f\301\301\2f\213\301\213\350\203\360\377#\353#\307\3\320\213F\4\3\320\301\350\20\3\325\3\3703\300f\301\302\3f\213\302\213\350\203\360\377#\303#\351\3\370\3\375\203\306\10f\301\307\5\213\307\367\320\213\357#\301#\352\3\330\213\6\3\335\3\330\301\350\20\213\357\3\3103\300f\321\303f\213\303#\350\203\360\377#\302\3\315\3\3103\300f\301\301\2f\213\301\213\350\203\360\377#\353#\307\3\320\213F\4\3\320", ) , ) == 0x0
 02466   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\345]\302\14\0\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\213\377U\213\354\213M\14\203\371\1\17\216\346\0\0\0\213E\10V\203\300\26IW\215\233\0\0\0\0\17\266p\374\213<\265XR\375\17\17\266P\375\213\24\225XV\375\17\17\266p\3733\327\213<\265XN\375\17\17\266p\3723\3273\24\265XJ\375\17\211P\372\17\266p\377\213<\265XN\375\17\17\266P\1\213\24\225XV\375\17\17\26603\327\213<\265XR\375\17\17\266p\3763\3273\24\265XJ\375\17\211P\376\17\266p\4\213<\265XR\375\17\17\266P\5\213\24\225XV\375\17\17\266p\33\327\213<\265XN\375\17\17\266p\23\3273\24\265XJ\375\17\211P\2\17\266p\10\17\266P\11\213<\265XR\375\17\17\266p\7\213\24\225XV\375\173\327\213<\265XN\375\17\17\266p\63\3273\24\265XJ\375\17\211P\6\203\300\20I\17\205+\377\377\377_^]\302\10\0\314\314\314\314\314\213\377U\213\354\203\354\30SV\213u\10\213\16W\213}\20\213\27\213_\4\213~\103\312\213V\4\213v\143\323\213]\203{\10\241\244B\377\17\211}\364\213\373\213_\14\17\266}\3663\363\213\34\275X1\375\17\211u\370\301\356\30\2134\265X5\375\173\363\17\266\37634\275X-\375\17\17\266\371\213\34\275X)\375\17\17\266}\3723\363\211E\374\213E\14\2110\213\34\275X1\375\17\213\361\301\356\30\2134\265X5\375\173\363\213]\364\211U\360\17\266\37734\275X-\375\17\17\266\322\213<\225X)\375\17\17\266U\3633\367\211p\4\213<\225X5\375\17\211M\354\17\266u\3563<\265X1\375\17\213U\370\17\266\3663<\265X-\375\17\17\266\363\213\34\265X)\375\17\17\266u\3673\373", ) , ) == 0x0
 02467   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "]\370\301\353\10\17\266\33334\235X-\375\17\17\266]\36434\235X)\375\17\17\266]\362\211p\10\17\266u\367\2134\265X5\375\1734\235X1\375\17\17\266\326\213\34\225X-\375\17\17\266U\3703\363\213\34\225X)\375\17\213U\3503\363\203\301@J\211p\14\211U\350\17\205\365\373\377\377\213\217\220\0\0\0\213\227\224\0\0\0\213\303P\4\213\267\230\0\0\03\3133p\10\213X\14\211u\364\213\267\234\0\0\03\363\211u\370\17\266\361\212\34\265Y)\375\17\210\30\17\266\366\212\34\265Y)\375\17\17\266u\366\210X\1\212\34\265Y)\375\17\213u\370\210X\2\211U\360\17\266\322\301\356\30\212\34\265Y)\375\17\210X\3\212\24\225Y)\375\17\210P\4\213U\364\17\266\366\212\34\265Y)\375\17\17\266u\372\210X\5\212\34\265Y)\375\17\210X\6\211M\354\17\266u\357\212\34\265Y)\375\17\210X\7\17\266\322\212\24\225Y)\375\17\210P\10\213U\370\17\266\366\212\34\265Y)\375\17\17\266u\356\210X\11\212\34\265Y)\375\17\17\266u\363\210X\12\212\34\265Y)\375\17\210X\13\213\30\213p\4\17\266\322\212\24\225Y)\375\17\210P\14\17\266\315\212\24\215Y)\375\17\17\266M\362\210P\15\212\24\215Y)\375\17\17\266M\367\210P\16\212\24\215Y)\375\17\210P\17\213\217\240\0\0\03\331\211\30\213\227\244\0\0\03\362\213P\10\211p\4\213\217\250\0\0\03\321\213H\14\211P\10\213\227\254\0\0\03\312_\211H\14\213M\374^[\350*\304\377\377\213\345]\302\14\0\314\314\314\314\314\314\314\314\314\314\314\314\213\377U\213\354\203\354\30\213U\24\213M\20\301\342\4S\213\34\12V\2154\12\213U\10\213\22W\213~\43\323\213]\103{\4\241\244B\377\17\211", ) , ) == 0x0
 02468   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\375\17\17\266\326\213<\225X=\375\17\213U\3643\367\17\266\37234\275X9\375\17\17\266}\362\211p\10\17\266u\357\2134\265XE\375\1734\275XA\375\17\17\266\326\213<\225X=\375\17\17\266\3233\36734\225X9\375\17\213U\350\203\351@J\211p\14\211U\350\17\205G\374\377\377\213M\20\213q\24\213Q\20\213x\43\20\213X\103\367\213x\14\211u\360\213q\303\363\211u\364\213q\343\367\211u\370\17\266\362\212\236XI\375\17\17\266u\371\210\30\212\236XI\375\17\17\266u\366\210X\1\212\236XI\375\17\213u\360\210X\2\211U\354\301\356\30\212\236XI\375\17\17\266u\360\210X\3\212\236XI\375\17\210X\4\17\266\326\212\222XI\375\17\210P\5\213U\370\301\352\20\17\266\322\212\222XI\375\17\210P\6\213U\364\301\352\30\212\222XI\375\17\210P\7\213U\364\17\266\362\212\236XI\375\17\17\266u\361\210X\10\212\236XI\375\17\17\266u\356\210X\11\212\236XI\375\17\17\266u\373\210X\12\212\236XI\375\17\17\266u\370\210X\13\212\236XI\375\17\213x\4\17\266\326\210X\14\212\222XI\375\17\213\30\213p\10\210P\15\17\266U\362\212\222XI\375\17\210P\16\17\266U\357\212\222XI\375\17\210P\17\213\213\332\211\30\213Q\43\372\211x\4\213Q\103\362\213P\14\211p\10\213I\14_3\321\213M\374^\211P\14[\350H\264\377\377\213\345]\302\14\0\314\314\314\314\314\314\314\314\314\314\213\377U\213\354\203}\24\1\213M\20\213\1uD\203\301\4\203\370\16u\22\213E\10Q\213M\14PQ\350\332\342\377\377]\302\20\0\203\370\12u\22\213U\10\213E\14QRP\350S\351\377\377]\302\20\0\213U\14PQ\213M\10QR\350 \337\377\377", ) , ) == 0x0
 02469   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\377v?SV\213u\10\212\142\17\266\301\213\330\301\353\4\17\266\233H(\375\17\203\340\17\17\266\200H(\375\17\3\330\201\343\1\0\0\200y\5K\203\313\376Cu\6\200\361\1\210\142B;\327r\310^[_]\302\10\0\314\314\314\314\314\314\314\314\314\314\314\314\314\213\377U\213\354V\213u\10W\213}\14WV\350\254\371\377\377\203\307\10W\215\206\200\0\0\0P\350\234\371\377\377\215\276\0\1\0\0\271 \0\0\0\363\245_^]\302\10\0\314\314\314\314\314\314\314\314\314\213\377U\213\354V\213u\14W\213}\10VW\350l\371\377\377\215F\10P\215\217\200\0\0\0Q\350\\371\377\377\203\306\20V\201\307\0\1\0\0W\350L\371\377\377_^]\302\10\0\314\314\314\314\314\314\213\377U\213\354\213E\24\215P\7\301\352\3\215\14\325\0\0\0\0+\310\270\377\0\0\0\323\370S\213]\20V\213u\14\213\313W\213}\10\210E\27\213\301\301\351\2\363\245\213\310\203\341\3\201\373\200\0\0\0\363\244}9\213M\10\277\1\0\0\0\276\200\0\0\0+\373\215D\31\377+\363\215\233\0\0\0\03\311\212\14\73\333\212\30\3\313\201\341\377\0\0\0\212\211 \27\375\17\210H\1@Nu\342\213u\10\17\266M\27\213\306+\302\17\266\270\200\0\0\0\5\200\0\0\0#\317\212\211 \27\375\17\210\10\271\177\0\0\0+\312x\37\215D1\1\215q\1\220\17\266L\2\377\17\26683\317\212\211 \27\375\17\210H\377HNu\351_^3\300[]\302\20\0\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\213L$\203\300\205\311v7W\213|$\14V\213t$\24SU\213\$\24+\376+\336\213\24>\213.\3\320\270\0\0\0\0\23\300\3\325\203\320\0\211\24\36\203\340\1\203\306\4Iu\341][^", ) , ) == 0x0
 02470   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\213\313\215\4\23\213\321\301\351\2\213\360\363\245\213\312\203\341\3\363\244\213u\370\213}\10\213\313\301\351\2\363\245\213\312\213U\360\203\341\3\363\244\213}\374\2154\23\213\313\213\321\301\351\2\363\245\213\312\213U\364\203\341\3\363\244\213\313\213\370\213\301\301\351\2\213\362\363\245\213\310\203\341\3\363\244\213}\370\3\323\213\362\213\313\213\321\301\351\2\363\245\213\312\213U\370\351\317\376\377\377\213E\14\213L\3\374\277\0\0\0\200\205\317t\14\213M\30VQPP\350%\361\377\377\213E\20\205|\3\374t\14\213U\24VRPP\350\20\361\377\377\213E\350\205\300^t\7P\377\25\250\21\375\17_\270\1\0\0\0[\213\345]\302\30\0_3\300[\213\345]\302\30\0\314\314\314\314\314\314\314\314\314\314\213\377U\213\354\201\354\220\0\0\0S\213]\10\213\3W3\377=RSA1\211}\374t\12_3\300[\213\345]\302\14\0\213C\10\321\350V\213\360\301\356\5F\250\37t\1F\213K\20\270\1\0\0\0;\310\215\146u\21\213u\14\213}\20\363\245^_[\213\345]\302\14\0\215C\24QP\211E\370\213E\14P\211M\10\350\223\363\377\377\205\300}b\301\346\3\201\376\210\0\0\0v\24Vj\0\377\25\364\20\375\17\205\300\211E\374tG\213\320\353\6\215\225p\377\377\3773\300\213\316\301\351\2\213\372\363\253\213\316\203\341\3\363\252\213K\20\213E\10P\213E\20\211\12\213M\370QR\213U\14RP\350\355\20\0\0\213\370\213E\374\205\300t\7P\377\25\250\21\375\17^\213\307_[\213\345]\302\14\0\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\213\377U\213\354\203\354(V\213u\10\201>RSA2u\16\215E\330PV\350\22\6\0\0\205\300u\113\300^\213\345]\302\14\0\213N\10\321\351", ) , ) == 0x0
 02471   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "u\325_^[]\302\14\0\314\314\314\314\314\314\314\314\314\314\314\213\377U\213\354Q\213E\20\205\300VW\17\204\374\0\0\0\213}\14\2154\205\0\0\0\0\213L>\374\205\311\17\204\346\0\0\0\215\14v\215T\301\4Rj\0\377\25\364\20\375\17\205\300\211E\374\17\204\313\0\0\0\215\140S\213]\10\211K\10\3\316\211K\14\3\316\211K\20\213\316\211C\4\213\367\213\370\213\301\301\351\2\363\245\213\310\203\341\3\363\244\213u\20\213K\4\301\346\2\213D\16\374\277\0\0\0\200\205\307u\30\213C\4\213U\20RPPP\350\14\341\377\377\213C\4\205|\6\374t\350\213{\20\215N\4\213\321\301\351\23\300\363\253\213\312\203\341\3\363\252\213C\20\213}\14\307D0\4\1\0\0\0\213u\20\213S\10\213C\20V\215N\2QRWP\350\351\345\377\377\205\300u\25\213M\374Q\377\25\250\21\375\17[_3\300^\213\345]\302\14\0\213S\10\213C\14VRWP\350\345\340\377\377\2113[_\270\1\0\0\0^\213\345]\302\14\0_3\300^\213\345]\302\14\0\314\314\314\314\314\314\314\213\377U\213\354\203\354\10\213E\10\213H\10\213P\14SV\213u\14W\2138\213@\4\211E\10\215\\276\3703\300;\336\211M\374\211U\370r'\220\213L\273\4;\310Ws\11\213U\374R+\301P\353\7\213U\370R+\310QS\350a\375\377\377\203\353\4;\336s\332\215\34\275\0\0\0\0\213\143;\310s!+\310\211\143\215\244$\0\0\0\0\213E\10WP\215F\4PP\350\1\340\377\377\205\300t\355\353&+\310\211\143\213M\10W\215F\4QP\350\10\343\377\377\205\300|\17\213U\10WR\215F\4PP\350\31\340\377\377\213E\10\213L3\374\213\243WP\213D\3\374PQR\350E", ) , ) == 0x0
 02472   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\253\253\253\2533\300\203e\374\0\215}\364\253\2533\300\215}\354\253\253\215E\374\211E\370\215E\354Pj\0\215E\324Pj\0\215E\344Ph4]\375\17\215E\364P\307E\324\20\0\0\0\307E\364\4\0\0\0\307E\344\21\0\0\0\307E\350 ]\375\17\350\273\371\377\377\203}\360\0\213\370t\11\377u\360\377\25\250\21\375\17\213\307_\311\303\314\314\314\314\314\213\377U\213\354\203\354(3\300VW\215}\330\253\253\253\2533\300\215}\360\253\2533\300\215}\370\2533\3119M\14j\4\253Xt\2\213\310\211E\360\215E\10\211E\364\215E\370PQ\215E\330Pj\0\215E\350Ph4]\375\17\215E\360P\307E\330\20\0\0\0\307E\350\21\0\0\0\307E\354 ]\375\17\3508\371\377\377\205\300t\4\213\360\3533\377u\370\350b\367\377\377\205\300\213U\20\211\2u\5j\10^\353\35\213M\370\213E\24\213u\374\211\10\213:\213\301\301\351\2\363\245\213\310\203\341\3\363\2443\366\203}\374\0t\11\377u\374\377\25\250\21\375\17_\213\306^\311\302\20\0\314\314\314\314\314\213\377U\213\354\203\354(W3\300\215}\330\253\253\253\2533\300\215}\360\253\2533\300\215}\350\253\2533\300\215}\370\2533\3119M\10\253t\3j\4Y\213E\20\211E\360\213E\14j\0\211E\364\215E\350PQ\215E\330Pj\0\215E\370Pj\0\215E\360P\307E\330\20\0\0\0\307E\370\21\0\0\0\307E\374 ]\375\17\350\343\370\377\377\205\300\213M\354t\4\213\370\353\26\203}\350\4t\7\277\26\0\11\200\353\11\213\1\213U\24\211\23\377\205\311t\7Q\377\25\250\21\375\17\213\307_\311\302\20\0\314\314\314\314\314\213\377U\213\354\203\354 \241\244B\377\17S3\333VW\2135D\20\375\17\213}\10\211E\374", ) , ) == 0x0
 02473   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\363\2443\300_^[\311\302\14\0\314\314\314\314\314\213\377U\213\354\203\3548\241\244B\377\17\213M S\213]\34V\2135 \21\375\17W3\377WS\377u\30\211E\374\213E\14W\377u\24\211E\320\377u\20\211M\314P\211}\330\211}\324\377\326\203\370\377\17\205\246\0\0\0\377\25\310\21\375\179}\10\17\204\223\0\0\0\211E\310\215E\330Pj\10\3508\351\377\377;\307uxj\103\300\366E\23\200Y\215}\334\363\253\215E\344\307E\334\1\0\0\0Pt\7hx^\375\17\353\5hd^\375\17j\0\377\25p\20\375\173\377;\307t=\215E\324P\215E\334P\377u\330\307E\354\2\0\0\0\377\25l\20\375\17\205\300t!9}\324t&W\201\313\0\0\0\2S\377u\30W\377u\24\377u\20\377u\320\377\326\203\370\377u\23\377\25\310\21\375\17\213\360\353\20\213u\310\353\13\213\360\353\26\213M\314\211\13\366\203}\330\0t\11\377u\330\377\25\370\20\375\17\213M\374_\213\306^[\350\273d\377\377\311\302\34\0\314\314\314\314\314\213\377U\213\354QQSV\213u\30\203\16\377Wj\33\3773\333\366E\17\200X\211}\374\211E\370t\4C\211E\370\366E\17@t\12j\4X3\333\211E\370\213\370\215E\374P\377u\24\377u\20\350&\376\377\377\205\300ufV\201\317\0\0\0\10W\377u\370S\377u\14\377u\374\377u\10\350\202\376\377\377\205\300t:3\366\203\370 t\5\203\370\5u2\203\376\30s-\377\266\364B\377\17\377\25\20\21\375\17\377u\30\203\306\4W\377u\370S\377u\14\377u\374\377u\10\350H\376\377\377\205\300u\3103\366\353\14\203\370\2\276\26\0\11\200t\2\213\360\203}\374\0t\10\377u\374\350\244\346\377\377_\213\306^[\311\302\24\0\314", ) , ) == 0x0
 02474   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "6\377\327\205\300\17\204\316\0\0\09]\14u\109\235\234\375\377\377tL\215\205\244\375\377\377P\350\14\335\377\377;\303\17\205\277\0\0\09\235\244\375\377\377u\32\276 \0\11\200\353g\215\205\254\375\377\377P\3776\377\327\205\300\17\204\213\0\0\0\377\265\244\375\377\377\215\205\330\375\377\377P\350"\376\377\377\205\300t\327\377\265\224\375\377\377\215\205\330\375\377\377\377\265\230\375\377\377\377\265\250\375\377\377P\377u\14\350\345\373\377\377;\303\17\205k\377\377\3773\3669\235\244\375\377\377t\13\377\265\244\375\377\377\350\354\327\377\3779\235\250\375\377\377t\13\377\265\250\375\377\377\350\331\327\377\3779\235\240\375\377\377t\13\377\265\240\375\377\377\350\306\327\377\377\213M\374_\213\306^[\350\7U\377\377\311\302\30\0\377\25\310\21\375\17\203\370\22u\7\276\3\1\0\0\353\244\213\360\353\240\314\314\314\314\314\213\377U\213\354\201\354(\4\0\0\241\244B\377\17S\213]\14V\2135\24\21\375\17W3\322RR\211E\374\213E\10j\377\211\205\330\373\377\377\213E\30S\211\205\334\373\377\377j\23\300\271\5\1\0\0\215\275\350\373\377\377R\211\225\340\373\377\377\363\253\377\326\213\370\205\377u\15\377\25\310\21\375\17\213\360\351\251\0\0\0\215G\1=\12\2\0\0v(\215D?\2P\350\336\326\377\377\205\300\211\205\344\373\377\377u\10j\10^\351\203\0\0\0\307\205\340\373\377\377\1\0\0\0\353\14\215\205\350\373\377\377\211\205\344\373\377\377W\377\265\344\373\377\377j\377Sj\2j\0\377\326\205\300u\12\377\25\310\21\375\17\213\360\3530\377\265\334\373\377\377\377u\24\377u\20\377\265\344\373\377\377\377\265\330\373\377\377\377\25t\20\375\17\205\300t\14\203\370\2u\325\276\26\0\11\200\353\23\366\203\275\340\373\377\377\0t\24\203\275\344\373\377\377", ) \376\377\377\205\300t\327\377\265\224\375\377\377\215\205\330\375\377\377\377\265\230\375\377\377\377\265\250\375\377\377P\377u\14\350\345\373\377\377;\303\17\205k\377\377\3773\3669\235\244\375\377\377t\13\377\265\244\375\377\377\350\354\327\377\3779\235\250\375\377\377t\13\377\265\250\375\377\377\350\331\327\377\3779\235\240\375\377\377t\13\377\265\240\375\377\377\350\306\327\377\377\213M\374_\213\306^[\350\7U\377\377\311\302\30\0\377\25\310\21\375\17\203\370\22u\7\276\3\1\0\0\353\244\213\360\353\240\314\314\314\314\314\213\377U\213\354\201\354(\4\0\0\241\244B\377\17S\213]\14V\2135\24\21\375\17W3\322RR\211E\374\213E\10j\377\211\205\330\373\377\377\213E\30S\211\205\334\373\377\377j\23\300\271\5\1\0\0\215\275\350\373\377\377R\211\225\340\373\377\377\363\253\377\326\213\370\205\377u\15\377\25\310\21\375\17\213\360\351\251\0\0\0\215G\1=\12\2\0\0v(\215D?\2P\350\336\326\377\377\205\300\211\205\344\373\377\377u\10j\10^\351\203\0\0\0\307\205\340\373\377\377\1\0\0\0\353\14\215\205\350\373\377\377\211\205\344\373\377\377W\377\265\344\373\377\377j\377Sj\2j\0\377\326\205\300u\12\377\25\310\21\375\17\213\360\3530\377\265\334\373\377\377\377u\24\377u\20\377\265\344\373\377\377\377\265\330\373\377\377\377\25t\20\375\17\205\300t\14\203\370\2u\325\276\26\0\11\200\353\23\366\203\275\340\373\377\377\0t\24\203\275\344\373\377\377", ) == 0x0
 02475   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\353U\215E\10P\215E\374PS\350\11\375\377\377\205\300t\4\213\360\3531\213}\30\205\377\213M\10\213E\34u\4\211\10\353\369\10\211\10s\7\276\352\0\0\0\353\23\213u\374\213\301\301\351\2\363\245\213\310\203\341\3\363\2443\366\203}\374\0t\10\377u\374\3507\310\377\377\205\333t\6S\350-\310\377\377[\203}\370\0t\10\377u\370\350\36\310\377\377\203}\364\0t\10\377u\364\350\20\310\377\377_\213\306^\311\302\30\0\314\314\314\314\314\213\377U\213\354V\213u\10\205\366t\24\213F\4\205\300t\7P\377\25\244\21\375\17V\350\342\307\377\377^]\302\4\0\314\314\314\314\314h4\1\0\0hx_\375\17\350\303G\377\377\241\244B\377\17\211E\344\213E\10\211\205\274\376\377\3773\333\211\235\330\376\377\377\211\235\304\376\377\377\211\235\300\376\377\377\211\235\324\376\377\377\211\235\314\376\377\377\211]\374\215\205\324\376\377\377Ph\31\0\2\0ShP_\375\17h\2\0\0\200\377\25\224\20\375\17\211\205\310\376\377\377;\303\17\205\341\0\0\0\307\205\320\376\377\377\5\1\0\0\215\205\320\376\377\377P\215\205\334\376\377\377PSS\277D_\375\17W\377\265\324\376\377\377\2135\300\20\375\17\377\326\211\205\310\376\377\377;\303tL=\352\0\0\0\17\205\236\0\0\0\377\265\320\376\377\377\350\331\306\377\377\211\205\330\376\377\377;\303\17\204\205\0\0\0\307\205\304\376\377\377\1\0\0\0\215\215\320\376\377\377QPSSWh\2\0\0\200\377\326\211\205\310\376\377\377;\303t\16\353]\215\205\334\376\377\377\211\205\330\376\377\377j\14_W\350\216\306\377\377\213\360\211\265\300\376\377\377;\363t<\211>SS\377\265\330\376\377\377\377\25H\21\375\17\211F\4;\303t%h4_\375\17P\377\25\234\21\375\17\211F\10;\303t\22\213", ) , ) == 0x0
 02476   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\350\307E\334\10\0\0\0\377u\330\350~\270\377\377\203M\374\3773\3779}\340t\11\377u\340\377\25\304\20\375\17\213E\334\350\2278\377\377\303\314\314\314\314\314\213\377U\213\354\213M\20\205\311\213E\14V\213u\10u\10\213H$\211N\30\353\6\213P$\211Q$P\350\310\375\377\377\377N$^]\302\14\0\314\314\314\314\314\213\377U\213\354\213U\10\213B\30VW3\3663\3113\377\205\300t#S\205\311t\10\213X ;Y s\4\213\310\213\376\213\360\213@$\205\300u\347WQR\350\223\377\377\377[_^]\302\4\0\314\314\314\314\314\213\377U\213\354VW\377\25l\21\375\17\213U\10\213J,\213u\14\213\3703\300@\203\371\377t\27S\213\337+^ ;\331[v\14\377u\20VR\350R\377\377\3773\300\211~ _^]\302\14\0\314\314\314\314\314\213\377U\213\354QQ\213E\10S\213X\30W3\300\215}\370\253\253\213E\24\203 \0\215E\370P\350\235\266\377\377\205\300t\43\300\353}\205\333twV\213C\24;E\20uI\213s\20\213}\14\212\17\212\301:\16u\32\204\300t\22\212O\1\212\301:N\1u\14GGFF\204\300u\3423\300\353\5\33\300\203\330\377\205\300u\30j\10Y\215{\30\215u\3703\300\363\246t\5\33\300\203\330\377\205\300t\14\213E\24\211\30\213[$\205\333u\243\205\333^t\24\213E\24\3770S\377u\10\350\31\377\377\377\205\300u\23\333\213\303_[\311\302\20\0\314\314\314\314\314\213\377U\213\354QVW\213}\10\213w\30\203e\10\0\377\25l\21\375\17\211E\374+G\349G(w2\205\366t(S\213E\374+F 9G(s\21\377u\10\213^$VW\350M\376\377\377\213\363\353\6\211u\10\213v$\205\366u\332[", ) , ) == 0x0
 02477   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "D\22\2\0\236\21\2\0\252\21\2\0\266\21\2\0\300\21\2\0\316\21\2\0\334\21\2\0\350\21\2\0\372\21\2\0\16\22\2\0"\22\2\00\22\2\0<\26\2\0\0\0\0\0r\21\2\0V\21\2\0B\21\2\0.\21\2\0\24\21\2\0\376\20\2\0\272\22\2\0\322\22\2\0\342\22\2\0\360\22\2\0\376\22\2\0\22\23\2\0\36\23\2\00\23\2\0>\23\2\0J\23\2\0R\23\2\0h\23\2\0x\23\2\0\216\23\2\0\234\23\2\0\260\23\2\0\274\23\2\0\312\23\2\0\330\23\2\0\352\23\2\0\372\23\2\0\20\24\2\0&\24\2\06\24\2\0H\24\2\0Z\24\2\0j\24\2\0z\24\2\0\206\24\2\0\220\24\2\0\242\24\2\0\350\20\2\0\330\20\2\0\276\20\2\0\240\20\2\0\224\20\2\0x\20\2\0b\20\2\0J\20\2\0:\20\2\0.\20\2\0"\20\2\0\6\20\2\0\366\17\2\0\344\17\2\0\330\17\2\0\312\17\2\0\276\17\2\0\262\17\2\0\240\17\2\0\210\17\2\0p\17\2\0d\17\2\0X\17\2\0H\17\2\08\17\2\0\0\0\0\0\216\25\2\0\202\25\2\0v\25\2\0\0\0\0\0\364\16\2\0\376\16\2\0\6\17\2\0\22\17\2\0\34\17\2\0\326\24\2\0\314\24\2\0\302\24\2\0\270\24\2\0\256\24\2\0\340\16\2\0\0\0\0\0\376\24\2\0\10\25\2\0\26\25\2\0&\25\2\0F\25\2\0X\25\2\0\346\24\2\0\0\0\0\0\355\0_except_handler3\0\0\372\1_strlwr\0\245\2free\0\0;\1_initterm\0\330\2malloc\0\0\266\0_adjust_fdiv\0\0msvcrt.dll\0\0h\1GetLas", ) \22\2\00\22\2\0<\26\2\0\0\0\0\0r\21\2\0V\21\2\0B\21\2\0.\21\2\0\24\21\2\0\376\20\2\0\272\22\2\0\322\22\2\0\342\22\2\0\360\22\2\0\376\22\2\0\22\23\2\0\36\23\2\00\23\2\0>\23\2\0J\23\2\0R\23\2\0h\23\2\0x\23\2\0\216\23\2\0\234\23\2\0\260\23\2\0\274\23\2\0\312\23\2\0\330\23\2\0\352\23\2\0\372\23\2\0\20\24\2\0&\24\2\06\24\2\0H\24\2\0Z\24\2\0j\24\2\0z\24\2\0\206\24\2\0\220\24\2\0\242\24\2\0\350\20\2\0\330\20\2\0\276\20\2\0\240\20\2\0\224\20\2\0x\20\2\0b\20\2\0J\20\2\0:\20\2\0.\20\2\0 (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "D\22\2\0\236\21\2\0\252\21\2\0\266\21\2\0\300\21\2\0\316\21\2\0\334\21\2\0\350\21\2\0\372\21\2\0\16\22\2\0"\22\2\00\22\2\0<\26\2\0\0\0\0\0r\21\2\0V\21\2\0B\21\2\0.\21\2\0\24\21\2\0\376\20\2\0\272\22\2\0\322\22\2\0\342\22\2\0\360\22\2\0\376\22\2\0\22\23\2\0\36\23\2\00\23\2\0>\23\2\0J\23\2\0R\23\2\0h\23\2\0x\23\2\0\216\23\2\0\234\23\2\0\260\23\2\0\274\23\2\0\312\23\2\0\330\23\2\0\352\23\2\0\372\23\2\0\20\24\2\0&\24\2\06\24\2\0H\24\2\0Z\24\2\0j\24\2\0z\24\2\0\206\24\2\0\220\24\2\0\242\24\2\0\350\20\2\0\330\20\2\0\276\20\2\0\240\20\2\0\224\20\2\0x\20\2\0b\20\2\0J\20\2\0:\20\2\0.\20\2\0"\20\2\0\6\20\2\0\366\17\2\0\344\17\2\0\330\17\2\0\312\17\2\0\276\17\2\0\262\17\2\0\240\17\2\0\210\17\2\0p\17\2\0d\17\2\0X\17\2\0H\17\2\08\17\2\0\0\0\0\0\216\25\2\0\202\25\2\0v\25\2\0\0\0\0\0\364\16\2\0\376\16\2\0\6\17\2\0\22\17\2\0\34\17\2\0\326\24\2\0\314\24\2\0\302\24\2\0\270\24\2\0\256\24\2\0\340\16\2\0\0\0\0\0\376\24\2\0\10\25\2\0\26\25\2\0&\25\2\0F\25\2\0X\25\2\0\346\24\2\0\0\0\0\0\355\0_except_handler3\0\0\372\1_strlwr\0\245\2free\0\0;\1_initterm\0\330\2malloc\0\0\266\0_adjust_fdiv\0\0msvcrt.dll\0\0h\1GetLas", ) , ) == 0x0
 02478   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\225\13#\305r\230\235IzFN\341\346/\306c!\217f\334\233\314\342'\3'\205\360:\2\373@\0\0\0\0Qt\366\362#\354\241vUX\7q\277\177\12\36kHH\273\222\266*\261\7\244!\321\306\313_@\316\335\272\333\374\27\373\247\275\341\364c\330\236\211\342\335z\354\21\326\251\234\272\307^5\226\246o\177,\0\0\0\0\0\0\0\0RSA1H\0\0\0\0\2\0\0?\0\0\0\1\0\1\0\357L\154\317D\17\261s\254\324\233\276\314-\21*+\275!\4\216\254\255\325\374\322P\245\33C\25bg\217^\0\271%\33\342O\276\241P\241D;\27\330\221\365(\371\372\256\347\300\375\271\315vO\0\0\0\0\0\0\0\0\270/k\211\310\354\364\376\13\360m*\332?\303\350\226\202\205\353\256\1\24s\371\10E\300jm>i\200j\14a\212c\322\373\0\0\0\334\356L\371,\0\0\0\3618)\311\336\0\0\0\224Vx\220\253\315\357YE\232\371'\204t\312\325Xu\22\316\357w\223{\230\337\235\242\334{z\235\223\216\366|\1^\353\1#\4g\10\253\15\357Now is t\254\227M\331\2\23\210,G\334\360\23\177\245\3262\1#Eg\211\253\315\357Now is t?\244\16\212\230MH\25\345\307\315\336\207+\362|\1#Eg\211\253\315\357#Eg\211\253\315\357\1Eg\211\253\315\357\1#Now is t1O\203'\372z\11\250\363\300\377\2l\20\211\1#Eg\211\253\315\357#Eg\211\253\315\357\1Now is t\267\203Wy\356&\254\267\23K\230\370\356\263\366\7\0\1\2\3\4\5\6\7\10\11\12\13\14\15\16\17\0\1\2\3\4\5\6\7\10\11\12\13\14\15\16\17\12\224\13\265An\360E\361\303\224X\306S\352Z", ) , ) == 0x0
 02479   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "age Authentication Code\0\0\0\0\0\0\0\0\0\0\0\0\0\0$\0\0\0\4\0\0\200\1\0\0\0@\0\00\0\0\0\11\0\0\0RSA_SIGN\0\0\0\0\0\0\0\0\0\0\0\0\16\0\0\0RSA Signature\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\244\0\0\0\4\0\0\200\1\0\0\0@\0\00\0\0\0\11\0\0\0RSA_KEYX\0\0\0\0\0\0\0\0\0\0\0\0\21\0\0\0RSA Key Exchange\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\11\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\5\0\0\0HMAC\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\22\0\0\0Hugo's MAC (HMAC)\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\2f\0\0\200\0\0\0(\0\0\0\200\0\0\0\0\0\0\0\4\0\0\0RC2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\30\0\0\0RSA Data Security's RC2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1h\0\0\200\0\0\0(\0\0\0\200\0\0\0\0\0\0\0\4\0\0\0", ) , ) == 0x0
 02480   896   NtReadFile  (136, 0, 0, 0, 1924, 0x0, 0, ... {status=0x0, info=1924},  (136, 0, 0, 0, 1924, 0x0, 0, ... {status=0x0, info=1924}, " \1\0\0\0\0\0\0\14\0\0\0SSL3 SHAMD5\0\0\0\0\0\0\0\0\0\14\0\0\0SSL3 SHAMD5\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0$\0\0\0\4\0\0\200\1\0\0\0@\0\0 \0\0\0\11\0\0\0RSA_SIGN\0\0\0\0\0\0\0\0\0\0\0\0\16\0\0\0RSA Signature\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\10$\377\17\200(\377\17\250-\377\17\09\377\17\340?\377\17\3202\377\17\20\244\37M\331o\320\21\214X\0\300O\331\22k\21\244\37M\331o\320\21\214X\0\300O\331\22k\22\244\37M\331o\320\21\214X\0\300O\331\22k0\214\7\212U7\320\21\240\275\0\252\0aBj\277D\377\377@\273\0\0\0\0\0\0\0\0\0\0\0\0\0\0\320[\375\17\324[\375\17\330[\375\17\334[\375\17\340[\375\17\350[\375\17\360[\375\17\370[\375\17\0\\375\17\14\\375\17\30\\375\17$\\375\170\\375\17@\\375\17P\\375\17`\\375\17\1\0\0\0\12\0\0\0d\0\0\0\364\1\0\0\350\3\0\0\210\23\0\0\0\0\0\0\355\11\377\17\10\12\377\17\0\0\0\0\357\6\377\17\0\0\0\0\333\6\377\17\300\6\377\17\345\6\377\17\0\0\0\0\22\12\377\17\0\0\0\0\310\11\377\17", ) , ) == 0x0
 02481   896   NtQueryInformationFile  (136, 454300, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 02482   896   NtSetInformationFile  (136, 454300, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 02483   896   NtQueryInformationFile  (136, 454300, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 02484   896   NtSetInformationFile  (136, 454300, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 02485   896   NtReadFile  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096},  (136, 0, 0, 0, 4096, 0x0, 0, ... {status=0x0, info=4096}, "\0\07\0C\0A\0P\0I\0:\0 \0T\0h\0e\0 \0i\0n\0s\0t\0a\0l\0l\0 \0p\0r\0o\0g\0r\0a\0m\0 \0c\0o\0u\0l\0d\0 \0n\0o\0t\0 \0o\0p\0e\0n\0 \0s\0i\0g\0n\0a\0t\0u\0r\0e\0 \0f\0i\0l\0e\0?\0C\0A\0P\0I\0:\0 \0T\0h\0e\0 \0i\0n\0s\0t\0a\0l\0l\0 \0p\0r\0o\0g\0r\0a\0m\0 \0c\0o\0u\0l\0d\0 \0n\0o\0t\0 \0g\0e\0t\0 \0t\0h\0e\0 \0s\0i\0z\0e\0 \0o\0f\0 \0R\0s\0a\0b\0a\0s\0e\0.\0s\0i\0g\03\0C\0A\0P\0I\0:\0 \0T\0h\0e\0 \0i\0n\0s\0t\0a\0l\0l\0 \0p\0r\0o\0g\0r\0a\0m\0 \0c\0o\0u\0l\0d\0 \0n\0o\0t\0 \0a\0l\0l\0o\0c\0a\0t\0e\0 \0m\0e\0m\0o\0r\0y\04\0C\0A\0P\0I\0:\0 \0T\0h\0e\0 \0i\0n\0s\0t\0a\0l\0l\0 \0p\0r\0o\0g\0r\0a\0m\0 \0c\0o\0u\0l\0d\0 \0n\0o\0t\0 \0R\0e\0a\0d\0 \0R\0s\0a\0b\0a\0s\0e\0.\0s\0i\0g\05\0C\0A\0P\0I\0:\0 \0T\0h\0e\0 \0i\0n\0s\0t\0a\0l\0l\0 \0p\0r\0o\0g\0r\0", ) , ) == 0x0
 02486   896   NtReadFile  (136, 0, 0, 0, 2704, 0x0, 0, ... {status=0x0, info=2704},  (136, 0, 0, 0, 2704, 0x0, 0, ... {status=0x0, info=2704}, "\2208\3138\3258\3378\3518\09\79\279$9=9D9Q9\9n9u9\1779\2119\3129\3279\3479\3619\10:\17:\37:*:A:H:X:c:u:|:\206:\223:\316:\333:\353:\365:\14;\23;#;.;B;I;Y;d;v;};\207;\224;\317;\331;\351;\363;\7<\24<$\30>(>6>G>T>d>r>\200>\222>\237>\255>\273>;?]?j?t?~?\226?\247?\256?\275?\323?\332?\341?\360?\0p\1\0\324\1\0\0\20\110\230\370q0x0\2020\2140\2360\2570\2660\3050\3330\3420\3510\3700\121\211\331'1n1z1\2071\2311\2461\2621\3041\3231\3421\3571\3741\112\262%272D2\2732\3422\3512\3632\3752\303&3-373E3R3a3o3\2033\2123\2263\2403\3533\3623\3743\64\304&404?4R4Y4c4r4\2044\2134\2254\2374\3324\3474\3614\3734\165\255\375,5B5I5P5]5o5v5\2005\2125\3035\3125\3245\3365\3645\3735\106\276&616;6H6Z6a6k6u6\2546\2636\2756\3076\3316\3526\3616\07\237\327$737E7L7V7b7\2477\2637\3007\3227\3377\3537\3757\148\338(858B8O8^8p8}8\3538\229\319", ) , ) == 0x0
 02487   896   NtUnmapViewOfSection  (-1, 0x950000, ... ) == 0x0
 02488   896   NtClose  (140, ... ) == 0x0
 02489   896   NtClose  (136, ... ) == 0x0
 02490   896   NtOpenKey  (0x20119, {24, 16, 0x40, 0, 0,  (0x20119, {24, 16, 0x40, 0, 0, "Software\Policies\Microsoft\Cryptography"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02491   896   NtOpenKey  (0x20119, {24, 16, 0x40, 0, 0,  (0x20119, {24, 16, 0x40, 0, 0, "Software\Microsoft\Cryptography"}, ... 136, ) }, ... 136, ) == 0x0
 02492   896   NtQueryValueKey  (136,  (136, "MachineGuid", Partial, 144, ... TitleIdx=0, Type=1, Data="4\0c\0d\0d\07\03\08\06\0-\0b\03\06\01\0-\04\05\0a\0c\0-\09\02\0e\00\0-\0b\07\0f\0d\06\02\04\07\06\0d\0d\0c\0\0\0"}, 86, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (136, "MachineGuid", Partial, 144, ... TitleIdx=0, Type=1, Data="4\0c\0d\0d\07\03\08\06\0-\0b\03\06\01\0-\04\05\0a\0c\0-\09\02\0e\00\0-\0b\07\0f\0d\06\02\04\07\06\0d\0d\0c\0\0\0"}, 86, ) }, 86, ) == 0x0
 02493   896   NtQueryValueKey  (136,  (136, "MachineGuid", Partial, 144, ... TitleIdx=0, Type=1, Data="4\0c\0d\0d\07\03\08\06\0-\0b\03\06\01\0-\04\05\0a\0c\0-\09\02\0e\00\0-\0b\07\0f\0d\06\02\04\07\06\0d\0d\0c\0\0\0"}, 86, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (136, "MachineGuid", Partial, 144, ... TitleIdx=0, Type=1, Data="4\0c\0d\0d\07\03\08\06\0-\0b\03\06\01\0-\04\05\0a\0c\0-\09\02\0e\00\0-\0b\07\0f\0d\06\02\04\07\06\0d\0d\0c\0\0\0"}, 86, ) }, 86, ) == 0x0
 02494   896   NtQueryValueKey  (136,  (136, "MachineGuid", Partial, 144, ... TitleIdx=0, Type=1, Data="4\0c\0d\0d\07\03\08\06\0-\0b\03\06\01\0-\04\05\0a\0c\0-\09\02\0e\00\0-\0b\07\0f\0d\06\02\04\07\06\0d\0d\0c\0\0\0"}, 86, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (136, "MachineGuid", Partial, 144, ... TitleIdx=0, Type=1, Data="4\0c\0d\0d\07\03\08\06\0-\0b\03\06\01\0-\04\05\0a\0c\0-\09\02\0e\00\0-\0b\07\0f\0d\06\02\04\07\06\0d\0d\0c\0\0\0"}, 86, ) }, 86, ) == 0x0
 02495   896   NtQueryValueKey  (136,  (136, "MachineGuid", Partial, 144, ... TitleIdx=0, Type=1, Data="4\0c\0d\0d\07\03\08\06\0-\0b\03\06\01\0-\04\05\0a\0c\0-\09\02\0e\00\0-\0b\07\0f\0d\06\02\04\07\06\0d\0d\0c\0\0\0"}, 86, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (136, "MachineGuid", Partial, 144, ... TitleIdx=0, Type=1, Data="4\0c\0d\0d\07\03\08\06\0-\0b\03\06\01\0-\04\05\0a\0c\0-\09\02\0e\00\0-\0b\07\0f\0d\06\02\04\07\06\0d\0d\0c\0\0\0"}, 86, ) }, 86, ) == 0x0
 02496   896   NtClose  (136, ... ) == 0x0
 02497   896   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "Software\Microsoft\Cryptography\Offload"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02498   896   NtOpenThreadToken  (-2, 0x2000000, 1, ... ) == STATUS_NO_TOKEN
 02499   896   NtOpenProcessToken  (-1, 0x8, ... 136, ) == 0x0
 02500   896   NtQueryInformationToken  (136, User, 1024, ... {token info, class 1, size 36}, 36, ) == 0x0
 02501   896   NtClose  (136, ... ) == 0x0
 02502   896   NtDeviceIoControlFile  (120, 0, 0x0, 0x0, 0x390008,  (120, 0, 0x0, 0x0, 0x390008, "^#\307\374kG\320\232E\213\231bRu\17u\221\373\12\202R\34I\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 02503   896   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 02504   896   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 02505   896   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 02506   896   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 02507   896   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 02508   896   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 02509   896   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 02510   896   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147481368, 2, ) }, 0, 0x0, 0, ... -2147481368, 2, ) == 0x0
 02511   896   NtSetValueKey  (-2147481368,  (-2147481368, "Seed", 0, 3, "\216\303\32\272\336\244\314\2254\232\357\343\350w}\232\1\222\204\246\30b\346\36]\336t\341\362lP\15\244\364\30\344'Q\236'\31\367g\221\360\222\372\335\313\244F\313\254\237\257\255Eb\272\241\33u\331\314)B\354V\263$v\341\336S&\365\12\367\264\274", 80, ... ) , 0, 3,  (-2147481368, "Seed", 0, 3, "\216\303\32\272\336\244\314\2254\232\357\343\350w}\232\1\222\204\246\30b\346\36]\336t\341\362lP\15\244\364\30\344'Q\236'\31\367g\221\360\222\372\335\313\244F\313\254\237\257\255Eb\272\241\33u\331\314)B\354V\263$v\341\336S&\365\12\367\264\274", 80, ... ) , 80, ... ) == 0x0
 02512   896   NtClose  (-2147481368, ... ) == 0x0
 02502   896   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "0\352\334\357\225\34\320\243\223J\334f5\26\3364\300(\343\303\270\252=\245\344\250pm\263\236\233\367/\22d/\351W\314\177L\347\334\206\353\30\25^\33\315`<\261\343\261\24\325\233\205\325\246\356\253\237p\3739Y\311<~.\12\344V\211\139\327ln\215\23a\304\340\226IA\266o\272\11o\322NY\3720\311\24\267n\331\325@\26?\267i\210,\344\366\215f\347\252SuTb\3lF"\277\212\12L\354\255\20H\342\343\342\3645\324\215V\101(\22\244_\352\326l\26474\37G\315`E\307Z\11IH\0a\3\241\200m\25\17.\177EE8\227>\276\263\207/)]i.N\250\272\276\334\224\20\343\334\237TV\307\7r\214g}k\303\377\317\27\367\244\217\302\31\21\320\230\3\261\276&\352\360\314\364\262\240q'%\240?\325\235u8\303;\201\227c\37\325\276\16K\7\370\335(\360\364\2320", ) \277\212\12L\354\255\20H\342\343\342\3645\324\215V\101(\22\244_\352\326l\26474\37G\315`E\307Z\11IH\0a\3\241\200m\25\17.\177EE8\227>\276\263\207/)]i.N\250\272\276\334\224\20\343\334\237TV\307\7r\214g}k\303\377\317\27\367\244\217\302\31\21\320\230\3\261\276&\352\360\314\364\262\240q'%\240?\325\235u8\303;\201\227c\37\325\276\16K\7\370\335(\360\364\2320", ) == 0x0
 02513   896   NtDeviceIoControlFile  (120, 0, 0x0, 0x0, 0x390008,  (120, 0, 0x0, 0x0, 0x390008, "^#\307\374kG\320\232E\213\231bRu\343I_.\360\36\25\232\234\221\373\12\202R\34I\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 02514   896   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 02515   896   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 02516   896   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 02517   896   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 02518   896   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 02519   896   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 02520   896   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 02521   896   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147481368, 2, ) }, 0, 0x0, 0, ... -2147481368, 2, ) == 0x0
 02522   896   NtSetValueKey  (-2147481368,  (-2147481368, "Seed", 0, 3, "N\241_\220\213\34Z\200\252\201\214\177\314rL\37\272\4U\364E\15\251\202-\26.4\267\12n\2002oi\307\325Nj\272\317I5\226\353\205\356nW\240!iZ\362+\217\256HXK\362\257H\370\323\34\26\15\343\260\301\341\16\256Q\240\2719W[", 80, ... ) , 0, 3,  (-2147481368, "Seed", 0, 3, "N\241_\220\213\34Z\200\252\201\214\177\314rL\37\272\4U\364E\15\251\202-\26.4\267\12n\2002oi\307\325Nj\272\317I5\226\353\205\356nW\240!iZ\362+\217\256HXK\362\257H\370\323\34\26\15\343\260\301\341\16\256Q\240\2719W[", 80, ... ) , 80, ... ) == 0x0
 02523   896   NtClose  (-2147481368, ... ) == 0x0
 02513   896   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "\20\331\305uL3\233\301\0\266\325\4\252s\252\221T'F\236b\3028\20\357\7\302\352o\217\275\261aZO\200S\255&X\234\252Ro@.;\260\361\33u\336\213\372h#J\345'_F\367F\307\266\16X\262\26\210\304#\266\363\10~\277{'C8\3231\354\202\377\370j\301R\2761\221\327)T\33\205\304\257\206\271\325*~\243\240\303\314\257\31\245O\311\341\365\332\250\212\301\21\253^\342\244\235\260\255\321\324\243\367}\22\2407lhhh\315#1\347\2\2351\252\251\21\253\315G\216A\224\27!\314\\356\332t5*\240xO\316>NT\325\355\33V\247\26kn\246w5z\313'\222\371LA\365\300\233\261\337\357", ) aZO\200S\255&X\234\252Ro@.;\260\361\33u\336\213\372h#J\345'_F\367F\307\266\16X\262\26\210\304#\266\363\10~\277{'C8\3231\354\202\377\370j\301R\2761\221\327)T\33\205\304\257\206\271\325*~\243\240\303\314\257\31\245O\311\341\365\332\250\212\301\21\253^\342\244\235\260\255\321\324\243\367}\22\2407lhhh\315#1\347\2\2351\252\251\21\253\315G\216A\224\27!\314\\356\332t5*\240xO\316>NT\325\355\33V\247\26kn\246w5z\313'\222\371LA\365\300\233\261\337\357", ) == 0x0
 02524   896   NtDeviceIoControlFile  (120, 0, 0x0, 0x0, 0x390008,  (120, 0, 0x0, 0x0, 0x390008, "^#\307\374kG\320\232E\213\231bRu\343I_.\360\36\25v\240_.\360\36\25\232\234\221\373\12\202R\34I\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 02525   896   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 02526   896   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 02527   896   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 02528   896   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 02529   896   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 02530   896   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 02531   896   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 02532   896   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147481368, 2, ) }, 0, 0x0, 0, ... -2147481368, 2, ) == 0x0
 02533   896   NtSetValueKey  (-2147481368,  (-2147481368, "Seed", 0, 3, "\327\260\3\335\206\251xL0\247\362^i\247\320;z\254W\24\5\361\5\31\327p\6\236ri\316\342\204\16\324\370\365S\3502\15\301\260X\222\321\235*\350\347\36E\266\352\322\316\\263H\202c\371\265O\20u\2655\263+\342^)\353*\375$\255\355\20", 80, ... ) , 0, 3,  (-2147481368, "Seed", 0, 3, "\327\260\3\335\206\251xL0\247\362^i\247\320;z\254W\24\5\361\5\31\327p\6\236ri\316\342\204\16\324\370\365S\3502\15\301\260X\222\321\235*\350\347\36E\266\352\322\316\\263H\202c\371\265O\20u\2655\263+\342^)\353*\375$\255\355\20", 80, ... ) , 80, ... ) == 0x0
 02534   896   NtClose  (-2147481368, ... ) == 0x0
 02524   896   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "\233g\233\12"\20v\206d\224XI\3554\17\202uoQ\225\313\117\23\244\304\225\243\242\200B\260\250cY\16nM\350\213\224\245g\217#\27A\246t}m\324\262\201\3602\23\1\265\11\301>`KD\216\376l\30\200\21\367\272\366A\334{k:\361#\215\3\251\264^#\370\270\346\263B|\216\332\2231\213)\202\256\246g\23\240\313\265\354\22\374\2\274\315q\374$\270\336W\232\261\253\366Y\232\336\342\210\364\21\35.\343\21PWQ3RZ\252\340\323\230\270\24fel\207I\204C\330\25B\205O\343D'r\233\230y\336\375\20\250]\7}K\20\3\205>k\323\367\206\245\2309\325\200(\36Z\14t!\314<\304\262\323\357\271\26\255,\11)8\244-5\317\311\347\354\21H>k\330\333S\324(\23\306\241!'\360\271\250]NV\364\223h\361\233R\2422\301\263h\242T\3004\353Q\307\277\346t\17\233q", ) \20v\206d\224XI\3554\17\202uoQ\225\313\117\23\244\304\225\243\242\200B\260\250cY\16nM\350\213\224\245g\217#\27A\246t}m\324\262\201\3602\23\1\265\11\301>`KD\216\376l\30\200\21\367\272\366A\334{k:\361#\215\3\251\264^#\370\270\346\263B|\216\332\2231\213)\202\256\246g\23\240\313\265\354\22\374\2\274\315q\374$\270\336W\232\261\253\366Y\232\336\342\210\364\21\35.\343\21PWQ3RZ\252\340\323\230\270\24fel\207I\204C\330\25B\205O\343D'r\233\230y\336\375\20\250]\7}K\20\3\205>k\323\367\206\245\2309\325\200(\36Z\14t!\314<\304\262\323\357\271\26\255,\11)8\244-5\317\311\347\354\21H>k\330\333S\324(\23\306\241!'\360\271\250]NV\364\223h\361\233R\2422\301\263h\242T\3004\353Q\307\277\346t\17\233q", ) == 0x0
 02535   896   NtDeviceIoControlFile  (120, 0, 0x0, 0x0, 0x390008,  (120, 0, 0x0, 0x0, 0x390008, "^#\307\374kG\320\232E\213\231bRu\343I_.\360\36\25v\240_.\360\36\25v\240_.\360\36\25\232\234\221\373\12\202R\34I\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 02536   896   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 02537   896   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 02538   896   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 02539   896   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 02540   896   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 02541   896   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 02542   896   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 02543   896   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147481368, 2, ) }, 0, 0x0, 0, ... -2147481368, 2, ) == 0x0
 02544   896   NtSetValueKey  (-2147481368,  (-2147481368, "Seed", 0, 3, "\351\275\261}'Ha\273\234\345\313;\307\317\5j\10\254\230e\32\341\301\332\17E\3379\201L\334\225\372\251Lwt\314y.\2079Bt(+\323\374U\302\23\17\300!\276\213$F\322p\201\26\247c\253I\305\334j\237\241\376\342\376@\272[\220\266\26", 80, ... ) , 0, 3,  (-2147481368, "Seed", 0, 3, "\351\275\261}'Ha\273\234\345\313;\307\317\5j\10\254\230e\32\341\301\332\17E\3379\201L\334\225\372\251Lwt\314y.\2079Bt(+\323\374U\302\23\17\300!\276\213$F\322p\201\26\247c\253I\305\334j\237\241\376\342\376@\272[\220\266\26", 80, ... ) , 80, ... ) == 0x0
 02545   896   NtClose  (-2147481368, ... ) == 0x0
 02535   896   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "B\25\274\374\15\6\234\70\205\352\204\211\35\300\333O\35\201\34\373\313c\305a\305\355\266\242\36[\22MQ\122\210\240#\333 \363w\262\21b\314\326\203\324\251`\15\326\27\374\3521\323\317cK\334\200\367\327M6\315\204r6\31SP\240t\242\365\251 `\221~:\233!\305\15+u\17\212\37p7}A\6\244u%\376t?\256\1\322\212Y\3205\352v`\372\226\221F\26\237?\334\376[\305\32\260\244\334\20\16?\2\23fX)\247\231C\246\377_\242\350\200Y\342H\324\360/2v\331\331\256\275~{{\377\372\266\253\272\352\23}K\337Z\341\336F\315\211\212^\263\300\335\26\301\326N4kR+\351\32\353@\27\35\265\3\304^\355\33JH\20#\357\344\356\31\225\6\377Hk\241Q\231\245$G\376\273\230\201@W\233\334\333e\308z\240\271\213!\207\322\347\363\255\266\25\326\231\272\2510\334\350\371!\1", ) , ) == 0x0
 02546   896   NtDeviceIoControlFile  (120, 0, 0x0, 0x0, 0x390008,  (120, 0, 0x0, 0x0, 0x390008, "^#\307\374kG\320\232E\213\231bRu\343I_.\360\36\25v\240_.\360\36\25v\240_.\360\36\25v\240_.\360\36\25\232\234\221\373\12\202R\34I\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 02547   896   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 02548   896   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 02549   896   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 02550   896   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 02551   896   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 02552   896   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 02553   896   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 02554   896   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147481368, 2, ) }, 0, 0x0, 0, ... -2147481368, 2, ) == 0x0
 02555   896   NtSetValueKey  (-2147481368,  (-2147481368, "Seed", 0, 3, "\24\300\261\213\224Pp\242WYk=\252g\354\365\325\226\314\373\237\303\367Y\6\300\367\16)%F<;\212\216\273[\371\233y\3445m0b\336\211`E\1z\254\310\364\3578\355\372\372~\0\360KQ\263\213\21\303\201\230\225_3\312\276:\340!\10L", 80, ... ) , 0, 3,  (-2147481368, "Seed", 0, 3, "\24\300\261\213\224Pp\242WYk=\252g\354\365\325\226\314\373\237\303\367Y\6\300\367\16)%F<;\212\216\273[\371\233y\3445m0b\336\211`E\1z\254\310\364\3578\355\372\372~\0\360KQ\263\213\21\303\201\230\225_3\312\276:\340!\10L", 80, ... ) , 80, ... ) == 0x0
 02556   896   NtClose  (-2147481368, ... ) == 0x0
 02546   896   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "\272\17\325\226\266\253\373$z\220\314\357\221,\21\316\216O`NW\235\257zO\365]\301ox\343p\201+\301\225\225(\340\224\35\273\2622\365\250\274\37P\34P-I\343v\221\243W\37z\4\362t\367!\236\306\\3719\255\3\333\15\305\\\210\37\21\377K^\30\214\265Q%\201M\1\3,f\346/\101\373\351sSkHx\300M0\330Cm\254n\260\311\33&0\357\374\240\232\313L\334(\36aY$\365GH\233\323\240\373\345\266\10\210J_\22\303M/8\372cN\225\333\15\300^\331\357Gu\250\0\235Yq\357F$H\353\364\267&Aj\27\242\313\374\246\266\371\271iu\322\214\262\201D\252y\376\12\251\214\21\321P\274\265\367\302\177Q\345\37\312\25;\227hyXi\240d\303\222\370\24d K*\322V\247q\27'-$\201Ax\260\236\352\340\26\232{\31\314\344N\205m\10\201\1?\300`^", ) , ) == 0x0
 02557   896   NtDeviceIoControlFile  (120, 0, 0x0, 0x0, 0x390008,  (120, 0, 0x0, 0x0, 0x390008, "^#\307\374kG\320\232E\213\231bRu\343I_.\360\36\25v\240_.\360\36\25v\240_.\360\36\25v\240_.\360\36\25v\240_.\360\36\25\232\234\221\373\12\202R\34I\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 02558   896   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 02559   896   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 02560   896   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 02561   896   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 02562   896   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 02563   896   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 02564   896   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 02565   896   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147481368, 2, ) }, 0, 0x0, 0, ... -2147481368, 2, ) == 0x0
 02566   896   NtSetValueKey  (-2147481368,  (-2147481368, "Seed", 0, 3, "_A\3\373+\211\334\346\313\324\37\277\221\204\360\270\222!\272\326]7`\271\240\252\256L$.\207\35\252v\234B\363\225\320"\310\220\323\350\266\27)\3719u\327\242\222k\7\373\352C\312\13\343o\312\271\20oQm\14s\203\241]1\177\331\\247k\36", 80, ... ) , 0, 3,  (-2147481368, "Seed", 0, 3, "_A\3\373+\211\334\346\313\324\37\277\221\204\360\270\222!\272\326]7`\271\240\252\256L$.\207\35\252v\234B\363\225\320"\310\220\323\350\266\27)\3719u\327\242\222k\7\373\352C\312\13\343o\312\271\20oQm\14s\203\241]1\177\331\\247k\36", 80, ... ) \310\220\323\350\266\27)\3719u\327\242\222k\7\373\352C\312\13\343o\312\271\20oQm\14s\203\241]1\177\331\\247k\36", 80, ... ) == 0x0
 02567   896   NtClose  (-2147481368, ... ) == 0x0
 02557   896   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "\276\12\316\226\240)>\304\343 u`\2618B\204/\344\35\326\25\256\252\250Ei\271\211\377\23\233\361:\17\204xK\265\3530\12@\256\266m\262T7\343\222t\31\275\371\212f\321\256V\365\371dp\342\232\25\323\375Y4\371\326\240\356\16\32s\205o\310\213G\216=\336\217\343\323\241/\222\345K\227\350 \340%\211\216\267!\234\35\2jNT\311\321\205[\231\234\21E\256~*]j\236.\312U\36\220\317p|\313\6\366P{\303\204D\273\322\230\214g\341\350\227\266\271\0\247l\327\7ff\376\217\346\221 \216jD\307E\275v\322o\12\243>Xu\356\313\264c\4\275\254\5:\347\253\233\213\17^\277\24wJ\336\343\377\340\347\241*Q*R)\267h\224m\4\6\316\226c\315*s:\36\330\227\322\17\277F\206\352\242.3Xy\225\246\254v\202\37[5\276\273cO\354\351\4d/i%$\270\13\347\265", ) , ) == 0x0
 02568   896   NtDeviceIoControlFile  (120, 0, 0x0, 0x0, 0x390008,  (120, 0, 0x0, 0x0, 0x390008, "^#\307\374kG\320\232E\213\231bRu\343I_.\360\36\25v\240_.\360\36\25v\240_.\360\36\25v\240_.\360\36\25v\240_.\360\36\25v\240_.\360\36\25\232\234\221\373\12\202R\34I\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 02569   896   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 02570   896   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 02571   896   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 02572   896   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 02573   896   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 02574   896   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 02575   896   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 02576   896   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147481368, 2, ) }, 0, 0x0, 0, ... -2147481368, 2, ) == 0x0
 02577   896   NtSetValueKey  (-2147481368,  (-2147481368, "Seed", 0, 3, "\316a\231\335\2528\201W\271Eh\220\320\10\201MM/\377\17\205\257\347\271[^\232\214\347\337\11#\337\235U\223\277\347\360\17\315zK\327\2!-4u\3167\232\315\232\331\316o\247\371:\345\31a\236\216;\334Q\352\272\10]\300/\371\204\31\234\204\340", 80, ... ) , 0, 3,  (-2147481368, "Seed", 0, 3, "\316a\231\335\2528\201W\271Eh\220\320\10\201MM/\377\17\205\257\347\271[^\232\214\347\337\11#\337\235U\223\277\347\360\17\315zK\327\2!-4u\3167\232\315\232\331\316o\247\371:\345\31a\236\216;\334Q\352\272\10]\300/\371\204\31\234\204\340", 80, ... ) , 80, ... ) == 0x0
 02578   896   NtClose  (-2147481368, ... ) == 0x0
 02568   896   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "\17\6"\214\16\253\2252o\13H\4B\326\261>\362\224\304\271Y\243\177O\232t\322\3117_\212\224\337"\30\354\244\255\26AU\37\26,\37g\345\306\266\275<\17\372\14\276\4\312RA\224\276\35M\243I\306f\325\255\15\25\3113\211;\237iXC\253\316A\360\301\326\35m\313\232P\350\356\244\205\350\220\336\2\245\22k\257\351zq-\247W\243m\225\276\346\235\14\371.\33\236\360V\32\232\246\271COS2|\351\355S\201L\306\21/\357\333\232\363\314gT\203r, ) \214\16\253\2252o\13H\4B\326\261>\362\224\304\271Y\243\177O\232t\322\3117_\212\224\337 ... {status=0x0, info=256}, "\17\6"\214\16\253\2252o\13H\4B\326\261>\362\224\304\271Y\243\177O\232t\322\3117_\212\224\337"\30\354\244\255\26AU\37\26,\37g\345\306\266\275<\17\372\14\276\4\312RA\224\276\35M\243I\306f\325\255\15\25\3113\211;\237iXC\253\316A\360\301\326\35m\313\232P\350\356\244\205\350\220\336\2\245\22k\257\351zq-\247W\243m\225\276\346\235\14\371.\33\236\360V\32\232\246\271COS2|\351\355S\201L\306\21/\357\333\232\363\314gT\203r, ) , ) == 0x0
 02579   896   NtClose  (132, ... ) == 0x0
 02580   896   NtCreateFile  (0x100001, {24, 0, 0x40, 458424, 0,  (0x100001, {24, 0, 0x40, 458424, 0, "\??\C:\scripts"}, 0x0, 128, 3, 2, 16417, 0, 0, ... ) }, 0x0, 128, 3, 2, 16417, 0, 0, ... ) == STATUS_OBJECT_NAME_COLLISION
 02581   896   NtCreateFile  (0x100001, {24, 0, 0x40, 458424, 0,  (0x100001, {24, 0, 0x40, 458424, 0, "\??\c:\e5d4274d2caaef1b878fb5d282a5"}, 0x0, 128, 3, 2, 16417, 0, 0, ... 132, {status=0x0, info=2}, ) }, 0x0, 128, 3, 2, 16417, 0, 0, ... 132, {status=0x0, info=2}, ) == 0x0
 02582   896   NtClose  (132, ... ) == 0x0
 02583   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\c:\e5d4274d2caaef1b878fb5d282a5\"}, 456696, ... ) }, 456696, ... ) == 0x0
 02584   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "feclient.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02585   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\u:\work\feclient.dll"}, 454148, ... ) }, 454148, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02586   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\feclient.dll"}, 454148, ... ) }, 454148, ... ) == 0x0
 02587   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\feclient.dll"}, 5, 96, ... 132, {status=0x0, info=1}, ) }, 5, 96, ... 132, {status=0x0, info=1}, ) == 0x0
 02588   896   NtCreateSection  (0xf, 0x0, 0x0, 16, 16777216, 132, ...
 02078  2016   NtUserWaitMessage  ... ) == 0x1
 02589  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 02590  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 0, 670, 1, ... ) == 0x0
 02589  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ) == 0x0
 02591  2016   NtUserWaitMessage  (... ) == 0x1
 02592  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 02593  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 0, 670, 1, ... ) == 0x0
 02592  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ) == 0x0
 02594  2016   NtUserWaitMessage  (... ) == 0x1
 02595  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 02596  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 02595  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x13112f0, {0, 0}}, ) == 0x0
 02597  2016   NtUserWaitMessage  (...
 02588   896   NtCreateSection  ... 136, ) == 0x0
 02598   896   NtQuerySection  (136, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 02599   896   NtClose  (132, ... ) == 0x0
 02600   896   NtMapViewOfSection  (136, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x693f0000), 0x0, 36864, ) == 0x0
 02601   896   NtClose  (136, ... ) == 0x0
 02602   896   NtProtectVirtualMemory  (-1, (0x693f1000), 304, 4, ... (0x693f1000), 4096, 32, ) == 0x0
 02603   896   NtProtectVirtualMemory  (-1, (0x693f1000), 4096, 32, ... (0x693f1000), 4096, 4, ) == 0x0
 02604   896   NtFlushInstructionCache  (-1, 1765740544, 304, ... ) == 0x0
 02605   896   NtProtectVirtualMemory  (-1, (0x693f1000), 304, 4, ... (0x693f1000), 4096, 32, ) == 0x0
 02606   896   NtProtectVirtualMemory  (-1, (0x693f1000), 4096, 32, ... (0x693f1000), 4096, 4, ) == 0x0
 02607   896   NtFlushInstructionCache  (-1, 1765740544, 304, ... ) == 0x0
 02608   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "MPR.dll"}, ... 136, ) }, ... 136, ) == 0x0
 02609   896   NtMapViewOfSection  (136, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x71b20000), 0x0, 73728, ) == 0x0
 02610   896   NtClose  (136, ... ) == 0x0
 02611   896   NtProtectVirtualMemory  (-1, (0x71b21000), 440, 4, ... (0x71b21000), 4096, 32, ) == 0x0
 02612   896   NtProtectVirtualMemory  (-1, (0x71b21000), 4096, 32, ... (0x71b21000), 4096, 4, ) == 0x0
 02613   896   NtFlushInstructionCache  (-1, 1907494912, 440, ... ) == 0x0
 02614   896   NtProtectVirtualMemory  (-1, (0x71b21000), 440, 4, ... (0x71b21000), 4096, 32, ) == 0x0
 02615   896   NtProtectVirtualMemory  (-1, (0x71b21000), 4096, 32, ... (0x71b21000), 4096, 4, ) == 0x0
 02616   896   NtFlushInstructionCache  (-1, 1907494912, 440, ... ) == 0x0
 02617   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "USERENV.dll"}, ... 136, ) }, ... 136, ) == 0x0
 02618   896   NtMapViewOfSection  (136, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x769c0000), 0x0, 733184, ) == 0x0
 02619   896   NtClose  (136, ... ) == 0x0
 02620   896   NtProtectVirtualMemory  (-1, (0x769c1000), 1244, 4, ... (0x769c1000), 4096, 32, ) == 0x0
 02621   896   NtProtectVirtualMemory  (-1, (0x769c1000), 4096, 32, ... (0x769c1000), 4096, 4, ) == 0x0
 02622   896   NtFlushInstructionCache  (-1, 1989939200, 1244, ... ) == 0x0
 02623   896   NtProtectVirtualMemory  (-1, (0x769c1000), 1244, 4, ... (0x769c1000), 4096, 32, ) == 0x0
 02624   896   NtProtectVirtualMemory  (-1, (0x769c1000), 4096, 32, ... (0x769c1000), 4096, 4, ) == 0x0
 02625   896   NtFlushInstructionCache  (-1, 1989939200, 1244, ... ) == 0x0
 02626   896   NtProtectVirtualMemory  (-1, (0x769c1000), 1244, 4, ... (0x769c1000), 4096, 32, ) == 0x0
 02627   896   NtProtectVirtualMemory  (-1, (0x769c1000), 4096, 32, ... (0x769c1000), 4096, 4, ) == 0x0
 02628   896   NtFlushInstructionCache  (-1, 1989939200, 1244, ... ) == 0x0
 02629   896   NtProtectVirtualMemory  (-1, (0x769c1000), 1244, 4, ... (0x769c1000), 4096, 32, ) == 0x0
 02630   896   NtProtectVirtualMemory  (-1, (0x769c1000), 4096, 32, ... (0x769c1000), 4096, 4, ) == 0x0
 02631   896   NtFlushInstructionCache  (-1, 1989939200, 1244, ... ) == 0x0
 02632   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "CRYPT32.dll"}, ... 136, ) }, ... 136, ) == 0x0
 02633   896   NtMapViewOfSection  (136, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77a80000), 0x0, 606208, ) == 0x0
 02634   896   NtClose  (136, ... ) == 0x0
 02635   896   NtProtectVirtualMemory  (-1, (0x77a81000), 1340, 4, ... (0x77a81000), 4096, 32, ) == 0x0
 02636   896   NtProtectVirtualMemory  (-1, (0x77a81000), 4096, 32, ... (0x77a81000), 4096, 4, ) == 0x0
 02637   896   NtFlushInstructionCache  (-1, 2007502848, 1340, ... ) == 0x0
 02638   896   NtProtectVirtualMemory  (-1, (0x77a81000), 1340, 4, ... (0x77a81000), 4096, 32, ) == 0x0
 02639   896   NtProtectVirtualMemory  (-1, (0x77a81000), 4096, 32, ... (0x77a81000), 4096, 4, ) == 0x0
 02640   896   NtFlushInstructionCache  (-1, 2007502848, 1340, ... ) == 0x0
 02641   896   NtProtectVirtualMemory  (-1, (0x77a81000), 1340, 4, ... (0x77a81000), 4096, 32, ) == 0x0
 02642   896   NtProtectVirtualMemory  (-1, (0x77a81000), 4096, 32, ... (0x77a81000), 4096, 4, ) == 0x0
 02643   896   NtFlushInstructionCache  (-1, 2007502848, 1340, ... ) == 0x0
 02644   896   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "MSASN1.dll"}, ... 136, ) }, ... 136, ) == 0x0
 02645   896   NtMapViewOfSection  (136, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77b20000), 0x0, 73728, ) == 0x0
 02646   896   NtClose  (136, ... ) == 0x0
 02647   896   NtProtectVirtualMemory  (-1, (0x77b21000), 160, 4, ... (0x77b21000), 4096, 32, ) == 0x0
 02648   896   NtProtectVirtualMemory  (-1, (0x77b21000), 4096, 32, ... (0x77b21000), 4096, 4, ) == 0x0
 02649   896   NtFlushInstructionCache  (-1, 2008158208, 160, ... ) == 0x0
 02650   896   NtProtectVirtualMemory  (-1, (0x77b21000), 160, 4, ... (0x77b21000), 4096, 32, ) == 0x0
 02651   896   NtProtectVirtualMemory  (-1, (0x77b21000), 4096, 32, ... (0x77b21000), 4096, 4, ) == 0x0
 02652   896   NtFlushInstructionCache  (-1, 2008158208, 160, ... ) == 0x0
 02653   896   NtProtectVirtualMemory  (-1, (0x77b21000), 160, 4, ... (0x77b21000), 4096, 32, ) == 0x0
 02654   896   NtProtectVirtualMemory  (-1, (0x77b21000), 4096, 32, ... (0x77b21000), 4096, 4, ) == 0x0
 02655   896   NtFlushInstructionCache  (-1, 2008158208, 160, ... ) == 0x0
 02656   896   NtProtectVirtualMemory  (-1, (0x77a81000), 1340, 4, ... (0x77a81000), 4096, 32, ) == 0x0
 02657   896   NtProtectVirtualMemory  (-1, (0x77a81000), 4096, 32, ... (0x77a81000), 4096, 4, ) == 0x0
 02658   896   NtFlushInstructionCache  (-1, 2007502848, 1340, ... ) == 0x0
 02659   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPR.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02660   896   NtCreateSemaphore  (0x1f0003, 0x0, 1, 1, ... 136, ) == 0x0
 02661   896   NtCreateEvent  (0x1f0003, 0x0, 0, 0, ... 132, ) == 0x0
 02662   896   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "system\CurrentControlSet\control\NetworkProvider\HwOrder"}, ... 140, ) }, ... 140, ) == 0x0
 02663   896   NtNotifyChangeKey  (140, 132, 0, 0, 2011455960, 4, 0, 0, 0, 1, ... ) == 0x103
 02664   896   NtQueryInformationProcess  (-1, 28, 4, ... {process info, class 28, size 4}, 0x0, ) == 0x0
 02665   896   NtCreateSemaphore  (0x100003, 0x0, 0, 2147483647, ... 144, ) == 0x0
 02666   896   NtCreateSemaphore  (0x100003, 0x0, 0, 2147483647, ... 148, ) == 0x0
 02667   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\USERENV.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02668   896   NtOpenKey  (0x2000000, {24, 16, 0x40, 0, 0,  (0x2000000, {24, 16, 0x40, 0, 0, "Software\Microsoft\Windows NT\CurrentVersion\winlogon"}, ... 152, ) }, ... 152, ) == 0x0
 02669   896   NtQueryValueKey  (152,  (152, "UserEnvDebugLevel", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02670   896   NtClose  (152, ... ) == 0x0
 02671   896   NtOpenKey  (0x2000000, {24, 16, 0x40, 0, 0,  (0x2000000, {24, 16, 0x40, 0, 0, "Software\Microsoft\Windows NT\CurrentVersion\winlogon"}, ... 152, ) }, ... 152, ) == 0x0
 02672   896   NtQueryValueKey  (152,  (152, "ChkAccDebugLevel", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02673   896   NtClose  (152, ... ) == 0x0
 02674   896   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "System\CurrentControlSet\Control\ProductOptions"}, ... 152, ) }, ... 152, ) == 0x0
 02675   896   NtQueryValueKey  (152,  (152, "ProductType", Partial, 144, ... TitleIdx=0, Type=1, Data="W\0i\0n\0N\0T\0\0\0"}, 24, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (152, "ProductType", Partial, 144, ... TitleIdx=0, Type=1, Data="W\0i\0n\0N\0T\0\0\0"}, 24, ) }, 24, ) == 0x0
 02676   896   NtClose  (152, ... ) == 0x0
 02677   896   NtCreateEvent  (0x1f0003, {24, 48, 0x80, 451924, 0,  (0x1f0003, {24, 48, 0x80, 451924, 0, "Global\userenv:  User Profile setup event"}, 0, 1, ... 152, ) }, 0, 1, ... 152, ) == STATUS_OBJECT_NAME_EXISTS
 02678   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02679   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02680   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02681   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02682   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02683   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02684   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02685   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02686   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02687   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02688   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02689   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02690   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02691   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02692   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02693   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02694   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02695   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02696   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02697   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02698   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02699   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02700   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02701   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02702   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02703   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02704   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 02705   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 156, ) == 0x0
 02706   896   NtQueryInformationToken  (156, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 02707   896   NtClose  (156, ... ) == 0x0
 02708   896   NtOpenKey  (0x20019, {24, 0, 0x640, 0, 0,  (0x20019, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... 156, ) }, ... 156, ) == 0x0
 02709   896   NtOpenKey  (0x20019, {24, 156, 0x40, 0, 0,  (0x20019, {24, 156, 0x40, 0, 0, "Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders"}, ... 160, ) }, ... 160, ) == 0x0
 02710   896   NtQueryValueKey  (160,  (160, "Personal", Partial, 144, ... TitleIdx=0, Type=2, Data="%\0U\0S\0E\0R\0P\0R\0O\0F\0I\0L\0E\0%\0\\0M\0y\0 \0D\0o\0c\0u\0m\0e\0n\0t\0s\0\0\0"}, 66, ) , Partial, 144, ... TitleIdx=0, Type=2, Data= (160, "Personal", Partial, 144, ... TitleIdx=0, Type=2, Data="%\0U\0S\0E\0R\0P\0R\0O\0F\0I\0L\0E\0%\0\\0M\0y\0 \0D\0o\0c\0u\0m\0e\0n\0t\0s\0\0\0"}, 66, ) }, 66, ) == 0x0
 02711   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02712   896   NtQueryValueKey  (160,  (160, "Local Settings", Partial, 144, ... TitleIdx=0, Type=2, Data="%\0U\0S\0E\0R\0P\0R\0O\0F\0I\0L\0E\0%\0\\0L\0o\0c\0a\0l\0 \0S\0e\0t\0t\0i\0n\0g\0s\0\0\0"}, 70, ) , Partial, 144, ... TitleIdx=0, Type=2, Data= (160, "Local Settings", Partial, 144, ... TitleIdx=0, Type=2, Data="%\0U\0S\0E\0R\0P\0R\0O\0F\0I\0L\0E\0%\0\\0L\0o\0c\0a\0l\0 \0S\0e\0t\0t\0i\0n\0g\0s\0\0\0"}, 70, ) }, 70, ) == 0x0
 02713   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02714   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02715   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02716   896   NtQueryDefaultLocale  (1, 451676, ... ) == 0x0
 02717   896   NtClose  (160, ... ) == 0x0
 02718   896   NtClose  (156, ... ) == 0x0
 02719   896   NtOpenKey  (0x2000000, {24, 16, 0x40, 0, 0,  (0x2000000, {24, 16, 0x40, 0, 0, "Software\Microsoft\Windows NT\CurrentVersion\winlogon"}, ... 156, ) }, ... 156, ) == 0x0
 02720   896   NtQueryValueKey  (156,  (156, "RsopDebugLevel", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02721   896   NtClose  (156, ... ) == 0x0
 02722   896   NtOpenKey  (0x2000000, {24, 16, 0x40, 0, 0,  (0x2000000, {24, 16, 0x40, 0, 0, "Software\Microsoft\Windows NT\CurrentVersion\winlogon"}, ... 156, ) }, ... 156, ) == 0x0
 02723   896   NtQueryValueKey  (156,  (156, "UserEnvDebugLevel", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02724   896   NtQueryValueKey  (156,  (156, "RsopLogging", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02725   896   NtClose  (156, ... ) == 0x0
 02726   896   NtOpenKey  (0x2000000, {24, 16, 0x40, 0, 0,  (0x2000000, {24, 16, 0x40, 0, 0, "Software\Policies\Microsoft\Windows\System"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02727   896   NtOpenKey  (0x2000000, {24, 16, 0x40, 0, 0,  (0x2000000, {24, 16, 0x40, 0, 0, "Software\Microsoft\Windows NT\CurrentVersion\winlogon"}, ... 156, ) }, ... 156, ) == 0x0
 02728   896   NtQueryValueKey  (156,  (156, "UserEnvDebugLevel", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02729   896   NtClose  (156, ... ) == 0x0
 02730   896   NtOpenKey  (0x2000000, {24, 16, 0x40, 0, 0,  (0x2000000, {24, 16, 0x40, 0, 0, "Software\Policies\Microsoft\Windows\System"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02731   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSASN1.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02732   896   NtQueryPerformanceCounter  (... {-1447942800, 16}, {3579545, 0}, ) == 0x0
 02733   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CRYPT32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02734   896   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "SYSTEM\CurrentControlSet\Services\crypt32\Performance"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02735   896   NtAllocateVirtualMemory  (-1, 598016, 0, 4096, 4096, 4, ... 598016, 4096, ) == 0x0
 02736   896   NtAllocateVirtualMemory  (-1, 602112, 0, 4096, 4096, 4, ... 602112, 4096, ) == 0x0
 02737   896   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "SOFTWARE\Microsoft\Windows NT\CurrentVersion\msasn1"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02738   896   NtAllocateVirtualMemory  (-1, 606208, 0, 4096, 4096, 4, ... 606208, 4096, ) == 0x0
 02739   896   NtCreateEvent  (0x1f0003, {24, 48, 0x80, 454272, 0,  (0x1f0003, {24, 48, 0x80, 454272, 0, "Global\crypt32LogoffEvent"}, 0, 0, ... ) }, 0, 0, ... ) == STATUS_ACCESS_DENIED
 02740   896   NtOpenEvent  (0x100000, {24, 48, 0x0, 0, 0,  (0x100000, {24, 48, 0x0, 0, 0, "Global\crypt32LogoffEvent"}, ... 156, ) }, ... 156, ) == 0x0
 02741   896   NtAllocateVirtualMemory  (-1, 610304, 0, 4096, 4096, 4, ... 610304, 4096, ) == 0x0
 02742   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\feclient.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02743   896   NtAllocateVirtualMemory  (-1, 614400, 0, 20480, 4096, 4, ... 614400, 20480, ) == 0x0
 02744   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\c:\e5d4274d2caaef1b878fb5d282a5"}, 3, 96, ... ) }, 3, 96, ... ) == STATUS_FILE_IS_A_DIRECTORY
 02745   896   NtQueryInformationFile  (-1, 453440, 4, Ea, ... ) == STATUS_OBJECT_TYPE_MISMATCH
 02746   896   NtCreateFile  (0x100080, {24, 0, 0x40, 0, 453392,  (0x100080, {24, 0, 0x40, 0, 453392, "\??\c:\e5d4274d2caaef1b878fb5d282a5\"}, 0x0, 128, 3, 1, 2113568, 0, 0, ... 160, {status=0x0, info=1}, ) }, 0x0, 128, 3, 1, 2113568, 0, 0, ... 160, {status=0x0, info=1}, ) == 0x0
 02747   896   NtAllocateVirtualMemory  (-1, 634880, 0, 20480, 4096, 4, ... 634880, 20480, ) == 0x0
 02748   896   NtFsControlFile  (160, 0, 0x0, 0x0, 0x900a8, 0x0, 0, 16384, ... ) == 0xc0000275
 02749   896   NtClose  (160, ... ) == 0x0
 02750   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\c:\e5d4274d2caaef1b878fb5d282a5"}, 3, 32, ... 160, {status=0x0, info=1}, ) }, 3, 32, ... 160, {status=0x0, info=1}, ) == 0x0
 02751   896   NtQueryVolumeInformationFile  (160, 453588, 8, Device, ... {status=0x0, info=8}, ) == 0x0
 02752   896   NtClose  (160, ... ) == 0x0
 02753   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\c:\e5d4274d2caaef1b878fb5d282a5"}, 3, 16, ... 160, {status=0x0, info=1}, ) }, 3, 16, ... 160, {status=0x0, info=1}, ) == 0x0
 02754   896   NtDeviceIoControlFile  (160, 0, 0x0, 0x0, 0x4d0008, 0x0, 0, 520, ... ) == STATUS_INVALID_PARAMETER
 02755   896   NtClose  (160, ... ) == 0x0
 02756   896   NtQueryInformationFile  (-1, 455228, 4, Ea, ... ) == STATUS_OBJECT_TYPE_MISMATCH
 02757   896   NtCreateFile  (0x100080, {24, 0, 0x40, 0, 455180,  (0x100080, {24, 0, 0x40, 0, 455180, "\??\c:\e5d4274d2caaef1b878fb5d282a5\"}, 0x0, 128, 3, 1, 2113568, 0, 0, ... 160, {status=0x0, info=1}, ) }, 0x0, 128, 3, 1, 2113568, 0, 0, ... 160, {status=0x0, info=1}, ) == 0x0
 02758   896   NtFsControlFile  (160, 0, 0x0, 0x0, 0x900a8, 0x0, 0, 16384, ... ) == 0xc0000275
 02759   896   NtClose  (160, ... ) == 0x0
 02760   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02761   896   NtOpenFile  (0x100080, {24, 0, 0x40, 0, 0,  (0x100080, {24, 0, 0x40, 0, 0, "\??\C:"}, 3, 16, ... 160, {status=0x0, info=0}, ) }, 3, 16, ... 160, {status=0x0, info=0}, ) == 0x0
 02762   896   NtDeviceIoControlFile  (160, 0, 0x0, 0x0, 0x4d0008, 0x0, 0, 520, ... {status=0x0, info=48},  (160, 0, 0x0, 0x0, 0x4d0008, 0x0, 0, 520, ... {status=0x0, info=48}, ".\0\\0D\0e\0v\0i\0c\0e\0\\0H\0a\0r\0d\0d\0i\0s\0k\0V\0o\0l\0u\0m\0e\01\0", ) , ) == 0x0
 02763   896   NtClose  (160, ... ) == 0x0
 02764   896   NtQueryInformationFile  (-1, 454640, 4, Ea, ... ) == STATUS_OBJECT_TYPE_MISMATCH
 02765   896   NtCreateFile  (0x100080, {24, 0, 0x40, 0, 454592,  (0x100080, {24, 0, 0x40, 0, 454592, "\??\MountPointManager"}, 0x0, 128, 3, 1, 96, 0, 0, ... 160, {status=0x0, info=0}, ) }, 0x0, 128, 3, 1, 96, 0, 0, ... 160, {status=0x0, info=0}, ) == 0x0
 02766   896   NtDeviceIoControlFile  (160, 0, 0x0, 0x0, 0x6d0008,  (160, 0, 0x0, 0x0, 0x6d0008, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\30\0\0\0.\0\0\0\\0D\0e\0v\0i\0c\0e\0\\0H\0a\0r\0d\0d\0i\0s\0k\0V\0o\0l\0u\0m\0e\01\0", 70, 32, ... , 70, 32, ...
 02767   896   NtOpenFile  (0x80, {24, 0, 0x200, 0, 0,  (0x80, {24, 0, 0x200, 0, 0, "\Device\HarddiskVolume1"}, 0, 64, ... -2147481368, {status=0x0, info=0}, ) }, 0, 64, ... -2147481368, {status=0x0, info=0}, ) == 0x0
 02768   896   NtClose  (-2147481368, ... ) == 0x0
 02766   896   NtDeviceIoControlFile  ... ) == STATUS_BUFFER_OVERFLOW
 02769   896   NtDeviceIoControlFile  (160, 0, 0x0, 0x0, 0x6d0008,  (160, 0, 0x0, 0x0, 0x6d0008, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\30\0\0\0.\0\0\0\\0D\0e\0v\0i\0c\0e\0\\0H\0a\0r\0d\0d\0i\0s\0k\0V\0o\0l\0u\0m\0e\01\0", 70, 238, ... , 70, 238, ...
 02770   896   NtOpenFile  (0x80, {24, 0, 0x200, 0, 0,  (0x80, {24, 0, 0x200, 0, 0, "\Device\HarddiskVolume1"}, 0, 64, ... -2147481368, {status=0x0, info=0}, ) }, 0, 64, ... -2147481368, {status=0x0, info=0}, ) == 0x0
 02771   896   NtClose  (-2147481368, ... ) == 0x0
 02769   896   NtDeviceIoControlFile  ... {status=0x0, info=238},  ... {status=0x0, info=238}, "\356\0\0\0\2\0\0\0r\0\0\0`\0\0\08\0\0\0\14\0\0\0D\0\0\0.\0v\0\322\0\0\0\34\0\\08\0\0\0\14\0d\0D\0\0\0.\0k\0\310\24\310\24\0~\0\0\0\0\0\0\\0D\0e\0v\0i\0c\0e\0\\0H\0a\0r\0d\0d\0i\0s\0k\0V\0o\0l\0u\0m\0e\01\0\\0?\0?\0\\0V\0o\0l\0u\0m\0e\0{\0a\0c\05\03\0e\07\0d\03\0-\0b\09\06\0f\0-\01\01\0d\0b\0-\0a\04\08\08\0-\08\00\06\0d\06\01\07\02\06\09\06\0f\0}\0\\0D\0o\0s\0D\0e\0v\0i\0c\0e\0s\0\\0C\0:\0", ) , ) == 0x0
 02772   896   NtClose  (160, ... ) == 0x0
 02773   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 02774   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\System\CurrentControlSet\Control\ComputerName"}, ... 160, ) }, ... 160, ) == 0x0
 02775   896   NtOpenKey  (0x20019, {24, 160, 0x40, 0, 0,  (0x20019, {24, 160, 0x40, 0, 0, "ActiveComputerName"}, ... 164, ) }, ... 164, ) == 0x0
 02776   896   NtQueryValueKey  (164,  (164, "ComputerName", Full, 108, ... TitleIdx=0, Type=1, Name="ComputerName", Data="V\0I\0R\0T\0U\0A\0L\0\0\0"}, 60, ) , Full, 108, ... TitleIdx=0, Type=1, Name= (164, "ComputerName", Full, 108, ... TitleIdx=0, Type=1, Name="ComputerName", Data="V\0I\0R\0T\0U\0A\0L\0\0\0"}, 60, ) , Data= (164, "ComputerName", Full, 108, ... TitleIdx=0, Type=1, Name="ComputerName", Data="V\0I\0R\0T\0U\0A\0L\0\0\0"}, 60, ) }, 60, ) == 0x0
 02777   896   NtClose  (164, ... ) == 0x0
 02778   896   NtClose  (160, ... ) == 0x0
 02779   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters"}, ... 160, ) }, ... 160, ) == 0x0
 02780   896   NtQueryValueKey  (160,  (160, "Hostname", Full, 128, ... TitleIdx=0, Type=1, Name="Hostname", Data="v\0i\0r\0t\0u\0a\0l\0\0\0"}, 52, ) , Full, 128, ... TitleIdx=0, Type=1, Name= (160, "Hostname", Full, 128, ... TitleIdx=0, Type=1, Name="Hostname", Data="v\0i\0r\0t\0u\0a\0l\0\0\0"}, 52, ) , Data= (160, "Hostname", Full, 128, ... TitleIdx=0, Type=1, Name="Hostname", Data="v\0i\0r\0t\0u\0a\0l\0\0\0"}, 52, ) }, 52, ) == 0x0
 02781   896   NtClose  (160, ... ) == 0x0
 02782   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\System\DNSclient"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02783   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters"}, ... 160, ) }, ... 160, ) == 0x0
 02784   896   NtQueryValueKey  (160,  (160, "Domain", Full, 128, ... TitleIdx=0, Type=1, Name="Domain", Data="\0\0"}, 34, ) , Full, 128, ... TitleIdx=0, Type=1, Name= (160, "Domain", Full, 128, ... TitleIdx=0, Type=1, Name="Domain", Data="\0\0"}, 34, ) , Data= (160, "Domain", Full, 128, ... TitleIdx=0, Type=1, Name="Domain", Data="\0\0"}, 34, ) }, 34, ) == 0x0
 02785   896   NtClose  (160, ... ) == 0x0
 02786   896   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 02787   896   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "Software\Microsoft\Rpc\PagedBuffers"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02788   896   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "Software\Microsoft\Rpc"}, ... 160, ) }, ... 160, ) == 0x0
 02789   896   NtQueryValueKey  (160,  (160, "MaxRpcSize", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02790   896   NtClose  (160, ... ) == 0x0
 02791   896   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\packed.exe\RpcThreadPoolThrottle"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02792   896   NtCreateEvent  (0x1f0003, 0x0, 1, 0, ... 160, ) == 0x0
 02793   896   NtCreateEvent  (0x1f0003, 0x0, 1, 0, ... 164, ) == 0x0
 02794   896   NtQuerySystemTime  (... {1422422914, 29929616}, ) == 0x0
 02795   896   NtCreateEvent  (0x1f0003, 0x0, 0, 0, ... 168, ) == 0x0
 02796   896   NtOpenKey  (0x20019, {24, 16, 0x40, 0, 0,  (0x20019, {24, 16, 0x40, 0, 0, "Software\Policies\Microsoft\Windows NT\Rpc"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02797   896   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 0x0, ) == 0x0
 02798   896   NtQueryInformationProcess  (-1, QuotaLimits, 32, ... {process info, class 1, size 32}, 0x0, ) == 0x0
 02799   896   NtQueryInformationProcess  (-1, VmCounters, 44, ... {process info, class 3, size 44}, 0x0, ) == 0x0
 02800   896   NtCreateEvent  (0x1f0003, 0x0, 0, 0, ... 172, ) == 0x0
 02801   896   NtDuplicateObject  (-1, -2, -1, 0x0, 0, 2, ... 176, ) == 0x0
 02802   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\System\CurrentControlSet\Control\ComputerName"}, ... 180, ) }, ... 180, ) == 0x0
 02803   896   NtOpenKey  (0x20019, {24, 180, 0x40, 0, 0,  (0x20019, {24, 180, 0x40, 0, 0, "ActiveComputerName"}, ... 184, ) }, ... 184, ) == 0x0
 02804   896   NtQueryValueKey  (184,  (184, "ComputerName", Full, 108, ... TitleIdx=0, Type=1, Name="ComputerName", Data="V\0I\0R\0T\0U\0A\0L\0\0\0"}, 60, ) , Full, 108, ... TitleIdx=0, Type=1, Name= (184, "ComputerName", Full, 108, ... TitleIdx=0, Type=1, Name="ComputerName", Data="V\0I\0R\0T\0U\0A\0L\0\0\0"}, 60, ) , Data= (184, "ComputerName", Full, 108, ... TitleIdx=0, Type=1, Name="ComputerName", Data="V\0I\0R\0T\0U\0A\0L\0\0\0"}, 60, ) }, 60, ) == 0x0
 02805   896   NtClose  (184, ... ) == 0x0
 02806   896   NtClose  (180, ... ) == 0x0
 02807   896   NtCreateIoCompletion  (0x1f0003, 0x0, 0, ... 180, ) == 0x0
 02808   896   NtCreateIoCompletion  (0x1f0003, 0x0, -1, ... 184, ) == 0x0
 02809   896   NtDuplicateObject  (-1, 180, -1, 0x0, 0, 2, ... 188, ) == 0x0
 02810   896   NtOpenThreadToken  (-2, 0xc, 1, ... ) == STATUS_NO_TOKEN
 02811   896   NtCreateEvent  (0x1f0003, 0x0, 1, 0, ... 192, ) == 0x0
 02812   896   NtOpenThreadToken  (-2, 0xc, 1, ... ) == STATUS_NO_TOKEN
 02813   896   NtSetInformationThread  (-2, ImpersonationToken, {ImpToken=0,}, 4, ... ) == 0x0
 02814   896   NtCreateFile  (0xc0100080, {24, 0, 0x40, 0, 454512,  (0xc0100080, {24, 0, 0x40, 0, 454512, "\??\PIPE\lsarpc"}, 0x0, 0, 3, 1, 64, 0, 0, ... 196, {status=0x0, info=1}, ) }, 0x0, 0, 3, 1, 64, 0, 0, ... 196, {status=0x0, info=1}, ) == 0x0
 02815   896   NtSetInformationFile  (196, 454568, 8, Pipe, ... {status=0x0, info=0}, ) == 0x0
 02816   896   NtSetInformationFile  (196, 454556, 8, Completion, ... {status=0x0, info=0}, ) == 0x0
 02817   896   NtSetInformationThread  (-2, ImpersonationToken, {ImpToken=0,}, 4, ... ) == 0x0
 02818   896   NtWriteFile  (196, 173, 0, 0,  (196, 173, 0, 0, "\5\0\13\3\20\0\0\0H\0\0\0\1\0\0\0\270\20\270\20\0\0\0\0\1\0\0\0\0\0\1\0\210\324\201\306P\330\320\21\214R\0\300O\331\17~\1\0\0\0\4]\210\212\353\34\311\21\237\350\10\0+\20H`\2\0\0\0", 72, {0, 0}, 0, ... {status=0x0, info=72}, ) , 72, {0, 0}, 0, ... {status=0x0, info=72}, ) == 0x0
 02819   896   NtReadFile  (196, 173, 0, 0, 1024, {0, 0}, 0, ... {status=0x0, info=68},  (196, 173, 0, 0, 1024, {0, 0}, 0, ... {status=0x0, info=68}, "\5\0\14\3\20\0\0\0D\0\0\0\1\0\0\0\270\20\270\20k+\0\0\14\0\PIPE\lsass\0\0\0\1\0\0\0\0\0\0\0\4]\210\212\353\34\311\21\237\350\10\0+\20H`\2\0\0\0", ) , ) == 0x0
 02820   896   NtFsControlFile  (196, 173, 0x0, 0x0, 0x11c017,  (196, 173, 0x0, 0x0, 0x11c017, "\5\0\0\3\20\0\0\0l\0\0\0\1\0\0\0T\0\0\0\0\0\5\0!\0\0\0\0\0\0\0!\0\0\0c\0:\0\\0e\05\0d\04\02\07\04\0d\02\0c\0a\0a\0e\0f\01\0b\08\07\08\0f\0b\05\0d\02\08\02\0a\05\0\\0\0\0\0\0\0\0\0\0", 108, 1024, ... {status=0x103, info=68}, "\5\0\14\3\20\0\0\0D\0\0\0\1\0\0\0\270\20\270\20k+\0\0\14\0\PIPE\lsass\0\0\0\1\0\0\0\0\0\0\0\4]\210\212\353\34\311\21\237\350\10\0+\20H`\2\0\0\0", ) , 108, 1024, ... {status=0x103, info=68},  (196, 173, 0x0, 0x0, 0x11c017, "\5\0\0\3\20\0\0\0l\0\0\0\1\0\0\0T\0\0\0\0\0\5\0!\0\0\0\0\0\0\0!\0\0\0c\0:\0\\0e\05\0d\04\02\07\04\0d\02\0c\0a\0a\0e\0f\01\0b\08\07\08\0f\0b\05\0d\02\08\02\0a\05\0\\0\0\0\0\0\0\0\0\0", 108, 1024, ... {status=0x103, info=68}, "\5\0\14\3\20\0\0\0D\0\0\0\1\0\0\0\270\20\270\20k+\0\0\14\0\PIPE\lsass\0\0\0\1\0\0\0\0\0\0\0\4]\210\212\353\34\311\21\237\350\10\0+\20H`\2\0\0\0", ) , ) == 0x103
 02821   896   NtWaitForSingleObject  (173, 0, 0x0, ...
 02597  2016   NtUserWaitMessage  ... ) == 0x1
 02822  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0x80118, WM_TIMER, 0x1, 0x0, 0x1311409, {0, 0}}, ) == 0x1
 02823  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 02824  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 02825  2016   NtUserValidateHandleSecure  (524568, ... ) == 0x1
 02826  2016   NtUserValidateHandleSecure  (524568, ... ) == 0x1
 02827  2016   NtUserValidateHandleSecure  (524568, ... ) == 0x1
 02828  2016   NtUserValidateHandleSecure  (524568, ... ) == 0x1
 02829  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 02830  2016   NtUserKillTimer  (524568, 1, ... ) == 0x1
 02831  2016   NtUserValidateHandleSecure  (0, ... ) == 0x0
 02832  2016   NtUserValidateHandleSecure  (537329821, ... ) == 0x1
 02833  2016   NtUserWaitMessage  (...
 02821   896   NtWaitForSingleObject  ... ) == 0x0
 02834   896   NtClose  (192, ... ) == 0x0
 02835   896   NtClose  (196, ... ) == 0x0
 02836   896   NtQueryDefaultLocale  (1, 458296, ... ) == 0x0
 02837   896   NtQueryDefaultLocale  (1, 458296, ... ) == 0x0
 02838   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 02839   896   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 02840   896   NtUserMessageCall  (0xc0144, WM_SETTEXT, 0x0, 0x10089e0, 0, 688, 1, ...
 02833  2016   NtUserWaitMessage  ... ) == 0x1
 02841  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 02842  2016   NtUserDefSetText  (786756, 8387700, ... ) == 0x1
 02841  2016   NtUserPeekMessage  ... {0x80118, WM_TIMER, 0x1, 0x0, 0x1311409, {0, 0}}, ) == 0x0
 02843  2016   NtUserWaitMessage  (...
 02840   896   NtUserMessageCall  ... ) == 0x1
 02844   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 02845   896   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 02846   896   NtUserMessageCall  (0xa0132, WM_SETTEXT, 0x0, 0x1008660, 0, 688, 1, ...
 02843  2016   NtUserWaitMessage  ... ) == 0x1
 02847  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 02848  2016   NtUserDefSetText  (655666, 8387704, ... ) == 0x1
 02847  2016   NtUserPeekMessage  ... {0x80118, WM_TIMER, 0x1, 0x0, 0x1311409, {0, 0}}, ) == 0x0
 02849  2016   NtUserWaitMessage  (...
 02846   896   NtUserMessageCall  ... ) == 0x1
 02850   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 02851   896   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 02852   896   NtUserMessageCall  (0xb0116, WM_SETTEXT, 0x0, 0x10088c0, 0, 688, 1, ...
 02849  2016   NtUserWaitMessage  ... ) == 0x1
 02853  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 02854  2016   NtUserDefSetText  (721174, 8387684, ... ) == 0x1
 02853  2016   NtUserPeekMessage  ... {0x80118, WM_TIMER, 0x1, 0x0, 0x1311409, {0, 0}}, ) == 0x0
 02855  2016   NtUserWaitMessage  (...
 02852   896   NtUserMessageCall  ... ) == 0x1
 02856   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 02857   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 02858   896   NtUserMessageCall  (0x100100, WM_USER+0x2, 0x0, 0x0, 0, 688, 1, ...
 02855  2016   NtUserWaitMessage  ... ) == 0x1
 02859  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 02860  2016   NtUserRedrawWindow  (1048832, 0, 0, 261, ... ) == 0x1
 02859  2016   NtUserPeekMessage  ... {0x80118, WM_TIMER, 0x1, 0x0, 0x1311409, {0, 0}}, ) == 0x0
 02861  2016   NtUserWaitMessage  (...
 02858   896   NtUserMessageCall  ... ) == 0x14
 02862   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 02863   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 02864   896   NtUserMessageCall  (0x100100, WM_USER+0x1, 0x0, 0x120000, 0, 688, 1, ...
 02861  2016   NtUserWaitMessage  ... ) == 0x1
 02865  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 02866  2016   NtUserRedrawWindow  (1048832, 0, 0, 5, ... ) == 0x1
 02865  2016   NtUserPeekMessage  ... {0x80118, WM_TIMER, 0x1, 0x0, 0x1311409, {0, 0}}, ) == 0x0
 02867  2016   NtUserWaitMessage  (...
 02864   896   NtUserMessageCall  ... ) == 0x140000
 02868   896   NtUserShowWindow  (590128, 5, ...
 02867  2016   NtUserWaitMessage  ... ) == 0x1
 02869  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0x80118, WM_TIMER, 0x1, 0x0, 0x1311409, {0, 0}}, ) == 0x0
 02870  2016   NtUserWaitMessage  (... ) == 0x1
 02871  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0x80118, WM_TIMER, 0x1, 0x0, 0x1311409, {0, 0}}, ) == 0x0
 02872  2016   NtUserWaitMessage  (... ) == 0x1
 02873  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 02874  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 0, 670, 1, ... ) == 0x0
 02875  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 0, 670, 1, ... ) == 0x0
 02876  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 02873  2016   NtUserPeekMessage  ... {0x90130, WM_PAINT, 0x0, 0x0, 0x1311438, {0, 0}}, ) == 0x1
 02877  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 02878  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 02879  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 02880   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 02881   896   NtUserGetThreadState  (1, ... ) == 0x0
 02882   896   NtUserGetForegroundWindow  (... ) == 0xf0104
 02883   896   NtUserValidateHandleSecure  (983300, ... ) == 0x1
 02884   896   NtUserQueryWindow  (983300, 0, ... ) == 0x2fc
 02885  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 02886  2016   NtUserDispatchMessage  ({0x90130, WM_PAINT, 0x0, 0x0, 0x1311438, {0, 0}}, ...
 02887  2016   NtUserMessageCall  (0x90130, WM_PAINT, 0x0, 0x0, 0, 670, 1, ...
 02888  2016   NtUserInternalGetWindowText  (0x90130, 260, ...  (0x90130, 260, ... "Extracting Files", ) , ) == 0x10
 02889  2016   NtUserGetWindowDC  (590128, ... ) == 0x1010051
 02890  2016   NtGdiGetRandomRgn  (16842833, -922483079, 1, ... ) == 0x0
 02891  2016   NtGdiIntersectClipRect  (16842833, 0, 0, 0, 0, ... ) == 0x3
 02892   896   NtUserQueryWindow  (983300, 1, ... ) == 0x544
 02893   896   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ... ) == 0x0
 02894   896   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 02895   896   NtUserGetThreadState  (0, ... ) == 0x0
 02896   896   NtUserGetForegroundWindow  (... ) == 0xf0104
 02897   896   NtUserValidateHandleSecure  (983300, ...
 02898  2016   NtGdiGetCharSet  (16842833, ... ) == 0x4e4
 02899  2016   NtGdiExtSelectClipRgn  (16842833, 0, 5, ... ) == 0x2
 02900  2016   NtUserCallOneParam  (16842833, 57, ... ) == 0x1
 02901  2016   NtUserCalcMenuBar  (590128, 3, 3, 29, 2501400, ... ) == 0x0
 02902  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 8385872, 690, 0, ...
 02903  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 0, 670, 1, ... ) == 0x0
 02902  2016   NtUserMessageCall  ... ) == 0x0
 02897   896   NtUserValidateHandleSecure  ... ) == 0x1
 02904   896   NtUserValidateHandleSecure  (983300, ... ) == 0x1
 02905   896   NtUserQueryWindow  (983300, 0, ... ) == 0x2fc
 02906   896   NtUserQueryWindow  (983300, 1, ... ) == 0x544
 02907   896   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ... ) == 0x0
 02908   896   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 02909  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 8385872, 690, 0, ...
 02910  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 0, 670, 1, ... ) == 0x0
 02909  2016   NtUserMessageCall  ... ) == 0x0
 02911  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 8385872, 690, 0, ...
 02912  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 02911  2016   NtUserMessageCall  ... ) == 0x0
 02913  2016   NtUserGetTitleBarInfo  (590128, 8386504, ... ) == 0x1
 02914  2016   NtUserGetDCEx  (590128, 0, 66561, ... ) == 0x1010052
 02915   896   NtUserCallOneParam  (1348, 40, ... ) == 0x4090409
 02916   896   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ... ) == 0x0
 02917   896   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 02918   896   NtUserGetKeyboardLayoutList  (0, 0, ... ) == 0x1
 02919   896   NtUserGetKeyboardLayoutList  (1, 555056, ... ) == 0x1
 02920   896   NtWaitForSingleObject  (88, 0, {-50000000, -1}, ...
 02921  2016   NtGdiExcludeClipRect  (16842834, 3, 29, 333, 127, ... ) == 0x3
 02922  2016   NtGdiDrawStream  (16842834, 96, 8385988, ... ) == 0x1
 02923  2016   NtGdiDrawStream  (16842834, 96, 8385988, ... ) == 0x1
 02924  2016   NtGdiDrawStream  (16842834, 96, 8385988, ... ) == 0x1
 02925  2016   NtGdiCreateCompatibleBitmap  (16842834, 336, 29, ... ) == 0x65050649
 02926  2016   NtGdiCreateCompatibleDC  (16842834, ... ) == 0x5c010763
 02920   896   NtWaitForSingleObject  ... ) == 0x0
 02927   896   NtOpenSection  (0xf001f, {24, 48, 0x0, 0, 0,  (0xf001f, {24, 48, 0x0, 0, 0, "CTF.AsmListCache.FMPDefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, ... 196, ) }, ... 196, ) == 0x0
 02928   896   NtMapViewOfSection  (196, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 4, ... (0x810000), {0, 0}, 4096, ) == 0x0
 02929   896   NtFlushVirtualMemory  (-1, (0x810000), 8, ... ) == STATUS_NOT_MAPPED_DATA
 02930   896   NtQueryInstallUILanguage  (2089305898, ... ) == 0x0
 02931   896   NtQueryDefaultUILanguage  (455720, ...
 02932   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ...
 02933  2016   NtGdiSelectBitmap  (1543571299, 1694828105, ... ) == 0x185000f
 02934  2016   NtGdiDrawStream  (1543571299, 96, 8385880, ... ) == 0x1
 02935  2016   NtGdiDrawStream  (1543571299, 96, 8385836, ... ) == 0x1
 02936  2016   NtGdiDrawStream  (1543571299, 96, 8385836, ... ) == 0x1
 02937  2016   NtUserInternalGetWindowText  (0x90130, 260, ...  (0x90130, 260, ... "Extracting Files", ) , ) == 0x10
 02938  2016   NtGdiGetRandomRgn  (1543571299, -905705863, 1, ... ) == 0x0
 02932   896   NtOpenThreadTokenEx  ... ) == STATUS_NO_TOKEN
 02939   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... -2147481368, ) == 0x0
 02940   896   NtQueryInformationToken  (-2147481368, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 02941   896   NtClose  (-2147481368, ... ) == 0x0
 02942   896   NtOpenKey  (0x2000000, {24, 0, 0x640, 0, 0,  (0x2000000, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... -2147481368, ) }, ... -2147481368, ) == 0x0
 02943   896   NtOpenKey  (0x80000000, {24, -2147481368, 0x240, 0, 0,  (0x80000000, {24, -2147481368, 0x240, 0, 0, "Software\Policies\Microsoft\Control Panel\Desktop"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02944   896   NtOpenKey  (0x80000000, {24, -2147481368, 0x640, 0, 0,  (0x80000000, {24, -2147481368, 0x640, 0, 0, "Control Panel\Desktop"}, ... }, ...
 02945  2016   NtGdiIntersectClipRect  (1543571299, 8, 8, 308, 25, ... ) == 0x3
 02946  2016   NtGdiExtSelectClipRgn  (1543571299, 0, 5, ... ) == 0x2
 02947  2016   NtGdiGetRandomRgn  (1543571299, -888928647, 1, ... ) == 0x0
 02948  2016   NtGdiIntersectClipRect  (1543571299, 7, 7, 307, 25, ... ) == 0x3
 02949  2016   NtGdiExtSelectClipRgn  (1543571299, 0, 5, ... ) == 0x2
 02950  2016   NtGdiBitBlt  (16842834, 0, 0, 336, 29, 1543571299, 0, 0, 13369376, -1, 0, ... ) == 0x1
 02944   896   NtOpenKey  ... -2147481452, ) == 0x0
 02951   896   NtQueryValueKey  (-2147481452,  (-2147481452, "MultiUILanguageId", Partial, 256, ... ) , Partial, 256, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 02952   896   NtClose  (-2147481452, ... ) == 0x0
 02953   896   NtClose  (-2147481368, ... ) == 0x0
 02931   896   NtQueryDefaultUILanguage  ... ) == 0x0
 02954   896   NtReleaseMutant  (88, ... 0x0, ) == 0x0
 02955   896   NtUnmapViewOfSection  (-1, 0x810000, ... ) == 0x0
 02956  2016   NtGdiSelectBitmap  (1543571299, 25493519, ... ) == 0x65050649
 02957  2016   NtGdiDeleteObjectApp  (1543571299, ... ) == 0x1
 02958  2016   NtGdiDeleteObjectApp  (1694828105, ... ) == 0x1
 02959  2016   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 02960  2016   NtUserFillWindow  (590128, 590128, 16842832, 4, ...
 02961  2016   NtUserGetAncestor  (590128, 1, ... ) == 0x10014
 02962  2016   NtUserValidateHandleSecure  (65556, ...
 02963   896   NtClose  (196, ... ) == 0x0
 02964   896   NtReleaseMutant  (88, ...
 02965   896   NtContinue  (-135751860, 0, ...
 02964   896   NtReleaseMutant  ... ) == STATUS_MUTANT_NOT_OWNED
 02966   896   NtUserCallOneParam  (0, 40, ... ) == 0x4090409
 02967   896   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ...
 02962  2016   NtUserValidateHandleSecure  ... ) == 0x1
 02968  2016   NtUserGetAncestor  (65556, 1, ... ) == 0x0
 02960  2016   NtUserFillWindow  ... ) == 0x1
 02887  2016   NtUserMessageCall  ... ) == 0x0
 02886  2016   NtUserDispatchMessage  ... ) == 0x0
 02967   896   NtWaitForSingleObject  ... ) == 0x0
 02969   896   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 02970   896   NtUserValidateHandleSecure  (0, ... ) == 0x0
 02971   896   NtUserCreateWindowEx  (-2147483648, 457756, 456520, "-2013265920, 0, 0, 0, 0, -3, 0, 1953628160, 0, 1073742848, 0, ...
 02972   896   NtUserSetWindowsHookEx  (1953628160, 455464, 896, 2, 1953694283, 2, ... ) == 0x5b01d7
 02973   896   NtUserSetWindowsHookEx  (1953628160, 455464, 896, 7, 1953693577, 2, ... ) == 0x1e01f1
 02974   896   NtUserMessageCall  (0x70148, WM_NCCREATE, 0x0, 0x6f6a8, 0, 670, 1, ... ) == 0x1
 02975  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0xc0144, WM_PAINT, 0x0, 0x0, 0x1311447, {0, 0}}, ) == 0x1
 02976  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 02977  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 02978  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 02979  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 02980  2016   NtUserDispatchMessage  ({0xc0144, WM_PAINT, 0x0, 0x0, 0x1311447, {0, 0}}, ...
 02981  2016   NtUserBeginPaint  (0xc0144, 8387804, ...
 02982   896   NtUserMessageCall  (0x70148, WM_NCCALCSIZE, 0x0, 0x6f6e8, 0, 670, 1, ... ) == 0x0
 02983   896   NtUserSetProp  (459080, 43288, -1, ... ) == 0x1
 02971   896   NtUserCreateWindowEx  ... ) == 0x70148
 02984   896   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ... ) == 0x0
 02985   896   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 02986   896   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ...
 02987  2016   NtUserMessageCall  (0xc0144, WM_NCPAINT, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 02981  2016   NtUserBeginPaint  ... ) == 0x1010050
 02988  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 87, 13, ... ) == 0x3
 02989  2016   NtUserGetControlBrush  (0xc0144, 16842832, 312, ...
 02986   896   NtWaitForSingleObject  ... ) == 0x0
 02990   896   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 02991   896   NtWaitForSingleObject  (80, 0, {-50000000, -1}, ... ) == 0x0
 02992   896   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ... ) == 0x0
 02993   896   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 02994   896   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ...
 02989  2016   NtUserGetControlBrush  ... ) == 0x1100056
 02995  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 02996  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 02997  2016   NtUserEndPaint  (0xc0144, 8387804, ... ) == 0x1
 02980  2016   NtUserDispatchMessage  ... ) == 0x0
 02998  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0xa0132, WM_PAINT, 0x0, 0x0, 0x1311447, {0, 0}}, ) == 0x1
 02999  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 02994   896   NtWaitForSingleObject  ... ) == 0x0
 03000   896   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 03001   896   NtUserPostThreadMessage  (1748, 49314, 0, 0, ... ) == 0x1
 03002   896   NtUserPostThreadMessage  (416, 49314, 0, 0, ... ) == 0x1
 03003   896   NtReleaseMutant  (80, ... 0x0, ) == 0x0
 03004   896   NtWaitForSingleObject  (80, 0, {-50000000, -1}, ...
 03005  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 03006  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 03007  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 03004   896   NtWaitForSingleObject  ... ) == 0x0
 03008   896   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ... ) == 0x0
 03009   896   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 03010   896   NtWaitForSingleObject  (104, 0, {-50000000, -1}, ... ) == 0x0
 03011   896   NtReleaseMutant  (104, ... 0x0, ) == 0x0
 03012   896   NtUserPostThreadMessage  (1748, 49323, 2, 67699721, ...
 03013  2016   NtUserDispatchMessage  ({0xa0132, WM_PAINT, 0x0, 0x0, 0x1311447, {0, 0}}, ...
 03014  2016   NtUserBeginPaint  (0xa0132, 8387804, ...
 03015  2016   NtUserMessageCall  (0xa0132, WM_NCPAINT, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 03014  2016   NtUserBeginPaint  ... ) == 0x1010050
 03016  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 87, 13, ... ) == 0x3
 03017  2016   NtUserGetControlBrush  (0xa0132, 16842832, 312, ... ) == 0x1100056
 03018  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03019  2016   NtGdiGetCharSet  (16842832, ...
 03012   896   NtUserPostThreadMessage  ... ) == 0x1
 03020   896   NtUserPostThreadMessage  (416, 49323, 2, 67699721, ... ) == 0x1
 03021   896   NtReleaseMutant  (80, ... 0x0, ) == 0x0
 03019  2016   NtGdiGetCharSet  ... ) == 0x4e4
 03022  2016   NtUserEndPaint  (0xa0132, 8387804, ... ) == 0x1
 03013  2016   NtUserDispatchMessage  ... ) == 0x0
 03023  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03024  2016   NtUserInternalGetWindowText  (0x90130, 260, ...  (0x90130, 260, ... "Extracting Files", ) , ) == 0x10
 03025  2016   NtUserGetWindowDC  (590128, ... ) == 0x1010051
 03026  2016   NtGdiGetRandomRgn  (16842833, -872151431, 1, ... ) == 0x0
 03027  2016   NtGdiIntersectClipRect  (16842833, 0, 0, 0, 0, ... ) == 0x3
 03028  2016   NtGdiGetCharSet  (16842833, ... ) == 0x4e4
 03029  2016   NtGdiExtSelectClipRgn  (16842833, 0, 5, ... ) == 0x2
 03030  2016   NtUserCallOneParam  (16842833, 57, ... ) == 0x1
 03031  2016   NtUserCalcMenuBar  (590128, 3, 3, 29, 2501400, ... ) == 0x0
 03032  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 8386792, 690, 0, ...
 03033  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 0, 670, 1, ... ) == 0x0
 03032  2016   NtUserMessageCall  ... ) == 0x0
 03034  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 8386792, 690, 0, ...
 03035  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 0, 670, 1, ... ) == 0x0
 03034  2016   NtUserMessageCall  ... ) == 0x0
 03036  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 8386792, 690, 0, ...
 03037  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 03036  2016   NtUserMessageCall  ... ) == 0x0
 03038  2016   NtUserGetTitleBarInfo  (590128, 8387424, ... ) == 0x1
 03039  2016   NtUserBuildHwndList  (0, 590128, 1, 0, 64, ... (0xc0144, 0xa0132, 0xa0142, 0xb0116, 0x100100, 0x1, ), 6, ) == 0x0
 03040  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 03041  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 03042  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 03043  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 03044  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 03045  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 03046  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03047  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03048  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03049  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 03050  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 03051  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 03052  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03053  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03054  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 02868   896   NtUserShowWindow  ... ) == 0x0
 03055   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 458272,  (0x80100080, {24, 0, 0x40, 0, 458272, "\??\u:\work\packed.exe"}, 0x0, 0, 3, 1, 100, 0, 0, ... }, 0x0, 0, 3, 1, 100, 0, 0, ...
 03023  2016   NtUserPeekMessage  ... {0xa0142, WM_PAINT, 0x0, 0x0, 0x1311447, {0, 0}}, ) == 0x1
 03056  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03057  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 03058  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03059  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03060  2016   NtUserDispatchMessage  ({0xa0142, WM_PAINT, 0x0, 0x0, 0x1311447, {0, 0}}, ...
 03061  2016   NtUserBeginPaint  (0xa0142, 8387804, ...
 03062  2016   NtUserMessageCall  (0xa0142, WM_NCPAINT, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 03061  2016   NtUserBeginPaint  ... ) == 0x1010050
 03063  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03064  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03065  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03066  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03067  2016   NtUserEndPaint  (0xa0142, 8387804, ... ) == 0x1
 03060  2016   NtUserDispatchMessage  ... ) == 0x0
 03068  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0xb0116, WM_PAINT, 0x0, 0x0, 0x1311447, {0, 0}}, ) == 0x1
 03069  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03070  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 03071  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 03072  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 03073  2016   NtUserDispatchMessage  ({0xb0116, WM_PAINT, 0x0, 0x0, 0x1311447, {0, 0}}, ...
 03074  2016   NtUserBeginPaint  (0xb0116, 8387804, ...
 03075  2016   NtUserMessageCall  (0xb0116, WM_NCPAINT, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 03074  2016   NtUserBeginPaint  ... ) == 0x1010050
 03076  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03077  2016   NtUserGetControlBrush  (0xb0116, 16842832, 312, ... ) == 0x1100056
 03078  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03079  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03080  2016   NtUserEndPaint  (0xb0116, 8387804, ... ) == 0x1
 03073  2016   NtUserDispatchMessage  ... ) == 0x0
 03081  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0x100100, WM_PAINT, 0x0, 0x0, 0x1311447, {0, 0}}, ) == 0x1
 03082  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03083  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 03084  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03085  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03086  2016   NtUserDispatchMessage  ({0x100100, WM_PAINT, 0x0, 0x0, 0x1311447, {0, 0}}, ...
 03087  2016   NtUserBeginPaint  (0x100100, 8387788, ...
 03088  2016   NtUserMessageCall  (0x100100, WM_NCPAINT, 0x1, 0x0, 0, 670, 0, ... ) == 0x0
 03089  2016   NtUserMessageCall  (0x100100, WM_ERASEBKGND, 0x1010051, 0x0, 0, 670, 0, ... ) == 0x1
 03087  2016   NtUserBeginPaint  ... ) == 0x1010051
 03090  2016   NtUserEndPaint  (0x100100, 8387788, ... ) == 0x1
 03086  2016   NtUserDispatchMessage  ... ) == 0x0
 03091  2016   NtUserWaitMessage  (...
 03055   896   NtCreateFile  ... 196, {status=0x0, info=1}, ) == 0x0
 03092   896   NtSetInformationFile  (196, 458364, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03093   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 458272,  (0x80100080, {24, 0, 0x40, 0, 458272, "\??\u:\work\packed.exe"}, 0x0, 0, 3, 1, 100, 0, 0, ... 192, {status=0x0, info=1}, ) }, 0x0, 0, 3, 1, 100, 0, 0, ... 192, {status=0x0, info=1}, ) == 0x0
 03094   896   NtSetInformationFile  (192, 458364, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03095   896   NtReadFile  (196, 0, 0, 0, 36, 0x0, 0, ... {status=0x0, info=36},  (196, 0, 0, 0, 36, 0x0, 0, ... {status=0x0, info=36}, "MSCF\0\0\0\0X1\23\0\0\0\0\0,\0\0\0\0\0\0\0\3\1\1\0\22\0\0\0\314u\0\0", ) , ) == 0x0
 03096   896   NtQueryInformationFile  (196, 458368, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03097   896   NtSetInformationFile  (196, 458368, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03098   896   NtSetInformationFile  (196, 458368, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03099   896   NtQueryInformationFile  (196, 458424, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03100   896   NtSetInformationFile  (196, 458424, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03101   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "\0`\0\0\0\0\0\0\0\0\253.Q\203`\0", ) , ) == 0x0
 03102   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03103   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03104   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256},  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "xpsp1hfm.exe\0\0J\0\0\0`\0\0\0\0\253.Q\203 \0common\spcustom.dll\0\0\32\0\0\0\252\0\0\0\0\251.t\250 \0common\spmsg.dll\0\0\\1\0\0\304\0\0\0\0\253.Q\203 \0common\spuninst.exe\0\0F\6\0\0 \2\0\0\0\251.t\250 \0common\update.exe\0\374\17\0\0\0f\10\0\0\0[,J\207 \0common\eula.txt\0\0\252\20\0\374u\10\0\0\0\345.\324a \0sp1\ole32.dll\0\0\264\6\0\374\37\31\0\0\0\345.\325a \0sp1\rpcrt4.dll\0\0\32\3\0\374\323\37\0\0\0\345", ) , ) == 0x0
 03105   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03106   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03107   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03108   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8aa64, 0, 688, 1, ...
 03091  2016   NtUserWaitMessage  ... ) == 0x1
 03109  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03110  2016   NtUserDefSetText  (655682, 8387704, ... ) == 0x1
 03111  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 03112  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03113  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03114  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03115  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03116  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03108   896   NtUserMessageCall  ... ) == 0x1
 03117   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\e5d4274d2caaef1b878fb5d282a5\xpsp1hfm.exe"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 03118   896   NtClose  (-2147481368, ... ) == 0x0
 03117   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 03119   896   NtSetInformationFile  (192, 458372, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03120   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ...
 03109  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x1311447, {0, 0}}, ) == 0x0
 03121  2016   NtUserWaitMessage  (...
 03120   896   NtReadFile  ... {status=0x0, info=8},  ... {status=0x0, info=8}, "\222\2\0\0\177\0\3\25", ) , ) == 0x0
 03122   896   NtSetInformationFile  (192, 458372, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03123   896   NtAllocateVirtualMemory  (-1, 655360, 0, 40960, 4096, 4, ... 655360, 40960, ) == 0x0
 03124   896   NtAllocateVirtualMemory  (-1, 696320, 0, 36864, 4096, 4, ... 696320, 36864, ) == 0x0
 03125   896   NtAllocateVirtualMemory  (-1, 0, 0, 2097448, 4096, 4, ... 9764864, 2101248, ) == 0x0
 03126   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\3\340\342\345\345\0\200", ) , ) == 0x0
 03127   896   NtReadFile  (192, 0, 0, 0, 13596, 0x0, 0, ... {status=0x0, info=13596},  (192, 0, 0, 0, 13596, 0x0, 0, ... {status=0x0, info=13596}, "[\200\200\215\11\20\250fu\0"3`4\0\0\217\0\267\273\347e\273<\312\224s`\23N\34062U/\345K\375\355\262\333\234\355\225=\273\\313\313\271~\266\313\330\333\264\312\356\266\330\312\344y\162\322\263y\236\305 =$\301\11$\37\372\27\322-\325`jPQ~\32\24J\2747\3152dl7\367\255%.\6i\264\1\220\14U\326\210\0 \330\1\377=S\353\272\371\225\316\351t\207\16\316y\234\14f\356\233[\334\231\204\2646\3169I\251\266h#\372 \26\250\340\324\265\276\332\2\203\315)\357\332\6}@\221j\254\365y\344\205jX\313[\16\270U\6\250\240ZSc\345f9]\201g'7\30w\303i4\25l2\335\315\377\373\357\177,\376\0 \0\0D#PVV\3{\357\357\373\234\267\234\335d\303\311\310"\22309\10T\32\322F\4\200\200\21\215\234'\215 \260q\327(\30\37\241}m\242\331[\2\334\10D\347\320\203c\253\201_\240<-x!\2716\367\316wo\13;\234\213\355{\350\336U1\260\326\373\32&)F6\23+\335"\225\214n\205d\311\20b\201\225\223t{!%!e\374\260F\225P\211\215vq:\217#\235\366%\302\246E\357\377\233\331{xS\373\217\241\252\370\331\335\217U\372\2103\361\346\227\350u\21X\2\216v/\261C\207.\342#N*\261\366\353\362\20\235\2651\335#5\243J\344!\243Iw\335\351\334\34\351\344d\337d\354\21\272A[\271\340j\12"\210\373\245\3174\15\215\213\234\177-;\372\354\374\5t\245Lf\336Y\312~\277\235\352B\375_d\257\34\361Q'\343\261\347#\35zpg\303\223AI\374t\217\341\30o\250\377\304\321\263]\13\10W\5\337)\341j\220\316#J:\12\330\342o\213\106w\177\327\360", ) 3`4\0\0\217\0\267\273\347e\273<\312\224s`\23N\34062U/\345K\375\355\262\333\234\355\225=\273\\313\313\271~\266\313\330\333\264\312\356\266\330\312\344y\162\322\263y\236\305 =$\301\11$\37\372\27\322-\325`jPQ~\32\24J\2747\3152dl7\367\255%.\6i\264\1\220\14U\326\210\0 \330\1\377=S\353\272\371\225\316\351t\207\16\316y\234\14f\356\233[\334\231\204\2646\3169I\251\266h#\372 \26\250\340\324\265\276\332\2\203\315)\357\332\6}@\221j\254\365y\344\205jX\313[\16\270U\6\250\240ZSc\345f9]\201g'7\30w\303i4\25l2\335\315\377\373\357\177,\376\0 \0\0D#PVV\3{\357\357\373\234\267\234\335d\303\311\310 (192, 0, 0, 0, 13596, 0x0, 0, ... {status=0x0, info=13596}, "[\200\200\215\11\20\250fu\0"3`4\0\0\217\0\267\273\347e\273<\312\224s`\23N\34062U/\345K\375\355\262\333\234\355\225=\273\\313\313\271~\266\313\330\333\264\312\356\266\330\312\344y\162\322\263y\236\305 =$\301\11$\37\372\27\322-\325`jPQ~\32\24J\2747\3152dl7\367\255%.\6i\264\1\220\14U\326\210\0 \330\1\377=S\353\272\371\225\316\351t\207\16\316y\234\14f\356\233[\334\231\204\2646\3169I\251\266h#\372 \26\250\340\324\265\276\332\2\203\315)\357\332\6}@\221j\254\365y\344\205jX\313[\16\270U\6\250\240ZSc\345f9]\201g'7\30w\303i4\25l2\335\315\377\373\357\177,\376\0 \0\0D#PVV\3{\357\357\373\234\267\234\335d\303\311\310"\22309\10T\32\322F\4\200\200\21\215\234'\215 \260q\327(\30\37\241}m\242\331[\2\334\10D\347\320\203c\253\201_\240<-x!\2716\367\316wo\13;\234\213\355{\350\336U1\260\326\373\32&)F6\23+\335"\225\214n\205d\311\20b\201\225\223t{!%!e\374\260F\225P\211\215vq:\217#\235\366%\302\246E\357\377\233\331{xS\373\217\241\252\370\331\335\217U\372\2103\361\346\227\350u\21X\2\216v/\261C\207.\342#N*\261\366\353\362\20\235\2651\335#5\243J\344!\243Iw\335\351\334\34\351\344d\337d\354\21\272A[\271\340j\12"\210\373\245\3174\15\215\213\234\177-;\372\354\374\5t\245Lf\336Y\312~\277\235\352B\375_d\257\34\361Q'\343\261\347#\35zpg\303\223AI\374t\217\341\30o\250\377\304\321\263]\13\10W\5\337)\341j\220\316#J:\12\330\342o\213\106w\177\327\360", ) \225\214n\205d\311\20b\201\225\223t{!%!e\374\260F\225P\211\215vq:\217#\235\366%\302\246E\357\377\233\331{xS\373\217\241\252\370\331\335\217U\372\2103\361\346\227\350u\21X\2\216v/\261C\207.\342#N*\261\366\353\362\20\235\2651\335#5\243J\344!\243Iw\335\351\334\34\351\344d\337d\354\21\272A[\271\340j\12 (192, 0, 0, 0, 13596, 0x0, 0, ... {status=0x0, info=13596}, "[\200\200\215\11\20\250fu\0"3`4\0\0\217\0\267\273\347e\273<\312\224s`\23N\34062U/\345K\375\355\262\333\234\355\225=\273\\313\313\271~\266\313\330\333\264\312\356\266\330\312\344y\162\322\263y\236\305 =$\301\11$\37\372\27\322-\325`jPQ~\32\24J\2747\3152dl7\367\255%.\6i\264\1\220\14U\326\210\0 \330\1\377=S\353\272\371\225\316\351t\207\16\316y\234\14f\356\233[\334\231\204\2646\3169I\251\266h#\372 \26\250\340\324\265\276\332\2\203\315)\357\332\6}@\221j\254\365y\344\205jX\313[\16\270U\6\250\240ZSc\345f9]\201g'7\30w\303i4\25l2\335\315\377\373\357\177,\376\0 \0\0D#PVV\3{\357\357\373\234\267\234\335d\303\311\310"\22309\10T\32\322F\4\200\200\21\215\234'\215 \260q\327(\30\37\241}m\242\331[\2\334\10D\347\320\203c\253\201_\240<-x!\2716\367\316wo\13;\234\213\355{\350\336U1\260\326\373\32&)F6\23+\335"\225\214n\205d\311\20b\201\225\223t{!%!e\374\260F\225P\211\215vq:\217#\235\366%\302\246E\357\377\233\331{xS\373\217\241\252\370\331\335\217U\372\2103\361\346\227\350u\21X\2\216v/\261C\207.\342#N*\261\366\353\362\20\235\2651\335#5\243J\344!\243Iw\335\351\334\34\351\344d\337d\354\21\272A[\271\340j\12"\210\373\245\3174\15\215\213\234\177-;\372\354\374\5t\245Lf\336Y\312~\277\235\352B\375_d\257\34\361Q'\343\261\347#\35zpg\303\223AI\374t\217\341\30o\250\377\304\321\263]\13\10W\5\337)\341j\220\316#J:\12\330\342o\213\106w\177\327\360", ) , ) == 0x0
 03128   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "MZ\220\0\3\0\0\0\4\0\0\0\377\377\0\0\270\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\340\0\0\0\16\37\272\16\0\264\11\315!\270\1L\315!This program cannot be run in DOS mode.\15\15\12$\0\0\0\0\0\0\0\367*W\370\263K9\253\263K9\253\263K9\253Ihy\253\262K9\253\263K8\253\355K9\253Ih \253\274K9\253$h|\253\262K9\253ih%\253\241K9\253Ih\4\253\262K9\253Rich\263K9\253\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0PE\0\0L\1\3\0\30.\274>\0\0\0\0\0\0\0\0\340\0\17\1\13\1\7\0\0J\0\0\0\32\0\0\0\0\0\0\210N\0\0\0\20\0\0\0`\0\0\0\0\0\1\0\20\0\0\0\2\0\0\5\0\1\0\5\0\1\0\4\0\0\0\0\0\0\0\0\200\0\0\0\4\0\0\316]\1\0\2\0\0\200\0\0\4\0\0\20\0\0\0\0\20\0\0\20\0\0\0\0\0\0\20\0\0\0\0\0\0\0\0\0\0\0\310P\0\0\240\0\0\0\0p\0\0\10\16\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\240\21\0\0\34\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\0\214\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0.text\0\0\0bI\0\0\0\20\0\0\0J\0\0\0\4\0\0\0\0\0\0", 24576, 0x0, 0, ... , 24576, 0x0, 0, ...
 03129   896   NtContinue  (-135750188, 0, ...
 03128   896   NtWriteFile  ... {status=0x0, info=24576}, ) == 0x0
 03130   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 03131   896   NtClose  (200, ... ) == 0x0
 03132   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03133   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03134   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 03121  2016   NtUserWaitMessage  ... ) == 0x1
 03135  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03136  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 03137  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010051
 03138  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 03136  2016   NtUserRedrawWindow  ... ) == 0x1
 03135  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x1311447, {0, 0}}, ) == 0x0
 03139  2016   NtUserWaitMessage  (...
 03134   896   NtUserMessageCall  ... ) == 0x0
 03140   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "\0J\0\0\0`\0\0\0\0\253.Q\203 \0", ) , ) == 0x0
 03141   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03142   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03143   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256},  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "common\spcustom.dll\0\0\32\0\0\0\252\0\0\0\0\251.t\250 \0common\spmsg.dll\0\0\\1\0\0\304\0\0\0\0\253.Q\203 \0common\spuninst.exe\0\0F\6\0\0 \2\0\0\0\251.t\250 \0common\update.exe\0\374\17\0\0\0f\10\0\0\0[,J\207 \0common\eula.txt\0\0\252\20\0\374u\10\0\0\0\345.\324a \0sp1\ole32.dll\0\0\264\6\0\374\37\31\0\0\0\345.\325a \0sp1\rpcrt4.dll\0\0\32\3\0\374\323\37\0\0\0\345.\326a \0sp1\rpcss.dll\0> \0\0\374\355"\0\0\0", ) \0\0\0", ) == 0x0
 03144   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03145   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03146   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03147   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8aa64, 0, 688, 1, ...
 03139  2016   NtUserWaitMessage  ... ) == 0x1
 03148  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03149  2016   NtUserDefSetText  (655682, 8387696, ... ) == 0x1
 03150  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 03151  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03152  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03153  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03154  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03155  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03147   896   NtUserMessageCall  ... ) == 0x1
 03156   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\e5d4274d2caaef1b878fb5d282a5\common\spcustom.dll"}, 0x0, 128, 3, 5, 96, 0, 0, ... ) }, 0x0, 128, 3, 5, 96, 0, 0, ... ) == STATUS_OBJECT_PATH_NOT_FOUND
 03157   896   NtCreateFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\C:\scripts"}, 0x0, 128, 3, 2, 16417, 0, 0, ... ) }, 0x0, 128, 3, 2, 16417, 0, 0, ... ) == STATUS_OBJECT_NAME_COLLISION
 03158   896   NtCreateFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\c:\e5d4274d2caaef1b878fb5d282a5"}, 0x0, 128, 3, 2, 16417, 0, 0, ... ) }, 0x0, 128, 3, 2, 16417, 0, 0, ... ) == STATUS_OBJECT_NAME_COLLISION
 03159   896   NtCreateFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\c:\e5d4274d2caaef1b878fb5d282a5\common"}, 0x0, 128, 3, 2, 16417, 0, 0, ... 200, {status=0x0, info=2}, ) }, 0x0, 128, 3, 2, 16417, 0, 0, ... 200, {status=0x0, info=2}, ) == 0x0
 03160   896   NtClose  (200, ... ) == 0x0
 03161   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\e5d4274d2caaef1b878fb5d282a5\common\spcustom.dll"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 03148  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x1311447, {0, 0}}, ) == 0x0
 03162  2016   NtUserWaitMessage  (...
 03163   896   NtClose  (-2147481368, ... ) == 0x0
 03161   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 03164   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "MZ\220\0\3\0\0\0\4\0\0\0\377\377\0\0\270\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\350\0\0\0\16\37\272\16\0\264\11\315!\270\1L\315!This program cannot be run in DOS mode.\15\15\12$\0\0\0\0\0\0\0\321\12%\200\225kK\323\225kK\323\225kK\323\246In\323\227kK\323oH\13\323\224kK\323\225kJ\323\307kK\323oHR\323\204kK\323oHt\323\224kK\323\2H\16\323\224kK\323OHW\323\227kK\323oHv\323\224kK\323Rich\225kK\323\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0PE\0\0L\1\4\0\21.\274>\0\0\0\0\0\0\0\0\340\0\16-\13\1\7\0\0<\0\0\0\16\0\0\0\0\0\0\220\36\0\0\0\20\0\0\0P\0\0\0\0@\0\0\20\0\0\0\2\0\0\5\0\1\0\5\0\1\0\4\0\0\0\0\0\0\0\0\200\0\0\0\4\0\0\202p\0\0\3\0\0\0\0\0\4\0\0\20\0\0\0\0\20\0\0\20\0\0\0\0\0\0\20\0\0\0\220H\0\0\23\2\0\0\254?\0\0\310\0\0\0\0`\0\0\30\4\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0p\0\0\0\3\0\0p\21\0\0\34\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\0l\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0.text\0\0\0\243:\0\0\0\20\0\0\0<\0\0", 8192, 0x0, 0, ... , 8192, 0x0, 0, ...
 03165   896   NtContinue  (-135750188, 0, ...
 03164   896   NtWriteFile  ... {status=0x0, info=8192}, ) == 0x0
 03166   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "8O\6\224\262\0\200", ) , ) == 0x0
 03167   896   NtReadFile  (192, 0, 0, 0, 12822, 0x0, 0, ... {status=0x0, info=12822},  (192, 0, 0, 0, 12822, 0x0, 0, ... {status=0x0, info=12822}, "\24363\207v\227\342+\214\2334\357\355\350~\313\263\26\315"a\264\204P\211\3205DS4Y\354\317O\15\346\177"1\344\32\250\3270q\327\302\223\225b\34\330\245\32\337\0^x\5\326+L\1e>\255\240L\223\20\360\360\220r~{\25S\316\214hLN\222\227\356\33\251\207\255\210\230y\342\246\257_\350v\206X\351\362\5\37\236\2034'\217\2\372F\366\374\362j\242NH\255\346\35\216d\375\0\233y\201\326\322\355\326\354\246\310\365o\303*\331\275\241\362M\267a\302:\243\177m\351\370\34{\304\276g?\361\333!\36\337\303\275s(\342\303}^\361\200v\330\350\343\27{\300,<\371\25\241nr\241\37{\177\35\2316n\340#\226\214\344\242\326\206]\346\351\222}F\324K4\325*d\11\236u\351P\260\327\213\232\27\251=\304\12/;\355\14\274H\4\334\302j\270TN\312\252Sg\351{\274\265\236\2748\366\330>#\272\255\274&\310e\3A\365\326od\216i7\303h\303N\2007\302\335"Q\247\37\33X\243\233R\325\30U\344\313\207\223\225\207m\344\227$\321\247|\302/V\2\240\207\350B9=\25Y\265\223\15\10\2017\314\334W\316\232\35\231w\256\231D\356o\15@\367\267h\323d\24\203\200\u\317\375K\204gta\27\303\214\35b\26\227\326\271\303\337\361q\22\367\205\37\355b\14I\323\230\35\325Q\262\243|\266\207c\256\224h\34L\225\10"PB[L#\373\275Z\35\14\177\213\270\257\235\365\237-\330\10^\265\203\374mh\320\32\210\3267\322\20)\235\212\2\251-\32(\274\324W\206\374\266P%jf\216\211y``"\36\#\21\222\222\349G"%\22\2719\233\315%\223\334\271\7gQI\16\316\250\251T\225\313\2030B\225\344t;\237QrrG"T", ) a\264\204P\211\3205DS4Y\354\317O\15\346\177 (192, 0, 0, 0, 12822, 0x0, 0, ... {status=0x0, info=12822}, "\24363\207v\227\342+\214\2334\357\355\350~\313\263\26\315"a\264\204P\211\3205DS4Y\354\317O\15\346\177"1\344\32\250\3270q\327\302\223\225b\34\330\245\32\337\0^x\5\326+L\1e>\255\240L\223\20\360\360\220r~{\25S\316\214hLN\222\227\356\33\251\207\255\210\230y\342\246\257_\350v\206X\351\362\5\37\236\2034'\217\2\372F\366\374\362j\242NH\255\346\35\216d\375\0\233y\201\326\322\355\326\354\246\310\365o\303*\331\275\241\362M\267a\302:\243\177m\351\370\34{\304\276g?\361\333!\36\337\303\275s(\342\303}^\361\200v\330\350\343\27{\300,<\371\25\241nr\241\37{\177\35\2316n\340#\226\214\344\242\326\206]\346\351\222}F\324K4\325*d\11\236u\351P\260\327\213\232\27\251=\304\12/;\355\14\274H\4\334\302j\270TN\312\252Sg\351{\274\265\236\2748\366\330>#\272\255\274&\310e\3A\365\326od\216i7\303h\303N\2007\302\335"Q\247\37\33X\243\233R\325\30U\344\313\207\223\225\207m\344\227$\321\247|\302/V\2\240\207\350B9=\25Y\265\223\15\10\2017\314\334W\316\232\35\231w\256\231D\356o\15@\367\267h\323d\24\203\200\u\317\375K\204gta\27\303\214\35b\26\227\326\271\303\337\361q\22\367\205\37\355b\14I\323\230\35\325Q\262\243|\266\207c\256\224h\34L\225\10"PB[L#\373\275Z\35\14\177\213\270\257\235\365\237-\330\10^\265\203\374mh\320\32\210\3267\322\20)\235\212\2\251-\32(\274\324W\206\374\266P%jf\216\211y``"\36\#\21\222\222\349G"%\22\2719\233\315%\223\334\271\7gQI\16\316\250\251T\225\313\2030B\225\344t;\237QrrG"T", ) Q\247\37\33X\243\233R\325\30U\344\313\207\223\225\207m\344\227$\321\247|\302/V\2\240\207\350B9=\25Y\265\223\15\10\2017\314\334W\316\232\35\231w\256\231D\356o\15@\367\267h\323d\24\203\200\u\317\375K\204gta\27\303\214\35b\26\227\326\271\303\337\361q\22\367\205\37\355b\14I\323\230\35\325Q\262\243|\266\207c\256\224h\34L\225\10 (192, 0, 0, 0, 12822, 0x0, 0, ... {status=0x0, info=12822}, "\24363\207v\227\342+\214\2334\357\355\350~\313\263\26\315"a\264\204P\211\3205DS4Y\354\317O\15\346\177"1\344\32\250\3270q\327\302\223\225b\34\330\245\32\337\0^x\5\326+L\1e>\255\240L\223\20\360\360\220r~{\25S\316\214hLN\222\227\356\33\251\207\255\210\230y\342\246\257_\350v\206X\351\362\5\37\236\2034'\217\2\372F\366\374\362j\242NH\255\346\35\216d\375\0\233y\201\326\322\355\326\354\246\310\365o\303*\331\275\241\362M\267a\302:\243\177m\351\370\34{\304\276g?\361\333!\36\337\303\275s(\342\303}^\361\200v\330\350\343\27{\300,<\371\25\241nr\241\37{\177\35\2316n\340#\226\214\344\242\326\206]\346\351\222}F\324K4\325*d\11\236u\351P\260\327\213\232\27\251=\304\12/;\355\14\274H\4\334\302j\270TN\312\252Sg\351{\274\265\236\2748\366\330>#\272\255\274&\310e\3A\365\326od\216i7\303h\303N\2007\302\335"Q\247\37\33X\243\233R\325\30U\344\313\207\223\225\207m\344\227$\321\247|\302/V\2\240\207\350B9=\25Y\265\223\15\10\2017\314\334W\316\232\35\231w\256\231D\356o\15@\367\267h\323d\24\203\200\u\317\375K\204gta\27\303\214\35b\26\227\326\271\303\337\361q\22\367\205\37\355b\14I\323\230\35\325Q\262\243|\266\207c\256\224h\34L\225\10"PB[L#\373\275Z\35\14\177\213\270\257\235\365\237-\330\10^\265\203\374mh\320\32\210\3267\322\20)\235\212\2\251-\32(\274\324W\206\374\266P%jf\216\211y``"\36\#\21\222\222\349G"%\22\2719\233\315%\223\334\271\7gQI\16\316\250\251T\225\313\2030B\225\344t;\237QrrG"T", ) \36\#\21\222\222\349G (192, 0, 0, 0, 12822, 0x0, 0, ... {status=0x0, info=12822}, "\24363\207v\227\342+\214\2334\357\355\350~\313\263\26\315"a\264\204P\211\3205DS4Y\354\317O\15\346\177"1\344\32\250\3270q\327\302\223\225b\34\330\245\32\337\0^x\5\326+L\1e>\255\240L\223\20\360\360\220r~{\25S\316\214hLN\222\227\356\33\251\207\255\210\230y\342\246\257_\350v\206X\351\362\5\37\236\2034'\217\2\372F\366\374\362j\242NH\255\346\35\216d\375\0\233y\201\326\322\355\326\354\246\310\365o\303*\331\275\241\362M\267a\302:\243\177m\351\370\34{\304\276g?\361\333!\36\337\303\275s(\342\303}^\361\200v\330\350\343\27{\300,<\371\25\241nr\241\37{\177\35\2316n\340#\226\214\344\242\326\206]\346\351\222}F\324K4\325*d\11\236u\351P\260\327\213\232\27\251=\304\12/;\355\14\274H\4\334\302j\270TN\312\252Sg\351{\274\265\236\2748\366\330>#\272\255\274&\310e\3A\365\326od\216i7\303h\303N\2007\302\335"Q\247\37\33X\243\233R\325\30U\344\313\207\223\225\207m\344\227$\321\247|\302/V\2\240\207\350B9=\25Y\265\223\15\10\2017\314\334W\316\232\35\231w\256\231D\356o\15@\367\267h\323d\24\203\200\u\317\375K\204gta\27\303\214\35b\26\227\326\271\303\337\361q\22\367\205\37\355b\14I\323\230\35\325Q\262\243|\266\207c\256\224h\34L\225\10"PB[L#\373\275Z\35\14\177\213\270\257\235\365\237-\330\10^\265\203\374mh\320\32\210\3267\322\20)\235\212\2\251-\32(\274\324W\206\374\266P%jf\216\211y``"\36\#\21\222\222\349G"%\22\2719\233\315%\223\334\271\7gQI\16\316\250\251T\225\313\2030B\225\344t;\237QrrG"T", ) T", ) == 0x0
 03168   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\4\205\366tDh\5\1\0\0Vh\350\25@\0h@P@\0\350\246\354\377\377V\377\25X\20@\0\203\370\377t\16V\377\25T\21@\0\203\304\43\300^\303h\5\1\0\0Vh\334\25@\0h@P@\0\350w\354\377\377\213\306^\303\220\220\220\213D$\4\213H\14\201\354\30\3\0\0\205\311ugh\5\1\0\0\215L$\10Qh\24\26@\0h`Q@\0\350F\354\377\377h\12\2\0\0\215\224$\20\1\0\0Rj\377\215D$\20Pj\0j\0\377\25\204\20@\0H\367\330\33\300@\211D$\0t\26h\364\25@\0\215\214$\20\1\0\0Q\350Z\12\0\0\205\300u\16\270\307\4\0\0\201\304\30\3\0\0\302\4\03\300\201\304\30\3\0\0\302\4\0\220\220\220\220\220\220\220\220\220\220\220\220\220\213D$\4\213H\14\201\354\30\3\0\0\205\311ubh\5\1\0\0\215L$\10Qh\24\26@\0h`Q@\0\350\266\353\377\377h\12\2\0\0\215\224$\20\1\0\0Rj\377\215D$\20Pj\0j\0\377\25\204\20@\0H\367\330\33\300@\211D$\0t\21\215\214$\14\1\0\0Q\350\217\20\0\0\205\300u\16\270\307\4\0\0\201\304\30\3\0\0\302\4\03\300\201\304\30\3\0\0\302\4\0\220\220\203\354\10SW\213|$\243\333\205\377\307D$\10\0\0\0\0\211\$\14u\15_\270W\0\7\200[\203\304\10\302\4\0Vj\0j\0\307\7\0\0\0\0\377\25`\21@\0\213\360\205\366t\11\203\376\1\17\205\315\0\0\0\215D$\14Ph\214\21@\0\273\1\0\0\0Sj\0h\254\21@\0\377\25d\21@\0\213\360\205\366\17\205\246\0\0\0\213D$\14\213\10\215T$\20RP\377\221\344\0\0\0\213\360\205\366\17\205\212\0\0\0\213t$\20V\377\25D\21", 10752, 0x0, 0, ... {status=0x0, info=10752}, ) , 10752, 0x0, 0, ... {status=0x0, info=10752}, ) == 0x0
 03169   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 03170   896   NtClose  (200, ... ) == 0x0
 03171   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03172   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03173   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 03162  2016   NtUserWaitMessage  ... ) == 0x1
 03174  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03175  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 03176  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010051
 03177  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 03175  2016   NtUserRedrawWindow  ... ) == 0x1
 03174  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x1311447, {0, 0}}, ) == 0x0
 03178  2016   NtUserWaitMessage  (...
 03173   896   NtUserMessageCall  ... ) == 0x1
 03179   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "\0\32\0\0\0\252\0\0\0\0\251.t\250 \0", ) , ) == 0x0
 03180   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03181   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03182   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256},  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "common\spmsg.dll\0\0\\1\0\0\304\0\0\0\0\253.Q\203 \0common\spuninst.exe\0\0F\6\0\0 \2\0\0\0\251.t\250 \0common\update.exe\0\374\17\0\0\0f\10\0\0\0[,J\207 \0common\eula.txt\0\0\252\20\0\374u\10\0\0\0\345.\324a \0sp1\ole32.dll\0\0\264\6\0\374\37\31\0\0\0\345.\325a \0sp1\rpcrt4.dll\0\0\32\3\0\374\323\37\0\0\0\345.\326a \0sp1\rpcss.dll\0> \0\0\374\355"\0\0\0\345.\213c \0sp1\update\kb823980.cat\0\243\21\0\0:\16", ) \0\0\0\345.\213c \0sp1\update\kb823980.cat\0\243\21\0\0:\16", ) == 0x0
 03183   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03184   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03185   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03186   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8aa64, 0, 688, 1, ...
 03178  2016   NtUserWaitMessage  ... ) == 0x1
 03187  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03188  2016   NtUserDefSetText  (655682, 8387700, ... ) == 0x1
 03189  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 03190  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03191  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03192  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03193  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03194  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03186   896   NtUserMessageCall  ... ) == 0x1
 03195   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\e5d4274d2caaef1b878fb5d282a5\common\spmsg.dll"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 03196   896   NtClose  (-2147481368, ... ) == 0x0
 03195   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 03197   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "MZ\220\0\3\0\0\0\4\0\0\0\377\377\0\0\270\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\270\0\0\0\16\37\272\16\0\264\11\315!\270\1L\315!This program cannot be run in DOS mode.\15\15\12$\0\0\0\0\0\0\0\7\242=\332C\303S\211C\303S\211C\303S\211\324\340\26\211B\303S\211\271\340n\211B\303S\211RichC\303S\211\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0PE\0\0L\1\2\0\17.\274>\0\0\0\0\0\0\0\0\340\0\16!\13\1\7\0\0\0\0\0\0\30\0\0\0\0\0\0\0\0\0\0\0\20\0\0\0\20\0\0\0\0\0\20\0\20\0\0\0\2\0\0\5\0\1\0\5\0\1\0\4\0\0\0\0\0\0\0\0@\0\0\0\2\0\0R\202\0\0\2\0\0\0\0\0\4\0\0\20\0\0\0\0\20\0\0\20\0\0\0\0\0\0\20\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\0\250\24\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\00\0\0\10\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0.rsrc\0\0\0\250\24\0\0\0\20\0\0\0\26\0\0\0\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0@\0\0@.reloc\0\0\10\0\0\0\00\0\0\0\2\0\0\0\30\0\0\0\0\0\0", 6656, 0x0, 0, ... , 6656, 0x0, 0, ...
 03198   896   NtContinue  (-135750188, 0, ...
 03197   896   NtWriteFile  ... {status=0x0, info=6656}, ) == 0x0
 03199   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 03200   896   NtClose  (200, ... ) == 0x0
 03201   896   NtUserValidateHandleSecure  (590128, ...
 03187  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x1311447, {0, 0}}, ) == 0x0
 03202  2016   NtUserWaitMessage  (...
 03201   896   NtUserValidateHandleSecure  ... ) == 0x1
 03203   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03204   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 03202  2016   NtUserWaitMessage  ... ) == 0x1
 03205  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03206  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 03207  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010051
 03208  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 03206  2016   NtUserRedrawWindow  ... ) == 0x1
 03205  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x1311447, {0, 0}}, ) == 0x0
 03209  2016   NtUserWaitMessage  (...
 03204   896   NtUserMessageCall  ... ) == 0x2
 03210   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "\0\\1\0\0\304\0\0\0\0\253.Q\203 \0", ) , ) == 0x0
 03211   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03212   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03213   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256},  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "common\spuninst.exe\0\0F\6\0\0 \2\0\0\0\251.t\250 \0common\update.exe\0\374\17\0\0\0f\10\0\0\0[,J\207 \0common\eula.txt\0\0\252\20\0\374u\10\0\0\0\345.\324a \0sp1\ole32.dll\0\0\264\6\0\374\37\31\0\0\0\345.\325a \0sp1\rpcrt4.dll\0\0\32\3\0\374\323\37\0\0\0\345.\326a \0sp1\rpcss.dll\0> \0\0\374\355"\0\0\0\345.\213c \0sp1\update\kb823980.cat\0\243\21\0\0:\16#\0\0\0\345.\323a \0sp1\update\update.inf\0\340", ) \0\0\0\345.\213c \0sp1\update\kb823980.cat\0\243\21\0\0:\16#\0\0\0\345.\323a \0sp1\update\update.inf\0\340", ) == 0x0
 03214   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03215   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03216   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03217   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8aa64, 0, 688, 1, ...
 03209  2016   NtUserWaitMessage  ... ) == 0x1
 03218  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03219  2016   NtUserDefSetText  (655682, 8387696, ... ) == 0x1
 03220  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 03221  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03222  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03223  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03224  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03225  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03217   896   NtUserMessageCall  ... ) == 0x1
 03226   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\e5d4274d2caaef1b878fb5d282a5\common\spuninst.exe"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 03227   896   NtClose  (-2147481368, ... ) == 0x0
 03226   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 03228   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "MZ\220\0\3\0\0\0\4\0\0\0\377\377\0\0\270\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\340\0\0\0\16\37\272\16\0\264\11\315!\270\1L\315!This program cannot be run in DOS mode.\15\15\12$\0\0\0\0\0\0\0\315\207^\372\211\3460\251\211\3460\251\211\3460\251\211\3460\251\213\3460\251s\305p\251\213\3460\251\211\3461\251~\3460\251s\305)\251\226\3460\251\36\305u\251\210\3460\251S\305,\251\232\3460\251s\305\15\251\210\3460\251Rich\211\3460\251\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0PE\0\0L\1\3\0\21.\274>\0\0\0\0\0\0\0\0\340\0\17\1\13\1\7\0\0\332\0\0\0\310\3\0\0\0\0\0-\317\0\0\0\20\0\0\0\360\0\0\0\0\0\1\0\20\0\0\0\2\0\0\5\0\1\0\5\0\1\0\4\0\0\0\0\0\0\0\0\300\4\0\0\4\0\0\241\340\1\0\2\0\0\200\0\0\4\0\0\20\0\0\0\0\20\0\0\20\0\0\0\0\0\0\20\0\0\0\0\0\0\0\0\0\0\0L\324\0\0\30\1\0\0\0@\4\0(z\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\320\23\0\0\34\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\0\264\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0.text\0\0\0\224\331\0\0\0\20\0\0\0\332\0\0\0\4\0\0\0\0\0\0", 15360, 0x0, 0, ... , 15360, 0x0, 0, ...
 03229   896   NtContinue  (-135750188, 0, ...
 03228   896   NtWriteFile  ... {status=0x0, info=15360}, ) == 0x0
 03230   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ...
 03218  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x1311447, {0, 0}}, ) == 0x0
 03231  2016   NtUserWaitMessage  (...
 03230   896   NtReadFile  ... {status=0x0, info=8},  ... {status=0x0, info=8}, "\215\332\206\3644<\0\200", ) , ) == 0x0
 03232   896   NtReadFile  (192, 0, 0, 0, 15412, 0x0, 0, ... {status=0x0, info=15412},  (192, 0, 0, 0, 15412, 0x0, 0, ... {status=0x0, info=15412}, "Z\342\360\270\372\35\253\310\311\225~\351\353\357\304\334\236\375k\3466}>\363\246\365\302\3061\262\324\14H\2\200\7\336J\357\32\367~\215\214\337R\200E\27'\243\224|\25\2776\271\301x\16\332_\253s\25d\13M\23\306y\315\221u\276WP6Y_\241@\200\215(?\324+\331C\313\267\22726\224\G\250s\273)Zj\351\4\16\3055\0\363\312O5\316Eo\200\2247+\3676\14\337$\373r\4\377\260T\326\205\13\200\307y\360w\247\250;m\2158\6\337-)\37\255\254Y\1}\26\236\250'a\212i|A\44\275\264\224<\215\365\301,\244\1\334\3\252_\27\2360$f\240\34~\33\323m\305\352\10\345\234\245(\240\327\4\357\212\305V#\335\264\4\273Sy\305\266As\350N\272\233#9\251Q\205\324:p\202\343\201\322\340\244\330\272\26\3548\237\370n\237s\202\245\177\3510I~F\10\325J\326)\324\264\223\340B\226\33p\341:X8\246\235\271\3\322sH\303g\376\331!\271\2334\201\264=\303\17\330\30{.\317\204\360\35\231mF\36\217\341\20\344"\2609\222-M#\05=\6\314\366K\316\277+i\251\214Gj\312\363l\21\32\245\262\5\317#\343\351\324\14h\301\253#t6\200\334\23\377\311\344\14\26\34\370cxm\340$H\303C\227:\350\322y\30u\3541\200\365\332\7\270\232!\253@\37fF", ) \2609\222-M#\05=\6\314\366K\316\277+i\251\214Gj\312\363l\21\32\245\262\5\317#\343\351\324\14h\301\253#t6\200\334\23\377\311\344\14\26\34\370cxm\340$H\303C\227:\350\322y\30u\3541\200\365\332\7\270\232!\253@\37fF", ) == 0x0
 03233   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\321\17\207\14\1\0\0\17\204\276\0\0\0\201\372\1\360\0\0\17\204\262\0\0\0\201\372\2\360\0\0tY\201\372\3\360\0\0\17\206\301\1\0\0\201\372\5\360\0\0\17\207\265\1\0\0h\200\3\1\1SP\350\3I\0\0\213\15\14\363\0\1\213\301\203\304\14\215p\1\212\20@\204\322u\371+\3069E\24\17\206\211\1\0\0\213\323\213\301+\321\212\10\210\14\2@\204\311u\366\351t\1\0\0\271\200\3\1\1Q\215\225\374\376\377\377RQ\215\215\374\376\377\377QSP\350\262H\0\0\213\15\14\363\0\1\213\301\203\304\30\215p\1\212\20@\204\322u\371+\3069E\24\17\2068\1\0\0\213\323\213\301+\321\212\10\210\14\2@\204\311u\366\351#\1\0\0h\200\3\1\1\215\215\374\376\377\377QSP\350jH\0\0\213\15\14\363\0\1\213\301\203\304\20\215p\1\212\20@\204\322u\371+\3069E\24\17\206\360\0\0\0\213\323\213\301+\321\212\10\210\14\2@\204\311u\366\351\333\0\0\0\201\372\1\361\0\0\17\202\317\0\0\0\201\372\2\361\0\0\17\206\16\377\377\377\201\372\3\361\0\0\17\205\267\0\0\0\215\215\374\376\377\377Qh\200\3\1\1SP\350\376G\0\0\213\15\14\363\0\1\213\301\203\304\20\215p\1\212\20@\204\322u\371+\3069E\24\17\206\204\0\0\0\213\323\213\301+\321\212\10\210\14\2@\204\311u\366\353r\201\372\7\361\0\0t0\201\372\10\361\0\0vb\201\372\13\361\0\0\17\206\241\376\377\377\201\372=\361\0\0\17\204\225\376\377\377\201\372?\361\0\0tK\201\372\6\362\0\0u:\215\215\374\376\377\377QSP\350\206G\0\0\213\15\14\363\0\1\213\301\203\304\14\215p\1\212\20@\204\322u\371+\3069E\24v\20\213\323\213\301+\321\212\10\210\14\2@\204\311u\366\213\307_^[\311", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03234   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\251\26\230\252\264#\0\200", ) , ) == 0x0
 03235   896   NtReadFile  (192, 0, 0, 0, 9140, 0x0, 0, ... {status=0x0, info=9140},  (192, 0, 0, 0, 9140, 0x0, 0, ... {status=0x0, info=9140}, "\222o\267\14\344ci\27\222\256\6\12>\200Q\222\346\34%\300N\273\322\\372\244\213\316C\275S\32\304\365<*\266\373\17\21\222\263\275\6;<\342n\273\341\304\333\212\35o\240\204\65o;\236\230x!~\16R\332\361\201\252\245\354\261q\33\12:\252\245+\337\377}\2\3156\14\351\230\262m\230o!\335\315\277\367\1770\336\220\214\356\302\321\373WhvQ!\346\2324sF\202Q\361\266\317~\376\12T\333|\35\12\305\210l\347M\241\21\272L\234Ni\365\250\325\315W\362\204\213\2369Z9\210\24\16\20\313-\0\343\322\343Z\232\346\1i\313\340\17\241Y*>\244\270\364\254\274,\214\361\30)\346\245\J"g\362\263\210\2\11\353\324\3079\2448\205_q/\333\330\276\243\20\245w\247\242\203\307\210\241W\257\204B\351\4\342$Jw<\225$\251\302@j\4hH\25\355k#O\236\270<\231\13\217YjqEk\373\371\263\363\33173]\346\341\246\261\347\341 \11\314\270O5\267(\216T\212\362\314\350j@\205\304\241\214v\217\335\2565JA\35\206\13)\204\13\35aT\7,\376\207\262\275Ap\12\247\214\207\373*\207$k\16U\24\305\212\12\313\234\rah\212\216Gj\0\253M\4\221\256\310\322\320\301Y+@V-\323\33\20\257\240K\247\222\377Fo\374\343\371\217\353y\10\33\13\375x\263t\345;\265\263Xx\226\366\4\306x\352\3231\346wg\\340\224L\27RYS\15Ey\363\2458\32u\263`d\245Q\200\302\350\27\245\3", ) \332\361\201\252\245\354\261q\33\12:\252\245+\337\377}\2\3156\14\351\230\262m\230o!\335\315\277\367\1770\336\220\214\356\302\321\373WhvQ!\346\2324sF\202Q\361\266\317~\376\12T\333|\35\12\305\210l\347M\241\21\272L\234Ni\365\250\325\315W\362\204\213\2369Z9\210\24\16\20\313-\0\343\322\343Z\232\346\1i\313\340\17\241Y*>\244\270\364\254\274,\214\361\30)\346\245\J (192, 0, 0, 0, 9140, 0x0, 0, ... {status=0x0, info=9140}, "\222o\267\14\344ci\27\222\256\6\12>\200Q\222\346\34%\300N\273\322\\372\244\213\316C\275S\32\304\365<*\266\373\17\21\222\263\275\6;<\342n\273\341\304\333\212\35o\240\204\65o;\236\230x!~\16R\332\361\201\252\245\354\261q\33\12:\252\245+\337\377}\2\3156\14\351\230\262m\230o!\335\315\277\367\1770\336\220\214\356\302\321\373WhvQ!\346\2324sF\202Q\361\266\317~\376\12T\333|\35\12\305\210l\347M\241\21\272L\234Ni\365\250\325\315W\362\204\213\2369Z9\210\24\16\20\313-\0\343\322\343Z\232\346\1i\313\340\17\241Y*>\244\270\364\254\274,\214\361\30)\346\245\J"g\362\263\210\2\11\353\324\3079\2448\205_q/\333\330\276\243\20\245w\247\242\203\307\210\241W\257\204B\351\4\342$Jw<\225$\251\302@j\4hH\25\355k#O\236\270<\231\13\217YjqEk\373\371\263\363\33173]\346\341\246\261\347\341 \11\314\270O5\267(\216T\212\362\314\350j@\205\304\241\214v\217\335\2565JA\35\206\13)\204\13\35aT\7,\376\207\262\275Ap\12\247\214\207\373*\207$k\16U\24\305\212\12\313\234\rah\212\216Gj\0\253M\4\221\256\310\322\320\301Y+@V-\323\33\20\257\240K\247\222\377Fo\374\343\371\217\353y\10\33\13\375x\263t\345;\265\263Xx\226\366\4\306x\352\3231\346wg\\340\224L\27RYS\15Ey\363\2458\32u\263`d\245Q\200\302\350\27\245\3", ) , ) == 0x0
 03236   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "Sh\20,\0\1\377u\14\377\250\20\0\1\205\300u\15\213\6\307\2048\4\1\0\0\1\0\0\0\377u\14\377\25\0\20\0\1\353\3\210\34\7\377E\360\213E\360\201\307\14\1\0\0;E\364\17\202\277\376\377\3779]\374_^[t\11\377u\374\377\25\0\20\0\1\213E\344\311\302\14\0U\213\354Q\203e\374\0S\377u\20\215E\374P\215E\20P\350\355\375\377\377\213]\374\205\333~4V\213u\10W\213}\20\213\6;E\14s\32\203\277\4\1\0\0\1u\21Wh<,\0\1P\350\15\250\377\377\203\304\14\1\6\201\307\14\1\0\0Ku\326_^3\300@[\311\302\14\0U\213\354\201\354\24\4\0\0SVj\23\366[9\35\260\4\2\1\211u\374\17\205\357\0\0\0W\215E\370P3\377GWVh\300,\0\1h\2\0\0\200\377\25\10\20\0\1\205\300\17\205\314\0\0\0\215E\364P\215\205\354\373\377\377P\215E\354PVh\250,\0\1\377u\370\307E\364\0\4\0\0\377\25\14\20\0\1\205\300\17\205\226\0\0\09}\354\17\205\215\0\0\0\2135\350\20\0\1h\224,\0\1\215\205\354\373\377\377P\377\326\205\300u\5\211]\374\353ph\200,\0\1\215\205\354\373\377\377P\377\326\205\300u^hl,\0\1\211}\374\377\25h\21\0\1\213\370\205\377tJ\2135\230\20\0\1hX,\0\1W\377\326\213\330\205\333t/hD,\0\1W\377\326\213\360\205\366t!\215E\360Pjej\0\377\323\205\300u\23\213E\360\366@\20\20t\7\307E\374\3\0\0\0P\377\326W\377\25\354\20\0\1\377u\370\377\25\0\20\0\1_\213E\374^[\311\303\303U\213\354\270\0 \0\0\350\330\246\377\377\215E\20P\377u\14\215\205\0\340\377\377P\377\25x\22\0\13\300\311\303U\213", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03237   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "u\212<\7\326"\0\200", ) \0\200", ) == 0x0
 03238   896   NtReadFile  (192, 0, 0, 0, 8918, 0x0, 0, ... {status=0x0, info=8918},  (192, 0, 0, 0, 8918, 0x0, 0, ... {status=0x0, info=8918}, "\345\335\20\235\307\334\342.,\321\215'i\314\270\335\222<\340\270\316i\256\310\230\235\347\236\344\336\323\230\317\\336t\13\253\356\346=V\327\2140,R\320\3032M\2\313\301\344%\242\215_X\220P\13K7\251{\10-\352<\222\5.\265\215^\14-\33s\363C|\233\333\217I\301o\1p\367]\207\22:\33\246U)\223\342\300\346\275\250T\234\22/37B\216\10\223\10\24\32|\347\33\301\262@E\350\243\3015\20\367\204\206\242\247\11\221`\222\2454\232\255\244U\34\371\\225\3706\203\317\207\25BT\300\215\367f\302\300\\26\256|\372\303/\253)D\234\7\273\311\227\3753\34\364\32\337:r\342\303~\202\371 \306[\221\367\3650\31w@\367\3610\27\217\0\201\212D9\5'$"\242\273\17]\12~"\244+\223\321G\3673K/(\23_M\351f&\217 &\375\3178NY\16N/\23_\254L \206\302\310\376\337\274.\222\245b<|\322\202Dy\3\345", ) \242\273\17]\12~36\321#\15\3\226\35C!\14\2508\312\375\10w\331\3059\221D\224\306\7)\202\312\324\212\20\217\3472\3c\200\207hfN,'.\177\250\17\337~\315x\123\321\300\245_LW\260\270\327\33\231Nq\377kV\353{\235\213\3136\271\247\3117\374\305\377\31\220\260\333\345\271\343l+\256b.[@\1\242a\372\354\237\261\14\270A\347.~\256\251\366\33\361\271\220'/\367?\211)\317\321\321\344\356\361\20ZY?\3\365\365\341)\256\22\302\342\347\271\2705\272\3068:\356o\261\342\325\230\202\237\23.e\35c\330M\275\302\305\221\255A\17\215\265\340v\372\272\332)\240\235\312\277\307,\353\34\234\227\232\342s\312\2568\257c\336|\25Z\220X\211h-U\201\5D9U%g\32Q\224W\332\264\233u}\317 (192, 0, 0, 0, 8918, 0x0, 0, ... {status=0x0, info=8918}, "\345\335\20\235\307\334\342.,\321\215'i\314\270\335\222<\340\270\316i\256\310\230\235\347\236\344\336\323\230\317\\336t\13\253\356\346=V\327\2140,R\320\3032M\2\313\301\344%\242\215_X\220P\13K7\251{\10-\352<\222\5.\265\215^\14-\33s\363C|\233\333\217I\301o\1p\367]\207\22:\33\246U)\223\342\300\346\275\250T\234\22/37B\216\10\223\10\24\32|\347\33\301\262@E\350\243\3015\20\367\204\206\242\247\11\221`\222\2454\232\255\244U\34\371\\225\3706\203\317\207\25BT\300\215\367f\302\300\\26\256|\372\303/\253)D\234\7\273\311\227\3753\34\364\32\337:r\342\303~\202\371 \306[\221\367\3650\31w@\367\3610\27\217\0\201\212D9\5'$"\242\273\17]\12~"\244+\223\321G\3673K/(\23_M\351f&\217 &\375\3178NY\16N/\23_\254L \206\302\310\376\337\274.\222\245b<|\322\202Dy\3\345", ) , ) == 0x0
 03239   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\271\15\1\7\6\17\0\5\10\7\7\0\0\0\12\15\0\3\7\17\17\0\7\7\0\12\0\7\7\10\10\10\17\17\7\7\25\15\0\0\320\15\1\7\11\17\0\4\10\7\7\7\12\15\2\7\3\17\4\7\0\10\0\7\10\10\17\17\7\7\27\15\0\0\317\15\1\7\15\17\1\0\14\15\3\7\3\17\0\7\7\0\7\17\17\7\7\0\31\15\0\0\317\15\1\7\14\17\2\0\17\15\3\7\0\5\17\7\17\7\7\0\33\15\0\0\316\15\1\7\14\17\1\0\24\15\3\7\35\15\0\0\316\15\1\7\13\17\1\05\15\0\0\316\15\2\0\12\17\1\05\15\0\0\316\15\0\4\7\17\0\0\7\17\1\06\15\0\0\316\15\0\6\7\17\17\17\0\0\5\17\1\06\15\0\0\317\15\1\7\4\17\2\0\3\17\1\06\15\0\0\320\15\1\7\4\17\0\4\7\17\17\07\15\0\0\320\15\0\11\7\17\17\17\7\17\17\17\0\07\15\0\0\321\15\0\3\7\17\7\0\4\17\1\07\15\0\0\322\15\2\7\3\17\1\08\15\0\0\323\15\3\7\1\17\1\08\15\0\0\326\15\1\7\1\08\15\0\0\377\15\21\15\0\0\377\15\21\15\0\0\377\15\21\15\0\0\377\15\21\15\0\0\377\15\21\15\0\0\377\15\21\15\0\0\377\15\21\15\0\0\377\15\21\15\0\0\377\15\21\15\0\0\377\15\21\15\0\0\377\15\21\15\0\0\0\1LISTV\1\0\0rec 00dcJ\1\0\0\0\2\336\34\0\4\7\0\0\0\0\0\0\2\335\0\0\7\7\10\10\7\7\0\0\0\0\0\0\2\323\0\4\15\0\2\5\0\1\7\4\17\0\5\10\7\7\0\0\0\0\0\0\2\322\0\12\15\1\7\6\17\0\5\10\7\7\0\0\0\0\0\0\2\321\0\12\15\1\7\11\17\0\4\10\7\7\7\0\0\0\2\321\0\11\15\1\7\14\17\1\10\1\0\0\0\0\2\320\0\12\15", 8192, 0x0, 0, ... {status=0x0, info=8192}, ) , 8192, 0x0, 0, ... {status=0x0, info=8192}, ) == 0x0
 03240   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 03241   896   NtClose  (200, ... ) == 0x0
 03242   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03243   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03244   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 03231  2016   NtUserWaitMessage  ... ) == 0x1
 03245  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03246  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 03247  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010051
 03248  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 03246  2016   NtUserRedrawWindow  ... ) == 0x1
 03245  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x1311447, {0, 0}}, ) == 0x0
 03249  2016   NtUserWaitMessage  (...
 03244   896   NtUserMessageCall  ... ) == 0x3
 03250   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "\0F\6\0\0 \2\0\0\0\251.t\250 \0", ) , ) == 0x0
 03251   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03252   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03253   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256},  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "common\update.exe\0\374\17\0\0\0f\10\0\0\0[,J\207 \0common\eula.txt\0\0\252\20\0\374u\10\0\0\0\345.\324a \0sp1\ole32.dll\0\0\264\6\0\374\37\31\0\0\0\345.\325a \0sp1\rpcrt4.dll\0\0\32\3\0\374\323\37\0\0\0\345.\326a \0sp1\rpcss.dll\0> \0\0\374\355"\0\0\0\345.\213c \0sp1\update\kb823980.cat\0\243\21\0\0:\16#\0\0\0\345.\323a \0sp1\update\update.inf\0\340\0\0\0\335\37#\0\0\0\345.\326a \0sp1\update\update.ver", ) \0\0\0\345.\213c \0sp1\update\kb823980.cat\0\243\21\0\0:\16#\0\0\0\345.\323a \0sp1\update\update.inf\0\340\0\0\0\335\37#\0\0\0\345.\326a \0sp1\update\update.ver", ) == 0x0
 03254   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03255   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03256   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03257   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8aa64, 0, 688, 1, ...
 03249  2016   NtUserWaitMessage  ... ) == 0x1
 03258  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03259  2016   NtUserDefSetText  (655682, 8387700, ... ) == 0x1
 03260  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 03261  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03262  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03263  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03264  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03265  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03257   896   NtUserMessageCall  ... ) == 0x1
 03266   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\e5d4274d2caaef1b878fb5d282a5\common\update.exe"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 03267   896   NtClose  (-2147481368, ... ) == 0x0
 03266   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 03268   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "MZ\220\0\3\0\0\0\4\0\0\0\377\377\0\0\270\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\360\0\0\0\16\37\272\16\0\264\11\315!\270\1L\315!This program cannot be run in DOS mode.\15\15\12$\0\0\0\0\0\0\0N)\311\226\12H\247\305\12H\247\305\12H\247\3059j\202\305\10H\247\305\12H\247\305\10H\247\305\360k\347\305\13H\247\305\12H\246\305tI\247\305\360k\276\305#H\247\305\235k\342\305\13H\247\305\320k\273\305$H\247\305\360k\232\305\13H\247\305Rich\12H\247\305\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0PE\0\0L\1\3\0\224.\274>\0\0\0\0\0\0\0\0\340\0\17\15\13\1\7\0\0\342\4\0\0\20\4\0\0\0\0\0\0\310\4\0\0\20\0\0\0\20\4\0\0\0\0\1\0\20\0\0\0\2\0\0\5\0\1\0CS P\4\0\0\0\0\0\0\0\0 \11\0\0\4\0\0L\223\6\0\2\0\0\200\0\0\4\0\0\20\0\0\0\0\20\0\0\20\0\0\0\0\0\0\20\0\0\0\0\0\0\0\0\0\0\0\304\315\4\0\220\1\0\0\0\320\7\0\210B\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\200\361\4\08\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\04\6\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0.text\0\0\0\270\341\4\0", 24576, 0x0, 0, ... , 24576, 0x0, 0, ...
 03269   896   NtContinue  (-135750188, 0, ...
 03268   896   NtWriteFile  ... {status=0x0, info=24576}, ) == 0x0
 03270   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ...
 03258  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x1311447, {0, 0}}, ) == 0x0
 03271  2016   NtUserWaitMessage  (...
 03270   896   NtReadFile  ... {status=0x0, info=8},  ... {status=0x0, info=8}, "\311\2236\324D!\0\200", ) , ) == 0x0
 03272   896   NtReadFile  (192, 0, 0, 0, 8516, 0x0, 0, ... {status=0x0, info=8516},  (192, 0, 0, 0, 8516, 0x0, 0, ... {status=0x0, info=8516}, "\353'\215:[LE\325\234\364lD6Y\2122\222\223\14m~\206k\253\207\331RI%\301\354{;\223\233xc\225M\322MLnf\355\246\217\206\367\22\24\366C\256\222`X\241\202\206n\204\307\211W\350T\242\361\207H"\352\13S\351\236\204H\304\34\207]\11w\247X\371\371\313s\316\300\233\27\200|\245W\376\376;\255G\2766\33JH\224]2\352\216\361\233\351\253\17n\34,-\247\221f\301JM\350@\256\246\345\257\306v\331\245M\235\236\27xPS\327\254\262U]f\352\263~\372\270\324\211\345\271a9\364\21\241\344\201\222ENS6q\252\361\305\363\233\275W\232\31\247\323\266W\27\2038\236\31\375\12*iH\2666\327f\274{\347\271x\222?\230\30\266\370\36L\212z\375\377\204\216`\337";\2709\337)\16\330\334\322\306\245n\262j\2720\336\250Z!\363e\4\330\21\223\252\304\221\230p\274\211>\323j\13\355\234\245u\267\336*\221:\2030;\25\274\255\205^X;3\271\246<\215'\224a\305\346\370\265w\0{9\247\272\370\200\332\335g\332Lj\246\272\310R\5\23m(\212=a\33\312\200@%Sx\2\253J\236\334\224\373\265?\310\231.\353\231p\317D\201tD\345\357]Z\323\33\313\12\262\244s\220\265a\273\33\344y\206l3e\272\245\252\31\267J\264Y\255\15\224{\270Xn\253\274\2000\23U\23\33\34\235\370\315\335\343B\230"\314[p\305\324\314\262\234)\12G\272I\275\230bJ\263\345Y\103\205\316hz\13\274\230\242\312QE\2441\200W\7w\271 \240\202\15xK\216]\313/M\204}\276\356\334\256/\301\314\37\215\1\214\3266\351\367\250\rQ\277X\5\341y\304\273", ) \352\13S\351\236\204H\304\34\207]\11w\247X\371\371\313s\316\300\233\27\200|\245W\376\376;\255G\2766\33JH\224]2\352\216\361\233\351\253\17n\34,-\247\221f\301JM\350@\256\246\345\257\306v\331\245M\235\236\27xPS\327\254\262U]f\352\263~\372\270\324\211\345\271a9\364\21\241\344\201\222ENS6q\252\361\305\363\233\275W\232\31\247\323\266W\27\2038\236\31\375\12*iH\2666\327f\274{\347\271x\222?\230\30\266\370\36L\212z\375\377\204\216`\337 (192, 0, 0, 0, 8516, 0x0, 0, ... {status=0x0, info=8516}, "\353'\215:[LE\325\234\364lD6Y\2122\222\223\14m~\206k\253\207\331RI%\301\354{;\223\233xc\225M\322MLnf\355\246\217\206\367\22\24\366C\256\222`X\241\202\206n\204\307\211W\350T\242\361\207H"\352\13S\351\236\204H\304\34\207]\11w\247X\371\371\313s\316\300\233\27\200|\245W\376\376;\255G\2766\33JH\224]2\352\216\361\233\351\253\17n\34,-\247\221f\301JM\350@\256\246\345\257\306v\331\245M\235\236\27xPS\327\254\262U]f\352\263~\372\270\324\211\345\271a9\364\21\241\344\201\222ENS6q\252\361\305\363\233\275W\232\31\247\323\266W\27\2038\236\31\375\12*iH\2666\327f\274{\347\271x\222?\230\30\266\370\36L\212z\375\377\204\216`\337";\2709\337)\16\330\334\322\306\245n\262j\2720\336\250Z!\363e\4\330\21\223\252\304\221\230p\274\211>\323j\13\355\234\245u\267\336*\221:\2030;\25\274\255\205^X;3\271\246<\215'\224a\305\346\370\265w\0{9\247\272\370\200\332\335g\332Lj\246\272\310R\5\23m(\212=a\33\312\200@%Sx\2\253J\236\334\224\373\265?\310\231.\353\231p\317D\201tD\345\357]Z\323\33\313\12\262\244s\220\265a\273\33\344y\206l3e\272\245\252\31\267J\264Y\255\15\224{\270Xn\253\274\2000\23U\23\33\34\235\370\315\335\343B\230"\314[p\305\324\314\262\234)\12G\272I\275\230bJ\263\345Y\103\205\316hz\13\274\230\242\312QE\2441\200W\7w\271 \240\202\15xK\216]\313/M\204}\276\356\334\256/\301\314\37\215\1\214\3266\351\367\250\rQ\277X\5\341y\304\273", ) 0\336\250Z!\363e\4\330\21\223\252\304\221\230p\274\211>\323j\13\355\234\245u\267\336*\221:\2030;\25\274\255\205^X;3\271\246<\215'\224a\305\346\370\265w\0{9\247\272\370\200\332\335g\332Lj\246\272\310R\5\23m(\212=a\33\312\200@%Sx\2\253J\236\334\224\373\265?\310\231.\353\231p\317D\201tD\345\357]Z\323\33\313\12\262\244s\220\265a\273\33\344y\206l3e\272\245\252\31\267J\264Y\255\15\224{\270Xn\253\274\2000\23U\23\33\34\235\370\315\335\343B\230 (192, 0, 0, 0, 8516, 0x0, 0, ... {status=0x0, info=8516}, "\353'\215:[LE\325\234\364lD6Y\2122\222\223\14m~\206k\253\207\331RI%\301\354{;\223\233xc\225M\322MLnf\355\246\217\206\367\22\24\366C\256\222`X\241\202\206n\204\307\211W\350T\242\361\207H"\352\13S\351\236\204H\304\34\207]\11w\247X\371\371\313s\316\300\233\27\200|\245W\376\376;\255G\2766\33JH\224]2\352\216\361\233\351\253\17n\34,-\247\221f\301JM\350@\256\246\345\257\306v\331\245M\235\236\27xPS\327\254\262U]f\352\263~\372\270\324\211\345\271a9\364\21\241\344\201\222ENS6q\252\361\305\363\233\275W\232\31\247\323\266W\27\2038\236\31\375\12*iH\2666\327f\274{\347\271x\222?\230\30\266\370\36L\212z\375\377\204\216`\337";\2709\337)\16\330\334\322\306\245n\262j\2720\336\250Z!\363e\4\330\21\223\252\304\221\230p\274\211>\323j\13\355\234\245u\267\336*\221:\2030;\25\274\255\205^X;3\271\246<\215'\224a\305\346\370\265w\0{9\247\272\370\200\332\335g\332Lj\246\272\310R\5\23m(\212=a\33\312\200@%Sx\2\253J\236\334\224\373\265?\310\231.\353\231p\317D\201tD\345\357]Z\323\33\313\12\262\244s\220\265a\273\33\344y\206l3e\272\245\252\31\267J\264Y\255\15\224{\270Xn\253\274\2000\23U\23\33\34\235\370\315\335\343B\230"\314[p\305\324\314\262\234)\12G\272I\275\230bJ\263\345Y\103\205\316hz\13\274\230\242\312QE\2441\200W\7w\271 \240\202\15xK\216]\313/M\204}\276\356\334\256/\301\314\37\215\1\214\3266\351\367\250\rQ\277X\5\341y\304\273", ) , ) == 0x0
 03273   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, ",\203\304\20\203\370\1u\24j\1\215E\344S\215O\4PQW\350f\12\0\0\203\304\24\215M\250\215w\4\3509\12\0\0\215M\250\350D\12\0\0\204\300\17\204F\377\377\377\213}\30\213]\354\213M\34\213E,+\371\203\370\377u\21j\0\215U\344WRSV\350'\12\0\0\203\304\24\215E\344\215M\334PSVQ\377U$\213E,\203\304\20\203\370\1u\21j\0\215U\344WRSV\350\376\11\0\0\203\304\24\213M\10\213E\370\203\301\10H\211M\10\211E\370\17\2059\376\377\377\213E(\213M\24\213U\20P\213E\364Q\213M\360R\213U\340P\213E\334QRP\350\12\0\0\0\203\304\34_^[\213\345]\303U\213\354\203\354\34SVWj\10j\1\350\215\10\0\0\213}\10\213u\20\213]\14\213U\24\203\304\103\311+\376\213u\30\211E\370\211M\354\213\6\211M\360\33\332\203\300\14\211\6\213\25,\2\5\1\211M\350\213\150\2\5\1\270\1\0\0\0\215L\321\30\211E\374\211M\364\353\3\213E\344\213U\350SWRP\350\2\10\0\0\211E\344\213E\374\213\312\211M\350Q\213M\344\231QRP\350\352\7\0\0\213M\354\3\310\213E\360\23\302\211M\354\211E\360\213E\374@\203\370\4\211E\374|\275\213\301\213M \213\320\367\322R\213U\370VQRP\350\214\0\0\0\203\304\24\204\300t\10_^][\203\304\14\303\213M\370\213]\3643\300\212D\15\353\213S\4\213\370\301\347\20\3\370\213\3013\327\203\370\4\211}\374\211S\4}*\213U\24\213M RVQP\213E\14\367\320P\350C\0\0\0\203\304\24\204\300t\10_^][\203\304\14\303\213\26\3\327\353\30\213E\34\213M \213U\10\211\24\310\213U\14\211T\310\4\213\26\203\302\372\211\26\213\133", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03274   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\223w\352\3\370\37\0\200", ) , ) == 0x0
 03275   896   NtReadFile  (192, 0, 0, 0, 8184, 0x0, 0, ... {status=0x0, info=8184},  (192, 0, 0, 0, 8184, 0x0, 0, ... {status=0x0, info=8184}, "\326Umh\3323\309\340,\271Y\267\3114\27\260UP\2608\350n\25]0\325\250\271\350\241\220U\6h\214\22-\340\347\14\261\333\332\244<\220p\330T\320\24\23\310Y\15\301$\242\346Y\3101\245\3426\350\314l\336L\24\206\303\15\224\2676O\303\7:\320$\373\361|[\320i\320\3646\365B\347#\262\242\306K\32m@E\206\32P\223\177c\261}\15\311\240F\362#O\37c~\311$O\255\224\357\10VJF\304b\310\177\202\225\332MhK\334J]\327\364\273>\253\245\330'\226\251Q\251+\260\263\203\347\2735;\37\254\204\374\246\7\352\211\351\326\273hZ\345<\220$\377\322\275\177\16\25\372\223\12\3\10\226\316\364\243AD!\2t"5\25=\303\213FHV\255r\138L\317\244\306\225\233\370\271\5\30\310&T\20X\266\31 \313\354\243\357\377\337\273G:\353\205\317y\215:\244 <\352:{\245)-_\300\267\30C+S\304BH\321Z\4\243Si\361\6\317\347\6\2\16\373\374\10B\366J\313\373h\221>\243\263\356\202\371\211+\337e\326B:HTn\320\26~\330\12\275\325\314l\352\270\27\271f\353\244\>\374?\237\242\344\24\12\11!\305\1q5'\301<\375\17\323\17\223>\222.\222\300PN\6\3705\337E)\2233_s'\236\352\20\0t\205\207\322$\266\214&I\322U\327\34\237\303,\241\337\252\241\22\20\302\200t\27\263$\207A\361\254/\3129\302\374h\346\370M\352\2152\262\343\2\6O\236\201?dQh\247)L\211\13\324}\273\377|\273OF\355\223"9u\27\15F\221\257\341\14_\1\232\271\3028z\240\307\30\372\367>\27\266uv:\226\323\366\320\205\351\301lO\332\351%\225UsG\3679\357$\24\226\353k\2164\267\264\332^\317\12\252\362", ) 5\25=\303\213FHV\255r\138L\317\244\306\225\233\370\271\5\30\310&T\20X\266\31 \313\354\243\357\377\337\273G:\353\205\317y\215:\244 <\352:{\245)-_\300\267\30C+S\304BH\321Z\4\243Si\361\6\317\347\6\2\16\373\374\10B\366J\313\373h\221>\243\263\356\202\371\211+\337e\326B:HTn\320\26~\330\12\275\325\314l\352\270\27\271f\353\244\>\374?\237\242\344\24\12\11!\305\1q5'\301<\375\17\323\17\223>\222.\222\300PN\6\3705\337E)\2233_s'\236\352\20\0t\205\207\322$\266\214&I\322U\327\34\237\303,\241\337\252\241\22\20\302\200t\27\263$\207A\361\254/\3129\302\374h\346\370M\352\2152\262\343\2\6O\236\201?dQh\247)L\211\13\324}\273\377|\273OF\355\223 (192, 0, 0, 0, 8184, 0x0, 0, ... {status=0x0, info=8184}, "\326Umh\3323\309\340,\271Y\267\3114\27\260UP\2608\350n\25]0\325\250\271\350\241\220U\6h\214\22-\340\347\14\261\333\332\244<\220p\330T\320\24\23\310Y\15\301$\242\346Y\3101\245\3426\350\314l\336L\24\206\303\15\224\2676O\303\7:\320$\373\361|[\320i\320\3646\365B\347#\262\242\306K\32m@E\206\32P\223\177c\261}\15\311\240F\362#O\37c~\311$O\255\224\357\10VJF\304b\310\177\202\225\332MhK\334J]\327\364\273>\253\245\330'\226\251Q\251+\260\263\203\347\2735;\37\254\204\374\246\7\352\211\351\326\273hZ\345<\220$\377\322\275\177\16\25\372\223\12\3\10\226\316\364\243AD!\2t"5\25=\303\213FHV\255r\138L\317\244\306\225\233\370\271\5\30\310&T\20X\266\31 \313\354\243\357\377\337\273G:\353\205\317y\215:\244 <\352:{\245)-_\300\267\30C+S\304BH\321Z\4\243Si\361\6\317\347\6\2\16\373\374\10B\366J\313\373h\221>\243\263\356\202\371\211+\337e\326B:HTn\320\26~\330\12\275\325\314l\352\270\27\271f\353\244\>\374?\237\242\344\24\12\11!\305\1q5'\301<\375\17\323\17\223>\222.\222\300PN\6\3705\337E)\2233_s'\236\352\20\0t\205\207\322$\266\214&I\322U\327\34\237\303,\241\337\252\241\22\20\302\200t\27\263$\207A\361\254/\3129\302\374h\346\370M\352\2152\262\343\2\6O\236\201?dQh\247)L\211\13\324}\273\377|\273OF\355\223"9u\27\15F\221\257\341\14_\1\232\271\3028z\240\307\30\372\367>\27\266uv:\226\323\366\320\205\351\301lO\332\351%\225UsG\3679\357$\24\226\353k\2164\267\264\332^\317\12\252\362", ) , ) == 0x0
 03276   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "SP_COPY_NEWER_OR_SAME\0\220\220SP_COPY_WARNIFSKIP\0\220SP_COPY_FORCE_NEWER\0SP_COPY_FORCE_NOOVERWRITE\0\220\220SP_COPY_NOSKIP\0\220SP_COPY_IN_USE_NEEDS_REBOOT\0SP_COPY_FORCE_IN_USE\0\220\220\220SP_COPY_SOURCEPATH_ABSOLUTE\0SP_COPY_SOURCE_ABSOLUTE\0SP_COPY_LANGUAGEAWARE\0\220\220SP_COPY_NODECOMP\0\220\220\220SP_COPY_NOOVERWRITE\0SP_COPY_NEWER_ONLY\0\220SP_COPY_REPLACEONLY\0SP_COPY_DELETESOURCE\0\220\220\220\220\220\220\220UpdateCopyFlags:  StripLeadingAndTrailingWhiteSpaceAndQuotes failed\0\220\220\220\220InstallFromFunction call in inf section "%s" failed with error 0x%lx .\0\220%s%d\0\220\220\220Cust", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) %s (200, 0, 0, 0, "SP_COPY_NEWER_OR_SAME\0\220\220SP_COPY_WARNIFSKIP\0\220SP_COPY_FORCE_NEWER\0SP_COPY_FORCE_NOOVERWRITE\0\220\220SP_COPY_NOSKIP\0\220SP_COPY_IN_USE_NEEDS_REBOOT\0SP_COPY_FORCE_IN_USE\0\220\220\220SP_COPY_SOURCEPATH_ABSOLUTE\0SP_COPY_SOURCE_ABSOLUTE\0SP_COPY_LANGUAGEAWARE\0\220\220SP_COPY_NODECOMP\0\220\220\220SP_COPY_NOOVERWRITE\0SP_COPY_NEWER_ONLY\0\220SP_COPY_REPLACEONLY\0SP_COPY_DELETESOURCE\0\220\220\220\220\220\220\220UpdateCopyFlags:  StripLeadingAndTrailingWhiteSpaceAndQuotes failed\0\220\220\220\220InstallFromFunction call in inf section "%s" failed with error 0x%lx .\0\220%s%d\0\220\220\220Cust", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03277   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\275c}\255V$\0\200", ) , ) == 0x0
 03278   896   NtReadFile  (192, 0, 0, 0, 9302, 0x0, 0, ... {status=0x0, info=9302},  (192, 0, 0, 0, 9302, 0x0, 0, ... {status=0x0, info=9302}, "\225\177\270P\356\374\336\274$\303\345\3468\mj\357m+\253\260\235\260\207\225\20\23Z\3557\200\333L\336\17{x\200S)\324\230W\251\327\375\247\277\27\347\314\33x\336E\371\361\5\264D\270\342\330\275\345>\274\205\33\274v\336\317L\377\304\224\253\222L\266W\330\364\220\331[\264\321\203\304\317\331\276\331\332p\245\366X\271\251\17}J:T|\374pw8\301S\342\356\3140\34\36\326K\12\325\27=\322\372JoS\267\247\344\302$\11(f\213)U\325\24Vcf\332*\272K\246\333d6\11\332aWG\370\353\37nFl\310\223\323-\215\15\363\247\231\267\357\260\264A\244\235\326EykV\217\333\327\223SX\200*\35\361\36%\230\344\246=3\375\271\250\370\225\342\205\270]\210cp!\17\204\303\332\23y\306\265\314\323\0\16\206wJ8\340\365]llo\211\2226\306\322\326\225\334Q\356\375\26\21\315\251\331\30\321\261\275\s\262\216\35\325)T7\3h\31>\312\273\364AC\244\222\216\361\245\367\234B\346A\35\302\313\366\207\300\350\221\24\276\214q\215c\275z\243c\267\376>\15\200\367:\254\325\337\271\272\22P\257\34\362\273\312\266\255\213;q\31\37*\371\211"\342\373r\312\324e$X\355\354\254\202\323\324\254\36\31\<\312\352\36\340U\365\235F\235j[K\254\13\201\17\220\220S\361RO,azQ\327\34\345\310\33\335\270\332\3063\321\10vN\311@=\7\271\313\364\207\367T\301\201\263\253|\365VzC\366"\27\337?\247\233\207\316hZ\3u\300\235\244\3138\212\256M\365\260\237\221j#fu+\365du\360\367{\254\236\11\221\326F\243A"\206\362\366\270"\233\206E\360\3575s\220\335\220\246\370\2\321x?%\201\201\357\351A\36\232\300\275\233\17\336\211<\333\303\211&\345", ) \342\373r\312\324e$X\355\354\254\202\323\324\254\36\31\<\312\352\36\340U\365\235F\235j[K\254\13\201\17\220\220S\361RO,azQ\327\34\345\310\33\335\270\332\3063\321\10vN\311@=\7\271\313\364\207\367T\301\201\263\253|\365VzC\366 (192, 0, 0, 0, 9302, 0x0, 0, ... {status=0x0, info=9302}, "\225\177\270P\356\374\336\274$\303\345\3468\mj\357m+\253\260\235\260\207\225\20\23Z\3557\200\333L\336\17{x\200S)\324\230W\251\327\375\247\277\27\347\314\33x\336E\371\361\5\264D\270\342\330\275\345>\274\205\33\274v\336\317L\377\304\224\253\222L\266W\330\364\220\331[\264\321\203\304\317\331\276\331\332p\245\366X\271\251\17}J:T|\374pw8\301S\342\356\3140\34\36\326K\12\325\27=\322\372JoS\267\247\344\302$\11(f\213)U\325\24Vcf\332*\272K\246\333d6\11\332aWG\370\353\37nFl\310\223\323-\215\15\363\247\231\267\357\260\264A\244\235\326EykV\217\333\327\223SX\200*\35\361\36%\230\344\246=3\375\271\250\370\225\342\205\270]\210cp!\17\204\303\332\23y\306\265\314\323\0\16\206wJ8\340\365]llo\211\2226\306\322\326\225\334Q\356\375\26\21\315\251\331\30\321\261\275\s\262\216\35\325)T7\3h\31>\312\273\364AC\244\222\216\361\245\367\234B\346A\35\302\313\366\207\300\350\221\24\276\214q\215c\275z\243c\267\376>\15\200\367:\254\325\337\271\272\22P\257\34\362\273\312\266\255\213;q\31\37*\371\211"\342\373r\312\324e$X\355\354\254\202\323\324\254\36\31\<\312\352\36\340U\365\235F\235j[K\254\13\201\17\220\220S\361RO,azQ\327\34\345\310\33\335\270\332\3063\321\10vN\311@=\7\271\313\364\207\367T\301\201\263\253|\365VzC\366"\27\337?\247\233\207\316hZ\3u\300\235\244\3138\212\256M\365\260\237\221j#fu+\365du\360\367{\254\236\11\221\326F\243A"\206\362\366\270"\233\206E\360\3575s\220\335\220\246\370\2\321x?%\201\201\357\351A\36\232\300\275\233\17\336\211<\333\303\211&\345", ) \206\362\366\270 (192, 0, 0, 0, 9302, 0x0, 0, ... {status=0x0, info=9302}, "\225\177\270P\356\374\336\274$\303\345\3468\mj\357m+\253\260\235\260\207\225\20\23Z\3557\200\333L\336\17{x\200S)\324\230W\251\327\375\247\277\27\347\314\33x\336E\371\361\5\264D\270\342\330\275\345>\274\205\33\274v\336\317L\377\304\224\253\222L\266W\330\364\220\331[\264\321\203\304\317\331\276\331\332p\245\366X\271\251\17}J:T|\374pw8\301S\342\356\3140\34\36\326K\12\325\27=\322\372JoS\267\247\344\302$\11(f\213)U\325\24Vcf\332*\272K\246\333d6\11\332aWG\370\353\37nFl\310\223\323-\215\15\363\247\231\267\357\260\264A\244\235\326EykV\217\333\327\223SX\200*\35\361\36%\230\344\246=3\375\271\250\370\225\342\205\270]\210cp!\17\204\303\332\23y\306\265\314\323\0\16\206wJ8\340\365]llo\211\2226\306\322\326\225\334Q\356\375\26\21\315\251\331\30\321\261\275\s\262\216\35\325)T7\3h\31>\312\273\364AC\244\222\216\361\245\367\234B\346A\35\302\313\366\207\300\350\221\24\276\214q\215c\275z\243c\267\376>\15\200\367:\254\325\337\271\272\22P\257\34\362\273\312\266\255\213;q\31\37*\371\211"\342\373r\312\324e$X\355\354\254\202\323\324\254\36\31\<\312\352\36\340U\365\235F\235j[K\254\13\201\17\220\220S\361RO,azQ\327\34\345\310\33\335\270\332\3063\321\10vN\311@=\7\271\313\364\207\367T\301\201\263\253|\365VzC\366"\27\337?\247\233\207\316hZ\3u\300\235\244\3138\212\256M\365\260\237\221j#fu+\365du\360\367{\254\236\11\221\326F\243A"\206\362\366\270"\233\206E\360\3575s\220\335\220\246\370\2\321x?%\201\201\357\351A\36\232\300\275\233\17\336\211<\333\303\211&\345", ) , ) == 0x0
 03279   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "ed: 0x%lx \0\220cab\0*.*\0ScanAssimilateDUCallback: File operatation aborted\0\220updatetmp.tmp\0\220\220ArchiveFilesFromArchiveFilesSections:GetPrinterDriverPath failed\0\220\220\2203\0\220\220ArchiveSpoolerDriverFiles\0\220\220\220\220\220\220ArchiveFilesFromArchiveFilesSections:FindFirstFile for %s Failed: 0x%lx \0\220\220\220Help\iisHelp\common\0ArchiveIISHelpFilesOnly\0sfc.dll\0ArchiveUninstallQueueCallback: Archiving of file aborted for Uninstallation\0ArchiveQueue: component %s: no target %s\12\0\220\220ArchiveQueue: no source component %s\12\0\220\220ArchiveQueue: bad pa", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03280   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\331\341\220{\169\0\200", ) , ) == 0x0
 03281   896   NtReadFile  (192, 0, 0, 0, 14606, 0x0, 0, ... {status=0x0, info=14606},  (192, 0, 0, 0, 14606, 0x0, 0, ... {status=0x0, info=14606}, "t\212\350\344\350\273\376y\307j63\20t\3677\275\272 >P\347Y\301\353\261~P#:]\376ju\330Y\206\33\337\202\324i\371\245\214Ft\12\235\0\365o\202O_\355PP\366\355%\321\205\244b\267\256#M\322\372y\322G\24V\3135H{E\317\240EG\232:zWS0\335N\216\7of\203'\33\362Qn\364\337lbz\243\345Q94\35\367\25\325#\225t\340B\326kz\274K6\264$\210\30w\4\261\355M\226\241\352\343\6\222e\2\210\371\317\312z\315\265\246\252\267X\322O\370i\347\277f\17Zk2\3516\327\246O$\13\222\367-\323R\213;O\177\212\204}\225@\221\242Bw\346\240z\267o\12\260[\346\337\2616\237\2419\304\320Ur\360\325\260\202\313\330!\204ir8\222PK\27\331b1\347l![\14n\37R9\236ozg\257aa\332C\202\225\256\23\266E\366?\237\370n\375\236\14h\177.]lX\273\274\310\333\266Vx8z\220K\3329\242\250 o\277\224l\30l\212("D\331\237}\3154\330\2638\344\246\24\247q\356\1\375\207q\351\247\206\3722\213\15\267>\265U"\10\340\324\12Q\304lA\226W\326\257\326=?v\267\237a\351\221\251\223\27\272\227wQ\256\201\215\316IvoN\240z\235J\230\231\24\352\377\272\351\356\20\11\370e|\301\271\371\204"\352Y\371\271\340:C\30\177331\237}\3154\330\2638\344\246\24\247q\356\1\375\207q\351\247\206\3722\213\15\267>\265U (192, 0, 0, 0, 14606, 0x0, 0, ... {status=0x0, info=14606}, "t\212\350\344\350\273\376y\307j63\20t\3677\275\272 >P\347Y\301\353\261~P#:]\376ju\330Y\206\33\337\202\324i\371\245\214Ft\12\235\0\365o\202O_\355PP\366\355%\321\205\244b\267\256#M\322\372y\322G\24V\3135H{E\317\240EG\232:zWS0\335N\216\7of\203'\33\362Qn\364\337lbz\243\345Q94\35\367\25\325#\225t\340B\326kz\274K6\264$\210\30w\4\261\355M\226\241\352\343\6\222e\2\210\371\317\312z\315\265\246\252\267X\322O\370i\347\277f\17Zk2\3516\327\246O$\13\222\367-\323R\213;O\177\212\204}\225@\221\242Bw\346\240z\267o\12\260[\346\337\2616\237\2419\304\320Ur\360\325\260\202\313\330!\204ir8\222PK\27\331b1\347l![\14n\37R9\236ozg\257aa\332C\202\225\256\23\266E\366?\237\370n\375\236\14h\177.]lX\273\274\310\333\266Vx8z\220K\3329\242\250 o\277\224l\30l\212("D\331\237}\3154\330\2638\344\246\24\247q\356\1\375\207q\351\247\206\3722\213\15\267>\265U"\10\340\324\12Q\304lA\226W\326\257\326=?v\267\237a\351\221\251\223\27\272\227wQ\256\201\215\316IvoN\240z\235J\230\231\24\352\377\272\351\356\20\11\370e|\301\271\371\204"\352Y\371\271\340:C\30\177371\271\340:C\30\177274\350\276[R\27\375\250\203\2317P \373\333\20\341&sv'\303_\10\2779\321\224 \265L\16\216c\375Z\17\261B\230M\242m\4\46\350\311\306\346\31d\254\372\202\236\255\2266\271\372\222P{\266\24\313@\35i\4\231\365\356*\2046E\276^\340\326)\245r\6\274Z[\330\236\311\272h\371\7'\331\211\4s&[\260b\306\203\311", ) == 0x0
 03282   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "YSh\372\377\0\0Vh\334\357\0\1\377u\20\210\35\240\311\6\1\377u\14S\377\25<\25\0\18\35\240\311\6\1t\36Vh\314\357\0\1\377\25\334\23\0\1\205\300YYu\14\307\207$\4\0\0\1\0\0\0\353\6\211\237$\4\0\0W\377u\20\377u\14\350&\374\377\377\205\300u\17hh\357\0\1\350xv\2\0\351\367\0\0\08_\4u\14W\377\25\\23\0\1\351\372\0\0\0\215E\364PhL\357\0\1\377u\20\377u\14\350\376i\2\0\205\300t\103\300@9E\364t\23\300Sh\372\377\0\0Vh@\357\0\1\377u\20\211\207\34\4\0\0\377u\14\210\35\240\311\6\1S\377\25<\25\0\1\205\300tr8\35\240\311\6\1tj\377u\20VW\377u\10\350\367\372\377\377\213\360;\363t\15Vh\0\357\0\1\350\303\257\2\0\353`9]\370t\34\377u\20W\377u\14\377u\10\350"\370\377\377\205\300u\11W\377\25\\23\0\1\353@\211\237(\4\0\09\35\324\33\5\1u\16\211=\324\33\5\1\211=\330\33\5\1\353%\241\330\33\5\1\211\270(\4\0\0\353\353\377\250\22\0\1Ph\260\356\0\1\350f\257\2\0\276\21\377\0\0YY;\363t"\203\376\10t\23\201\376\307\4\0\0t\13h\307\4\0\0\377\25|\21\0\1W\377\25\\23\0\13\377Y^\213\307_[\311\302\14\0U\213\354\201\354\34\2\0\0S\215E\354P3\333Sh\244\361\0\1\377u\14\307E\374\1\0\0\0\377\258\25\0\1\205\300\17\204\220\0\0\0V\21354\25\0\1W\277\4\1\0\0SW\215\205\350\376\377\377PS\215E\354P\377\326\205\300tCSW\215\205\344\375\377\377Pj\1\215E\354P\377\326\205\300t.\215\205\350\376\377\377h\230\361\0\1P\377\25\310\23", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \370\377\377\205\300u\11W\377\25\\23\0\1\353@\211\237(\4\0\09\35\324\33\5\1u\16\211=\324\33\5\1\211=\330\33\5\1\353%\241\330\33\5\1\211\270(\4\0\0\353\353\377\250\22\0\1Ph\260\356\0\1\350f\257\2\0\276\21\377\0\0YY;\363t (200, 0, 0, 0, "YSh\372\377\0\0Vh\334\357\0\1\377u\20\210\35\240\311\6\1\377u\14S\377\25<\25\0\18\35\240\311\6\1t\36Vh\314\357\0\1\377\25\334\23\0\1\205\300YYu\14\307\207$\4\0\0\1\0\0\0\353\6\211\237$\4\0\0W\377u\20\377u\14\350&\374\377\377\205\300u\17hh\357\0\1\350xv\2\0\351\367\0\0\08_\4u\14W\377\25\\23\0\1\351\372\0\0\0\215E\364PhL\357\0\1\377u\20\377u\14\350\376i\2\0\205\300t\103\300@9E\364t\23\300Sh\372\377\0\0Vh@\357\0\1\377u\20\211\207\34\4\0\0\377u\14\210\35\240\311\6\1S\377\25<\25\0\1\205\300tr8\35\240\311\6\1tj\377u\20VW\377u\10\350\367\372\377\377\213\360;\363t\15Vh\0\357\0\1\350\303\257\2\0\353`9]\370t\34\377u\20W\377u\14\377u\10\350"\370\377\377\205\300u\11W\377\25\\23\0\1\353@\211\237(\4\0\09\35\324\33\5\1u\16\211=\324\33\5\1\211=\330\33\5\1\353%\241\330\33\5\1\211\270(\4\0\0\353\353\377\250\22\0\1Ph\260\356\0\1\350f\257\2\0\276\21\377\0\0YY;\363t"\203\376\10t\23\201\376\307\4\0\0t\13h\307\4\0\0\377\25|\21\0\1W\377\25\\23\0\13\377Y^\213\307_[\311\302\14\0U\213\354\201\354\34\2\0\0S\215E\354P3\333Sh\244\361\0\1\377u\14\307E\374\1\0\0\0\377\258\25\0\1\205\300\17\204\220\0\0\0V\21354\25\0\1W\277\4\1\0\0SW\215\205\350\376\377\377PS\215E\354P\377\326\205\300tCSW\215\205\344\375\377\377Pj\1\215E\354P\377\326\205\300t.\215\205\350\376\377\377h\230\361\0\1P\377\25\310\23", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03283   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\335\21\362\210\314:\0\200", ) , ) == 0x0
 03284   896   NtReadFile  (192, 0, 0, 0, 15052, 0x0, 0, ... {status=0x0, info=15052},  (192, 0, 0, 0, 15052, 0x0, 0, ... {status=0x0, info=15052}, "6\304\345\326\256\313\363\237\304\232\316s\17T\342%\240\247\302b\3055\314\22141\36S\200\23\265>\221\215KLX\301\273\222\232T>\326\352[\267{\R\226T\321\255\206^\332\36n&\240\4\350W\276\271\36nUa\2\311_\302\206\243\3\303r\24T\321\304x\232\4D'W\4\167L\343\264m\356\262\243"\303\237\330\250\204pe`1\4a\203\376\343\251\360\256da\227\31\304\374\233\342<\360o+E\213s\211Qpt\237B\335\341\14U\20\20\353'\302(\244I\273\363!\242.\326\23\22\307\24\273Y\277\22\335]%\220 \350\276u\16N\214\277\205\255f\315\306\200\202\257\321\12\4Bc\201\1e\324\12\325~PQ\322\%\234ve\2\10a\306\336\34\312R\220Ev\10\235@3^\2ts\371\303`\222\340\35\240\347t\356\264j\220\2445\11\233\226\354\223\35Y\322\21\370\2z\217\3367\326~b\244\372{[\326\270V\3706\275uc?W\213\245\322\236\257F\326\205\323\270\246%i%\270\36\361WXE\301\346\351'!\364\205\11,~\222\241dY\207\267\360\234\330z\202\223\316\330\303\234\216\321\221\304\276L\201\371!H-S\230Fn\341\371Pt\3264\10\200\375\344\308\34651\13\215hM\212(Y\327h=\17\6\10NI\35h\271\220\15\372o\231\225+\325\1\252\232\312r\6\243\30\3637\24\373\346\13\227\247\215\354\313AF\246\321_cB3\227\266\326\225T\226\324\2022\316\13v\21\330d\13/q\320u\345\214\377fy\344\214\345\204\366\213\13\337\177\334\251w\304\267+\330\326%w\205\265>\334\360\373^\213\350+\265\302[2=\346\26$\246%'\355\270\365F\11N\313|s\11-\200N\11$%\210\210!"E\14\10\215\331\335gs\230\251\275\201"x\37", ) \303\237\330\250\204pe`1\4a\203\376\343\251\360\256da\227\31\304\374\233\342<\360o+E\213s\211Qpt\237B\335\341\14U\20\20\353'\302(\244I\273\363!\242.\326\23\22\307\24\273Y\277\22\335]%\220 \350\276u\16N\214\277\205\255f\315\306\200\202\257\321\12\4Bc\201\1e\324\12\325~PQ\322\%\234ve\2\10a\306\336\34\312R\220Ev\10\235@3^\2ts\371\303`\222\340\35\240\347t\356\264j\220\2445\11\233\226\354\223\35Y\322\21\370\2z\217\3367\326~b\244\372{[\326\270V\3706\275uc?W\213\245\322\236\257F\326\205\323\270\246%i%\270\36\361WXE\301\346\351'!\364\205\11,~\222\241dY\207\267\360\234\330z\202\223\316\330\303\234\216\321\221\304\276L\201\371!H-S\230Fn\341\371Pt\3264\10\200\375\344\308\34651\13\215hM\212(Y\327h=\17\6\10NI\35h\271\220\15\372o\231\225+\325\1\252\232\312r\6\243\30\3637\24\373\346\13\227\247\215\354\313AF\246\321_cB3\227\266\326\225T\226\324\2022\316\13v\21\330d\13/q\320u\345\214\377fy\344\214\345\204\366\213\13\337\177\334\251w\304\267+\330\326%w\205\265>\334\360\373^\213\350+\265\302[2=\346\26$\246%'\355\270\365F\11N\313|s\11-\200N\11$%\210\210! (192, 0, 0, 0, 15052, 0x0, 0, ... {status=0x0, info=15052}, "6\304\345\326\256\313\363\237\304\232\316s\17T\342%\240\247\302b\3055\314\22141\36S\200\23\265>\221\215KLX\301\273\222\232T>\326\352[\267{\R\226T\321\255\206^\332\36n&\240\4\350W\276\271\36nUa\2\311_\302\206\243\3\303r\24T\321\304x\232\4D'W\4\167L\343\264m\356\262\243"\303\237\330\250\204pe`1\4a\203\376\343\251\360\256da\227\31\304\374\233\342<\360o+E\213s\211Qpt\237B\335\341\14U\20\20\353'\302(\244I\273\363!\242.\326\23\22\307\24\273Y\277\22\335]%\220 \350\276u\16N\214\277\205\255f\315\306\200\202\257\321\12\4Bc\201\1e\324\12\325~PQ\322\%\234ve\2\10a\306\336\34\312R\220Ev\10\235@3^\2ts\371\303`\222\340\35\240\347t\356\264j\220\2445\11\233\226\354\223\35Y\322\21\370\2z\217\3367\326~b\244\372{[\326\270V\3706\275uc?W\213\245\322\236\257F\326\205\323\270\246%i%\270\36\361WXE\301\346\351'!\364\205\11,~\222\241dY\207\267\360\234\330z\202\223\316\330\303\234\216\321\221\304\276L\201\371!H-S\230Fn\341\371Pt\3264\10\200\375\344\308\34651\13\215hM\212(Y\327h=\17\6\10NI\35h\271\220\15\372o\231\225+\325\1\252\232\312r\6\243\30\3637\24\373\346\13\227\247\215\354\313AF\246\321_cB3\227\266\326\225T\226\324\2022\316\13v\21\330d\13/q\320u\345\214\377fy\344\214\345\204\366\213\13\337\177\334\251w\304\267+\330\326%w\205\265>\334\360\373^\213\350+\265\302[2=\346\26$\246%'\355\270\365F\11N\313|s\11-\200N\11$%\210\210!"E\14\10\215\331\335gs\230\251\275\201"x\37", ) x\37", ) == 0x0
 03285   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\205\300u\21\377\250\22\0\1Ph\240'\1\1\351\365\375\377\377j\6\377u\24\377u\360\377u\14S\377u\10\377\326\205\300u\17\377\250\22\0\1P\377u\360\3516\1\0\0\213E\20;\303u\3\213E\14j\4\377u\24h\200'\1\1PS\377u\10\377\326\205\300u\21\377\250\22\0\1Ph0'\1\1\351\241\375\377\377\213E\20;\303u\3\213E\14j\4\377u\24\377w\10PS\377u\10\377\326\205\300u\17\377\250\22\0\1P\377w\10\351\332\0\0\09]\350tyj\6\377u\24h$'\1\1\377u\14S\377u\10\377\326\205\300u\21\377\250\22\0\1Ph\330&\1\1\351H\375\377\377\213E\20;\303u\3\213E\14j\4\377u\24h\274&\1\1PS\377u\10\377\326\205\300u\21\377\250\22\0\1Phh&\1\1\351\30\375\377\377j\6\377u\24\377u\354\377u\14S\377u\10\377\326\205\300u\14\377\250\22\0\1P\377u\354\353\9_,u(j\6\377u\24h\&\1\1\377u\14S\377u\10\377\326\205\300u\21\377\250\22\0\1Ph\20&\1\1\351\312\374\377\3779\35\300\37\5\1ti\213E\20;\303u\3\213E\14j\4\377u\24\377w\14PS\377u\10\377\326\205\300u\34\377\250\22\0\1P\377w\14h\310%\1\1\3507/\2\0\203\304\14\351\220\374\377\377\213E\20;\303u\3\213E\14j\4\377u\24h\254%\1\1PS\377u\10\377\326\205\300u\21\377\250\22\0\1PhX%\1\1\351Y\374\377\3779]\344t(j\6\377u\24hD%\1\1\377u\14S\377u\10\377\326\205\300u\21\377\250\22\0\1Ph\370$\1\1\351,\374\377\377\203\1778\1u@j\4\377u\24h\330$\1\1\377u\14S\377u", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03286   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\372B\325V*3\0\200", ) , ) == 0x0
 03287   896   NtReadFile  (192, 0, 0, 0, 13098, 0x0, 0, ... {status=0x0, info=13098},  (192, 0, 0, 0, 13098, 0x0, 0, ... {status=0x0, info=13098}, "f\16\315\2414kL\343\250\252w"`\361U\313w\342\212~H\262\177\230\214\30\360\17vZ\21\223\21\267\376K\327\7\272i\25\355\32\267\347'\373\356\223it\273-\353}\272\202\356\254\A"\321lX\10\321o\27\242\350\332 \346\356jf\345sL\265\273\300F\307,EjxNMq\35\207a\16D]\207M,p\307U\327\241\256&\253\26\230\314\256)r\216xb\366\260L0(=\250~^}_ucj\177P1\351\362\235\217\224\30h\1i5c\200\377\211:{%\177*^\310\256e4;\206\227\367\260\353\15\343o\221\216\262\261\374*D\31r\3}0|\256\214\307\322i\352\343\226\15\271\251'\36\241aj\356c\367\256\272\325r\17h \364\251\366\331\7\6Z\207\232z\266u\37\305\272t\254\225\276\234au\305\322\226b\253A\224\353\341H\327k\315\223nP\325\301u\342!21\178k\374\364Ly\12\22\266\372e,y\261\210\0\74\276c\304\243\311xa\357\347\247\236\12\330\214\252\214g\230F(\231\213\340n\204\356\261\1m\273(\375\257a\362\27B\345\32\377\223\200k\322h\312\366&\274c\212\13\24\361l\222\5\217\317\237\245\232\264\313H\3531\222hI\37$\253]\243\205DUN\311\344\353ln\232\1\210l\365\223k\330\274l\310\246-.18\3.\305\213\206}fa\214=g\362\272\35M\205?\331\244\374\363\343"Jb\310\13\216\12\364\211\334\352\2552$\15\312OR|kO@\371E\304\226`\346\373:Jo\365\271\256\306\13\263\334\7\366(\207jh\275\10\312\24\341\4\340\335\177\7\335e\231QF\221\355\2Z4\375\210\252Ew\353Q,\221\367\233,\216\3\244\275\335\31FH\213.x\37\177\26\310#.\343", ) `\361U\313w\342\212~H\262\177\230\214\30\360\17vZ\21\223\21\267\376K\327\7\272i\25\355\32\267\347'\373\356\223it\273-\353}\272\202\356\254\A (192, 0, 0, 0, 13098, 0x0, 0, ... {status=0x0, info=13098}, "f\16\315\2414kL\343\250\252w"`\361U\313w\342\212~H\262\177\230\214\30\360\17vZ\21\223\21\267\376K\327\7\272i\25\355\32\267\347'\373\356\223it\273-\353}\272\202\356\254\A"\321lX\10\321o\27\242\350\332 \346\356jf\345sL\265\273\300F\307,EjxNMq\35\207a\16D]\207M,p\307U\327\241\256&\253\26\230\314\256)r\216xb\366\260L0(=\250~^}_ucj\177P1\351\362\235\217\224\30h\1i5c\200\377\211:{%\177*^\310\256e4;\206\227\367\260\353\15\343o\221\216\262\261\374*D\31r\3}0|\256\214\307\322i\352\343\226\15\271\251'\36\241aj\356c\367\256\272\325r\17h \364\251\366\331\7\6Z\207\232z\266u\37\305\272t\254\225\276\234au\305\322\226b\253A\224\353\341H\327k\315\223nP\325\301u\342!21\178k\374\364Ly\12\22\266\372e,y\261\210\0\74\276c\304\243\311xa\357\347\247\236\12\330\214\252\214g\230F(\231\213\340n\204\356\261\1m\273(\375\257a\362\27B\345\32\377\223\200k\322h\312\366&\274c\212\13\24\361l\222\5\217\317\237\245\232\264\313H\3531\222hI\37$\253]\243\205DUN\311\344\353ln\232\1\210l\365\223k\330\274l\310\246-.18\3.\305\213\206}fa\214=g\362\272\35M\205?\331\244\374\363\343"Jb\310\13\216\12\364\211\334\352\2552$\15\312OR|kO@\371E\304\226`\346\373:Jo\365\271\256\306\13\263\334\7\366(\207jh\275\10\312\24\341\4\340\335\177\7\335e\231QF\221\355\2Z4\375\210\252Ew\353Q,\221\367\233,\216\3\244\275\335\31FH\213.x\37\177\26\310#.\343", ) f\345sL\265\273\300F\307,EjxNMq\35\207a\16D]\207M,p\307U\327\241\256&\253\26\230\314\256)r\216xb\366\260L0(=\250~^}_ucj\177P1\351\362\235\217\224\30h\1i5c\200\377\211:{%\177*^\310\256e4;\206\227\367\260\353\15\343o\221\216\262\261\374*D\31r\3}0|\256\214\307\322i\352\343\226\15\271\251'\36\241aj\356c\367\256\272\325r\17h \364\251\366\331\7\6Z\207\232z\266u\37\305\272t\254\225\276\234au\305\322\226b\253A\224\353\341H\327k\315\223nP\325\301u\342!21\178k\374\364Ly\12\22\266\372e,y\261\210\0\74\276c\304\243\311xa\357\347\247\236\12\330\214\252\214g\230F(\231\213\340n\204\356\261\1m\273(\375\257a\362\27B\345\32\377\223\200k\322h\312\366&\274c\212\13\24\361l\222\5\217\317\237\245\232\264\313H\3531\222hI\37$\253]\243\205DUN\311\344\353ln\232\1\210l\365\223k\330\274l\310\246-.18\3.\305\213\206}fa\214=g\362\272\35M\205?\331\244\374\363\343 (192, 0, 0, 0, 13098, 0x0, 0, ... {status=0x0, info=13098}, "f\16\315\2414kL\343\250\252w"`\361U\313w\342\212~H\262\177\230\214\30\360\17vZ\21\223\21\267\376K\327\7\272i\25\355\32\267\347'\373\356\223it\273-\353}\272\202\356\254\A"\321lX\10\321o\27\242\350\332 \346\356jf\345sL\265\273\300F\307,EjxNMq\35\207a\16D]\207M,p\307U\327\241\256&\253\26\230\314\256)r\216xb\366\260L0(=\250~^}_ucj\177P1\351\362\235\217\224\30h\1i5c\200\377\211:{%\177*^\310\256e4;\206\227\367\260\353\15\343o\221\216\262\261\374*D\31r\3}0|\256\214\307\322i\352\343\226\15\271\251'\36\241aj\356c\367\256\272\325r\17h \364\251\366\331\7\6Z\207\232z\266u\37\305\272t\254\225\276\234au\305\322\226b\253A\224\353\341H\327k\315\223nP\325\301u\342!21\178k\374\364Ly\12\22\266\372e,y\261\210\0\74\276c\304\243\311xa\357\347\247\236\12\330\214\252\214g\230F(\231\213\340n\204\356\261\1m\273(\375\257a\362\27B\345\32\377\223\200k\322h\312\366&\274c\212\13\24\361l\222\5\217\317\237\245\232\264\313H\3531\222hI\37$\253]\243\205DUN\311\344\353ln\232\1\210l\365\223k\330\274l\310\246-.18\3.\305\213\206}fa\214=g\362\272\35M\205?\331\244\374\363\343"Jb\310\13\216\12\364\211\334\352\2552$\15\312OR|kO@\371E\304\226`\346\373:Jo\365\271\256\306\13\263\334\7\366(\207jh\275\10\312\24\341\4\340\335\177\7\335e\231QF\221\355\2Z4\375\210\252Ew\353Q,\221\367\233,\216\3\244\275\335\31FH\213.x\37\177\26\310#.\343", ) , ) == 0x0
 03288   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "P\350Rk\1\0S\215\205\224\375\377\377Ph\264Q\1\1\215\205\214\373\377\377P\3509k\1\0\215\205\224\375\377\377P\215\205\230\376\377\377P\377\326YY\211EP\215E\234P\215EXP3\300Ph?\0\17\0Phm\344\0\1Ph|Q\1\1h\2\0\0\200\377\25\20\20\0\1\205\300t\15Ph@Q\1\1\350F\260\1\0YY\377%4\0\5\1\234`\377t$\14\377t$\10h,\1\5\1h\1\0\0\0h\333\312\4\1h\3\0\0\0h\0\0\0\0\3775\374B\0\1h4\26\0\1h\355\314\4\1\350\235v\375\377\201\354\0\4\0\0a\235PP\203\304(\215\35\305\354\2\1\211\354\0\5\1a\235j\1\215ETPj\3j\0h8Q\1\1\377uX\306ET\376\377\25$\20\0\1\205\300t\15Ph\374P\1\1\350\300\257\1\0YY\377%\204\0\5\1\234`\377t$\24\377t$\20\377t$\14\377t$\10h\3\0\0\0h>\312\4\1h\1\0\0\0h\0\0\0\0\3775\374B\0\1h,\1\5\1h4\26\0\1hq\314\4\1\350Fi\375\377\201\354\10\4\0\0a\235\203\3040\215\35Q\355\2\1\211\35\204\0\5\1a\235j\4\215ETPj\3j\0h\360P\1\1\377uX\307ET\357\0\0\0\377\25$\20\0\1\205\300t\15Ph\374P\1\1\3501\257\1\0YY\377%\\0\5\1\234`\377t$\24\377t$\20\377t$\14\377t$\10h,\1\5\1h\2\0\0\0h\210\312\4\1h\2\0\0\0h\0\0\0\0\3775\374B\0\1h4\26\0\1h\243\314\4\1\350\200u\375\377\201\354\10\4\0\0a\235PP\203\3040\215\35\342\355\2\1\211\35\\0\5\1a\235\377%8\0\5\1\234`\377t$\10h\1\0\0\0h", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03289   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\215\336\5\317\36<\0\200", ) , ) == 0x0
 03290   896   NtReadFile  (192, 0, 0, 0, 15390, 0x0, 0, ... {status=0x0, info=15390},  (192, 0, 0, 0, 15390, 0x0, 0, ... {status=0x0, info=15390}, "C\0\300-h+}\265F\366\37b`\305\240\277\303\361\264t\312\272\32\202\350\253Y\144\343c\252\262\306i\351\303\350\230\23=\374\237\243\272\342\341K\340\353F\35~\253E\15\13W\233\253\375\203z\357'\233Z\377\310gd\244\372\312\256\312g\253\255I8\264\272\273\370\252b95\10\30@\200b\274s\210L]\274\301w\272#=@\373\333\3672\33/\221`\301\207W\355\204-'\1\354HO\236P\221\244\374\271\177\3627M\36\20\325Nv\226\200\265\340\25\355\14\2622\214\243\370\342r_U\225\366\375R\377\375\373\210\216\212\306F"\307\234\0H~\10f\240\273\20\30l\23\354S\305\354\365P\301\243\277\13\376\33\216\35\216\304Ij\272\376\367(\330\7\22\206H_:`\124\262\203t\217\367\22\305\200\243B\254\310\21\234L\304YHb\330\276\226\304\7\215\271K\233~?\360\24\7\202\264\20e\267\2~A\316\346a^G\237\305\23\212m+:\\257\337\7=\364\347\252`\307\375\366\246\246\14\227\241\372\205\20\323pU_\246Pm\227\243\305N0>\6\372\203\304:nj\361\24\22\274o\215z\371M\2259u7\203\314\271\22v\20\265\204\253%T\261\332\373\366x\251k\221I\305\7\364=\366\3\371r\253\322\332t\3538\277\260g\265~\211\212\346\216\240cB\272\254\261\367\335\252\37\344\315\233"\27\206\17[\277\270_/iI\31d\242\276E.\364\3z\7\256mB\201\330A\336Q\367\212\265\272m0\12\3130c\315\350\247M\245\5\341i\323\37\25\364\225oZ\247\270\201K[\371\331\202\252\206\310\222V\306|uIp[3"h\254o\302\7c\202\277\330\236.\237e\253p`\264=\33\32\3539\374\13\324k\270s\27\227\312\227Yc\340I\5\323\331\2560\35\343\236\204\23\6", ) \307\234\0H~\10f\240\273\20\30l\23\354S\305\354\365P\301\243\277\13\376\33\216\35\216\304Ij\272\376\367(\330\7\22\206H_:`\124\262\203t\217\367\22\305\200\243B\254\310\21\234L\304YHb\330\276\226\304\7\215\271K\233~?\360\24\7\202\264\20e\267\2~A\316\346a^G\237\305\23\212m+:\\257\337\7=\364\347\252`\307\375\366\246\246\14\227\241\372\205\20\323pU_\246Pm\227\243\305N0>\6\372\203\304:nj\361\24\22\274o\215z\371M\2259u7\203\314\271\22v\20\265\204\253%T\261\332\373\366x\251k\221I\305\7\364=\366\3\371r\253\322\332t\3538\277\260g\265~\211\212\346\216\240cB\272\254\261\367\335\252\37\344\315\233 (192, 0, 0, 0, 15390, 0x0, 0, ... {status=0x0, info=15390}, "C\0\300-h+}\265F\366\37b`\305\240\277\303\361\264t\312\272\32\202\350\253Y\144\343c\252\262\306i\351\303\350\230\23=\374\237\243\272\342\341K\340\353F\35~\253E\15\13W\233\253\375\203z\357'\233Z\377\310gd\244\372\312\256\312g\253\255I8\264\272\273\370\252b95\10\30@\200b\274s\210L]\274\301w\272#=@\373\333\3672\33/\221`\301\207W\355\204-'\1\354HO\236P\221\244\374\271\177\3627M\36\20\325Nv\226\200\265\340\25\355\14\2622\214\243\370\342r_U\225\366\375R\377\375\373\210\216\212\306F"\307\234\0H~\10f\240\273\20\30l\23\354S\305\354\365P\301\243\277\13\376\33\216\35\216\304Ij\272\376\367(\330\7\22\206H_:`\124\262\203t\217\367\22\305\200\243B\254\310\21\234L\304YHb\330\276\226\304\7\215\271K\233~?\360\24\7\202\264\20e\267\2~A\316\346a^G\237\305\23\212m+:\\257\337\7=\364\347\252`\307\375\366\246\246\14\227\241\372\205\20\323pU_\246Pm\227\243\305N0>\6\372\203\304:nj\361\24\22\274o\215z\371M\2259u7\203\314\271\22v\20\265\204\253%T\261\332\373\366x\251k\221I\305\7\364=\366\3\371r\253\322\332t\3538\277\260g\265~\211\212\346\216\240cB\272\254\261\367\335\252\37\344\315\233"\27\206\17[\277\270_/iI\31d\242\276E.\364\3z\7\256mB\201\330A\336Q\367\212\265\272m0\12\3130c\315\350\247M\245\5\341i\323\37\25\364\225oZ\247\270\201K[\371\331\202\252\206\310\222V\306|uIp[3"h\254o\302\7c\202\277\330\236.\237e\253p`\264=\33\32\3539\374\13\324k\270s\27\227\312\227Yc\340I\5\323\331\2560\35\343\236\204\23\6", ) h\254o\302\7c\202\277\330\236.\237e\253p`\264=\33\32\3539\374\13\324k\270s\27\227\312\227Yc\340I\5\323\331\2560\35\343\236\204\23\6", ) == 0x0
 03291   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, " \0\0h\14~\1\1\350\2430\1\0Y\377\25\320\22\0\1\243\3244\5\1+\5XT\5\1Ph\354}\1\1h\240U\5\1\377\25\300\23\0\1\203\304\14\241\3244\5\1\243XT\5\1h\240U\5\1\350\227\366\0\0\377\265\\372\377\377\350\334\245\0\0\211\275\\372\377\377\200=\06\5\1\0t!h\350}\1\1h\06\5\1\350~\0\1\0h\06\5\1\377\25`\22\0\1\200%\06\5\1\09=\304\37\5\1tJ\200%\240\311\6\1\0h\372\377\0\0Sh\236\360\0\0W\350]\217\376\377j\10S\350]:\377\377\3775h\37\5\1\377u\344\377\265X\372\377\377h\4L\5\1\3775DT\5\1\3775\242\5\1h\274}\1\1\350:\3\377\377\3775\364u\5\1h\300\232\5\1\350\213\\377\377\211E\2649=H\240\5\1t^\377%\344\0\5\1\234`\377t$8\377t$(\377t$\30\350\1\340\374\377\201\354\20\4\0\0a\235\203\304\14\215\35!m\3\1\211\35\344\0\5\1a\235h\307\4\0\0\350\267\274\376\377\211%\3104\5\1\211-\3241\5\1\3775\3241\5\1\3775\3104\5\1h\14\27\0\0\351\311\36\0\0;\307u,h\230}\1\1\350\203\365\0\0\211%\3104\5\1\211-\3241\5\1\3775\3241\5\1\3775\3104\5\1h\21\27\0\0\351\231\36\0\0h\200}\1\1\350)/\1\0Y\377\25\320\22\0\1\243\3244\5\1+\5XT\5\1Ph\}\1\1h\240U\5\1\377\25\300\23\0\1\203\304\14\241\3244\5\1\243XT\5\1h\240U\5\1\350\35\365\0\0WWWj\377\3775\364u\5\1\377\25\330\24\0\1\211\205\354\366\377\377;\307u\17\377\326Ph\34}\1\1\350\307.\1\0YY\377\25\344\24\0\1\211\205\350", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03292   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\325\304\371\307\206:\0\200", ) , ) == 0x0
 03293   896   NtReadFile  (192, 0, 0, 0, 14982, 0x0, 0, ... {status=0x0, info=14982},  (192, 0, 0, 0, 14982, 0x0, 0, ... {status=0x0, info=14982}, "\377j\362dj\372\247\206\21%\244\215\223\223j\26'\307\231\313\3307\332P\233\371>\353\2\204H\332\Ia\260\4R\1\273\301\226n{\330T\361\231\322\365|}\342\352\312\370*\323\272\251\353B\237\332\236#\336\307\36%/\272\342\376\3742\203\32\36\325)H\244\304\27\206\305\377p\221\337\254D~\26 Z\217\376\35\2\20n\317\354I\311\36.'\25f^\213\2522\343j\222\365\261\313*\351\31n\320\322\27\377\331\21\321\344$\211\206i\311\304\275I\373\273\320\236\363:\202\37\211\266\365B\267\205\304\267k\375_LTbb\177\234\236v\3244\354@\325d\327\214\265\35\350Y\24K\16e\377\21A\202\14Dq\332\204\330\177\271a\247%\252n\356\177&\2\10\20g\17\222F\12+\376\36\152+"a\234\373\3114\344!x\354\246\340\203}_\20_\326\267\372g\14\351\30Sx\330\341\273\232zR\312B\23\221\224m\312w\253\250\30\267(\303\326\371\221\261\2539M\260|C=\351\14t\213wWd\344'\26'\3013\206\214aR\265\16\317\27\331*6\246\255\312\\271\\\216\36\3010\343f\321\213\223\304\234z}%\307\236T\201B:\243Bg0WL'&H0\7\377\12"\276\304\312\30\373)fg\35w\275\314/.&\346\376\343\274pw\235\36!\233\352\231\345_\362\370\372\13\357@b\27\262Ht\252\33\217E"\305\267~aE}\231\311\371\245G\377T(\207\277C\356M\270\27\261\315\312\246\341\177", ) Tbb\177\234\236v\3244\354@\325d\327\214\265\35\350Y\24K\16e\377\21A\202\14Dq\332\204\330\177\271a\247%\252n\356\177&\2\10\20g\17\222F\12+\376\36\152+ (192, 0, 0, 0, 14982, 0x0, 0, ... {status=0x0, info=14982}, "\377j\362dj\372\247\206\21%\244\215\223\223j\26'\307\231\313\3307\332P\233\371>\353\2\204H\332\Ia\260\4R\1\273\301\226n{\330T\361\231\322\365|}\342\352\312\370*\323\272\251\353B\237\332\236#\336\307\36%/\272\342\376\3742\203\32\36\325)H\244\304\27\206\305\377p\221\337\254D~\26 Z\217\376\35\2\20n\317\354I\311\36.'\25f^\213\2522\343j\222\365\261\313*\351\31n\320\322\27\377\331\21\321\344$\211\206i\311\304\275I\373\273\320\236\363:\202\37\211\266\365B\267\205\304\267k\375_LTbb\177\234\236v\3244\354@\325d\327\214\265\35\350Y\24K\16e\377\21A\202\14Dq\332\204\330\177\271a\247%\252n\356\177&\2\10\20g\17\222F\12+\376\36\152+"a\234\373\3114\344!x\354\246\340\203}_\20_\326\267\372g\14\351\30Sx\330\341\273\232zR\312B\23\221\224m\312w\253\250\30\267(\303\326\371\221\261\2539M\260|C=\351\14t\213wWd\344'\26'\3013\206\214aR\265\16\317\27\331*6\246\255\312\\271\\\216\36\3010\343f\321\213\223\304\234z}%\307\236T\201B:\243Bg0WL'&H0\7\377\12"\276\304\312\30\373)fg\35w\275\314/.&\346\376\343\274pw\235\36!\233\352\231\345_\362\370\372\13\357@b\27\262Ht\252\33\217E"\305\267~aE}\231\311\371\245G\377T(\207\277C\356M\270\27\261\315\312\246\341\177", ) \276\304\312\30\373)fg\35w\275\314/.&\346\376\343\274pw\235\36!\233\352\231\345_\362\370\372\13\357@b\27\262Ht\252\33\217E (192, 0, 0, 0, 14982, 0x0, 0, ... {status=0x0, info=14982}, "\377j\362dj\372\247\206\21%\244\215\223\223j\26'\307\231\313\3307\332P\233\371>\353\2\204H\332\Ia\260\4R\1\273\301\226n{\330T\361\231\322\365|}\342\352\312\370*\323\272\251\353B\237\332\236#\336\307\36%/\272\342\376\3742\203\32\36\325)H\244\304\27\206\305\377p\221\337\254D~\26 Z\217\376\35\2\20n\317\354I\311\36.'\25f^\213\2522\343j\222\365\261\313*\351\31n\320\322\27\377\331\21\321\344$\211\206i\311\304\275I\373\273\320\236\363:\202\37\211\266\365B\267\205\304\267k\375_LTbb\177\234\236v\3244\354@\325d\327\214\265\35\350Y\24K\16e\377\21A\202\14Dq\332\204\330\177\271a\247%\252n\356\177&\2\10\20g\17\222F\12+\376\36\152+"a\234\373\3114\344!x\354\246\340\203}_\20_\326\267\372g\14\351\30Sx\330\341\273\232zR\312B\23\221\224m\312w\253\250\30\267(\303\326\371\221\261\2539M\260|C=\351\14t\213wWd\344'\26'\3013\206\214aR\265\16\317\27\331*6\246\255\312\\271\\\216\36\3010\343f\321\213\223\304\234z}%\307\236T\201B:\243Bg0WL'&H0\7\377\12"\276\304\312\30\373)fg\35w\275\314/.&\346\376\343\274pw\235\36!\233\352\231\345_\362\370\372\13\357@b\27\262Ht\252\33\217E"\305\267~aE}\231\311\371\245G\377T(\207\277C\356M\270\27\261\315\312\246\341\177", ) , ) == 0x0
 03294   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\350\12P\215\205\334\373\377\377P\215\205\344\375\377\377P\377\25\354\23\0\1\203\304\20\215\205\344\375\377\377P\350_\247\376\377\213}\374\351\201\0\0\0;\373\215\205\344\375\377\377h\10\2\0\0\210\235\344\375\377\377Pu\31hG\360\0\0S\350\260\17\376\377\215\205\344\375\377\377P\350\344\246\376\377\353RhH\360\0\0S\350\227\17\376\377h\364\1\0\0\215\205\340\367\377\377Ph\242\360\0\0S\350\200\17\376\377W\215\205\340\367\377\377P\215\205\354\365\377\377P\377\25\354\23\0\1\203\304\14\215\205\344\375\377\377P\350\234\246\376\377\215\205\354\365\377\377P\350\326\246\376\377\213E\10\301\350\179\6v\11\213\16I;\310w\373\211\169~\4v\13\213F\4H;\307w\373\211F\4h\2400\5\1\377\25h\22\0\1\353sh\10\2\0\0\215\205\334\373\377\377PhB\360\0\0\353\21h\10\2\0\0\215\205\334\373\377\377PhA\360\0\0S\210\235\334\373\377\377\350\360\16\376\377h\4\1\0\0\215\205\324\371\377\377Pj\377\377u\14SS\377\25\344\22\0\1\215\205\324\371\377\377P\215\205\334\373\377\377P\215\205\344\375\377\377P\377\25\354\23\0\1\215\205\344\375\377\377\203\304\14P\3503\246\376\3773\300_@^[\311\302\14\0S\213\$\10\200;\0Wtb\213\303\215P\1\212\10@\204\311u\371+\302\203\300\10P\377\25(\23\0\1\213\370\205\377Yt9\215W\4V\276\320\37\5\1\213\313+\323\212\1\210\4\12A\204\300u\3663\3009D$\24u\169\5\320\37\5\1t\6\21369\6u\372\213\6\211\73\300\211>@^\353\14h\274\251\1\1\350\25u\0\03\300_[\302\10\0U\213\354\201\354,\2\0\0\213E\10\203e\374\0\307E\370\1\0\0\0\215H\1\212\20@\204\322u\371V+\301", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03295   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\0\310\202\313x \0\200", ) , ) == 0x0
 03296   896   NtReadFile  (192, 0, 0, 0, 8312, 0x0, 0, ... {status=0x0, info=8312},  (192, 0, 0, 0, 8312, 0x0, 0, ... {status=0x0, info=8312}, "\315\261\3367\202\245\210E\302\337\245(\274Ggv\23\33J\355\370\361p3\306\353\244\334\365.D\20\321]\32\366\3263\237\206\253\267T[\271\375\357#\32334\331\235\211\31\357\370.\335y\227\244\3708g:\211\36\377F\345B\277\311\3731\304\27?\3514\330\201\236O\316\307\214\370\177\241\3579d\244+\254/\307A\332\272\366^\335\232\332\251;\346e\330^JP-[`\355\215\342\246\237\251,\267\23I\315\323Nb_\26O~\21\337"K\270\324N=)C\11\272\314l\230\276Pc\221\2460,\204\274\341\221\237x7\177K\32\221ZH\272A\377\3450e\303\316'\337\33\325n\267MYo;\212\223\316\353BM\22Ly\30i\301\267Q\33\7\25C\o\234\255\323~B*"\200#\252\277\27n1f\356"I\33\327I\370\377jT\246\13EG\367\12\236\5XPF=\13\333\12\353\241\35\305Bf\267v\347\231\353[\350B\250;Ph\351S?\3\367\264\351\334SHv\312\261\305\256\227\237\224\33L\370\35\306?k\350*:9\270\205\240W:W\266\312(\205\336k\325\207\10&\312k\35#\24\11\243j\376\13\306)\320\216\330\246\312\35\364\376V\17\350\344\317\237\216z\255\275M\211ay\271)\301Z\327\353\363\272\237\325\302\37"\265~\267\311\263(\336s\31\360C\260\374\360\23\243\12\240S\340g\347\220\201\247H\365\261\266\361*\230\245\377\312\347\323d\;\3142\222\260z\31\212,\240\14\16\26\321g\25\212\241\305\323\20\1E*\225\24\212x\3653\361?C]>\257=R\320\350\271\317s$\334P\356d\377\254n\215ZD\3033\303\210UfP\303mC@~3\243\224\203F:\320`\204,XfS%\22K\300\12V<\227\257\350\317\243H\14\25\214RX\214\344", ) K\270\324N=)C\11\272\314l\230\276Pc\221\2460,\204\274\341\221\237x7\177K\32\221ZH\272A\377\3450e\303\316'\337\33\325n\267MYo;\212\223\316\353BM\22Ly\30i\301\267Q\33\7\25C\o\234\255\323~B* (192, 0, 0, 0, 8312, 0x0, 0, ... {status=0x0, info=8312}, "\315\261\3367\202\245\210E\302\337\245(\274Ggv\23\33J\355\370\361p3\306\353\244\334\365.D\20\321]\32\366\3263\237\206\253\267T[\271\375\357#\32334\331\235\211\31\357\370.\335y\227\244\3708g:\211\36\377F\345B\277\311\3731\304\27?\3514\330\201\236O\316\307\214\370\177\241\3579d\244+\254/\307A\332\272\366^\335\232\332\251;\346e\330^JP-[`\355\215\342\246\237\251,\267\23I\315\323Nb_\26O~\21\337"K\270\324N=)C\11\272\314l\230\276Pc\221\2460,\204\274\341\221\237x7\177K\32\221ZH\272A\377\3450e\303\316'\337\33\325n\267MYo;\212\223\316\353BM\22Ly\30i\301\267Q\33\7\25C\o\234\255\323~B*"\200#\252\277\27n1f\356"I\33\327I\370\377jT\246\13EG\367\12\236\5XPF=\13\333\12\353\241\35\305Bf\267v\347\231\353[\350B\250;Ph\351S?\3\367\264\351\334SHv\312\261\305\256\227\237\224\33L\370\35\306?k\350*:9\270\205\240W:W\266\312(\205\336k\325\207\10&\312k\35#\24\11\243j\376\13\306)\320\216\330\246\312\35\364\376V\17\350\344\317\237\216z\255\275M\211ay\271)\301Z\327\353\363\272\237\325\302\37"\265~\267\311\263(\336s\31\360C\260\374\360\23\243\12\240S\340g\347\220\201\247H\365\261\266\361*\230\245\377\312\347\323d\;\3142\222\260z\31\212,\240\14\16\26\321g\25\212\241\305\323\20\1E*\225\24\212x\3653\361?C]>\257=R\320\350\271\317s$\334P\356d\377\254n\215ZD\3033\303\210UfP\303mC@~3\243\224\203F:\320`\204,XfS%\22K\300\12V<\227\257\350\317\243H\14\25\214RX\214\344", ) I\33\327I\370\377jT\246\13EG\367\12\236\5XPF=\13\333\12\353\241\35\305Bf\267v\347\231\353[\350B\250;Ph\351S?\3\367\264\351\334SHv\312\261\305\256\227\237\224\33L\370\35\306?k\350*:9\270\205\240W:W\266\312(\205\336k\325\207\10&\312k\35#\24\11\243j\376\13\306)\320\216\330\246\312\35\364\376V\17\350\344\317\237\216z\255\275M\211ay\271)\301Z\327\353\363\272\237\325\302\37 (192, 0, 0, 0, 8312, 0x0, 0, ... {status=0x0, info=8312}, "\315\261\3367\202\245\210E\302\337\245(\274Ggv\23\33J\355\370\361p3\306\353\244\334\365.D\20\321]\32\366\3263\237\206\253\267T[\271\375\357#\32334\331\235\211\31\357\370.\335y\227\244\3708g:\211\36\377F\345B\277\311\3731\304\27?\3514\330\201\236O\316\307\214\370\177\241\3579d\244+\254/\307A\332\272\366^\335\232\332\251;\346e\330^JP-[`\355\215\342\246\237\251,\267\23I\315\323Nb_\26O~\21\337"K\270\324N=)C\11\272\314l\230\276Pc\221\2460,\204\274\341\221\237x7\177K\32\221ZH\272A\377\3450e\303\316'\337\33\325n\267MYo;\212\223\316\353BM\22Ly\30i\301\267Q\33\7\25C\o\234\255\323~B*"\200#\252\277\27n1f\356"I\33\327I\370\377jT\246\13EG\367\12\236\5XPF=\13\333\12\353\241\35\305Bf\267v\347\231\353[\350B\250;Ph\351S?\3\367\264\351\334SHv\312\261\305\256\227\237\224\33L\370\35\306?k\350*:9\270\205\240W:W\266\312(\205\336k\325\207\10&\312k\35#\24\11\243j\376\13\306)\320\216\330\246\312\35\364\376V\17\350\344\317\237\216z\255\275M\211ay\271)\301Z\327\353\363\272\237\325\302\37"\265~\267\311\263(\336s\31\360C\260\374\360\23\243\12\240S\340g\347\220\201\247H\365\261\266\361*\230\245\377\312\347\323d\;\3142\222\260z\31\212,\240\14\16\26\321g\25\212\241\305\323\20\1E*\225\24\212x\3653\361?C]>\257=R\320\350\271\317s$\334P\356d\377\254n\215ZD\3033\303\210UfP\303mC@~3\243\224\203F:\320`\204,XfS%\22K\300\12V<\227\257\350\317\243H\14\25\214RX\214\344", ) , ) == 0x0
 03297   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\303\377t$\4j\0\377\25\270\22\0\1\302\4\0\377%\274\22\0\1U\213\354\201\354X\1\0\0\213E\10S\215P\13\333\212\10@:\313u\371+\302=\4\1\0\0r\43\300\353k\213E\10\215\225\250\376\377\377+\320\212\10\210\14\2@:\313u\366Wj\213\300Y\215}\254\363\2533\377G9]\14\307E\254D\0\0\0t\7\211}\330f\211]\334\215E\360P\215E\254PSSSSSS\215\205\250\376\377\377PS\377\25d\21\0\1\205\300t\24V\377u\360\2135\340\21\0\1\377\326\377u\364\377\326\213\307^_[\311\302\10\0VWj\0h\0\0\0 j\3j\0j\3h\0\0\0\200\377t$$\203\317\377\377\25\300\22\0\1\213\360;\367t\24\377t$\20V\377\25\304\22\0\1V\213\370\377\25\340\21\0\1\213\307_^\302\10\0U\213\354\201\354D\2\0\0VW\276\4\1\0\0V\215\205\374\376\377\377P\377u\14\377u\10\350G\352\377\377\215\205\274\375\377\377P\215\205\374\376\377\377P\377\25\360\22\0\1\213\370\203\377\377tX\366\205\274\375\377\377\20u6V\215\205\374\376\377\377P\215\205\350\375\377\377P\377u\10\350\14\352\377\377h\200\0\0\0\215\205\374\376\377\377P\377\25\254\22\0\1\215\205\374\376\377\377P\377\25<\22\0\1\215\205\274\375\377\377PW\377\25\354\22\0\1\205\300u\257W\377\25\350\22\0\1_^\311\302\10\0\213L$\4W\213\371\212\113\3003\322\204\311t\V\200\3710|\15\200\3719\177\10\17\276\361\203\3560\3530\200\371A|\15\200\371F\177\10\17\276\361\203\3567\353\36\200\371a|\15\200\371f\177\10\17\276\361\203\356W\353\14\200\371xt\5\200\371Xu\323\366j\0j\20RP\350\346\237\377\3773\311\3\306\23\321G\212\17\204\311", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03298   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\322G\1.H\21\0\200", ) , ) == 0x0
 03299   896   NtReadFile  (192, 0, 0, 0, 4424, 0x0, 0, ... {status=0x0, info=4424},  (192, 0, 0, 0, 4424, 0x0, 0, ... {status=0x0, info=4424}, "wX\300\326\357\374j{\360\2261'z\30w\320\366}\307\340m}\16\311\261\367;\25\267\363;\3\336\332\357\214\5{\275C\337\255\371\216\222\330@80f\21ide\16\320\1\371\27:\343nAh\220\334\36\342_G~T\227z\27\234\226}\70\330{\235\272\305\376I\300;\337\323\32w\276\216\12A,\331*\271\2)\244\202+\35\21\255\272Ty\336\220\301.\266\226}\267\206,\274\311\343\2342\273V\210x^\323\3313 \377\371E\247\223Z\.\317!\267\335\327\203r\264\355Q\253Is$\267\325{\273yG=\267\335A\336\336\255\201\346\230\3557\357:z{\302\226\340^\314lP\22\252\376g\330H?\214H\375\353\222\12\215\324\213\227\377j\374d\275\254\225\216q\357\350\304\356\261\37H\10\350\20S6\357(\360r\220\337E|\13\335\6\275w\2G\337\331a\243I\247,\0'([{\35\362\267\362>\366\360\314\215 \27;\344W\276\3\2\252\243\256\337U{\211|\322\353\313j\371\323\204\35K\334\343\202\221,\357\344\341\266=\321\227\21'_|\350\205\357\351\277\256\336\16%p\365wl\210\213\276sB\2666\301\33\2\232\303I\217\273\273Y\334\346\235H\341\27\357O\27\336\353\310\274Uz\231\242vp\304j\374]B\226\256C\360Z\365\217l\336\325B\24s\214_\322#J8\\365\307\221\314@\232\277\210\303AM\27\266\226\345\277\376E\266\217\10\6\177\37\351\345\27\11\235\235\231\310\254\325it\2\276\244"\3775/_$\210dH\227\27\207\11\371\365%\2318\226\177\346\14^0G;\277:\365\265W=\251TF[\304\312\3-\333\210K\17\7\323<\227\27z\355\235\341\5\221\372q}\216}\27\210)\3371\13\216\336J_\251\321,\363\275\340\352\5", ) \3775/_$\210dH\227\27\207\11\371\365%\2318\226\177\346\14^0G;\277:\365\265W=\251TF[\304\312\3-\333\210K\17\7\323<\227\27z\355\235\341\5\221\372q}\216}\27\210)\3371\13\216\336J_\251\321,\363\275\340\352\5", ) == 0x0
 03300   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "tionA\0\244\1SetupGetSourceFileLocationA\0\250\1SetupGetSourceInfoA\0\336\1SetupQueueCopyA\0\367\0SetupDefaultQueueCallbackW\0\0\366\0SetupDefaultQueueCallbackA\0\0\254\1SetupGetTargetPathA\0\266\1SetupInstallFilesFromInfSectionA\0\0\232\1SetupGetIntField\0\0\373\1SetupScanFileQueueA\0\307\1SetupOpenInfFileA\0\350\0SetupCloseInfFile\0\375\1SetupSetDirectoryIdA\0\0\260\1SetupInitializeFileLogA\0\322\1SetupQueryFileLogA\0\0\12\2SetupTerminateFileLog\0\235\1SetupGetLineCountA\0\0\233\1SetupGetLineByIndexA\0\0\252\1SetupGetStringFieldA\0\0\204\1SetupFindFirstLineA\0\237\1SetupGetLineTextA\0\216\1SetupGetFieldC", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03301   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "o\164\337J\35\0\200", ) , ) == 0x0
 03302   896   NtReadFile  (192, 0, 0, 0, 7498, 0x0, 0, ... {status=0x0, info=7498},  (192, 0, 0, 0, 7498, 0x0, 0, ... {status=0x0, info=7498}, "\224\377\242\177\272\224\364\312\30\322\305eS\315\275\211\247\14\212\10\305*\14\313\10\246Y\211\220<\234\302/]7\231\241a\210P\253\250\237\270\313\223\214\313'\2\3775r\244(y\356#`\225)\210\213\265\251A"\301\22\260p\252\362\262\332\@T\5\224\250\327\13\25\256xR!\221e\207\254NB\2372$*~d}\212\371\275\32\321h~\377\222W\25\205QE\236\254B1QM\23o\253\10\272\223I(/\260$\1\244,\215H\11\372e!}"\370\315Hp\264\362O\255\267\271\118\332G\3\320\5c\244_Y!\230\365\376&Y\270\11\346\256\277\203\267\11_\304\261j\260\31z\223\255\14\305z\235PD\241",X\210\20E\212\260a!B\24c\302\313\225\12@?\341$\23d\310\14\231!\223d\222L2I\206\311\220\312C&\310$\231d\223\14\222!2d\206L\223I\201\225\26\330\30M{m]\5o\7a\217\364~\322\363~q\240\353\233\25>M/\322\264\25\2121\241\12U9A\355\356+\343\315\235\350\377C\214\355\6\325~\263Z\215^\3570\276QIj\362M\36I\237\251\355\360\30F&\307\225\203\210\\237\20\215\3717\30\265X]wb\376\345h[A\320;\275\327+0\204~\37\303"\1\303\23\246\305\4\226=\4\265bi\363~\33\344k\341\327\273\344\361\3057\@<\236d\2s\311\350\322\21pn\14\272\14\10\376\13"O\216\311\35\372\367\324l\301\246'\21 j\327\3"\36\24/6\321\300\377\212\200h\243n@*h#\24\3730\227\236\240\371\241\33652P\30E\324\216P=\217\212Q\200\240\321$\232:\204\232\333\11\276\36R\256\262=Qs#\242W\363\221\212\301H\231\243R\374\253O\37#\261\320\346\344\207=\244\333d}@{\326", ) \301\22\260p\252\362\262\332\@T\5\224\250\327\13\25\256xR!\221e\207\254NB\2372$*~d}\212\371\275\32\321h~\377\222W\25\205QE\236\254B1QM\23o\253\10\272\223I(/\260$\1\244,\215H\11\372e!} (192, 0, 0, 0, 7498, 0x0, 0, ... {status=0x0, info=7498}, "\224\377\242\177\272\224\364\312\30\322\305eS\315\275\211\247\14\212\10\305*\14\313\10\246Y\211\220<\234\302/]7\231\241a\210P\253\250\237\270\313\223\214\313'\2\3775r\244(y\356#`\225)\210\213\265\251A"\301\22\260p\252\362\262\332\@T\5\224\250\327\13\25\256xR!\221e\207\254NB\2372$*~d}\212\371\275\32\321h~\377\222W\25\205QE\236\254B1QM\23o\253\10\272\223I(/\260$\1\244,\215H\11\372e!}"\370\315Hp\264\362O\255\267\271\118\332G\3\320\5c\244_Y!\230\365\376&Y\270\11\346\256\277\203\267\11_\304\261j\260\31z\223\255\14\305z\235PD\241",X\210\20E\212\260a!B\24c\302\313\225\12@?\341$\23d\310\14\231!\223d\222L2I\206\311\220\312C&\310$\231d\223\14\222!2d\206L\223I\201\225\26\330\30M{m]\5o\7a\217\364~\322\363~q\240\353\233\25>M/\322\264\25\2121\241\12U9A\355\356+\343\315\235\350\377C\214\355\6\325~\263Z\215^\3570\276QIj\362M\36I\237\251\355\360\30F&\307\225\203\210\\237\20\215\3717\30\265X]wb\376\345h[A\320;\275\327+0\204~\37\303"\1\303\23\246\305\4\226=\4\265bi\363~\33\344k\341\327\273\344\361\3057\@<\236d\2s\311\350\322\21pn\14\272\14\10\376\13"O\216\311\35\372\367\324l\301\246'\21 j\327\3"\36\24/6\321\300\377\212\200h\243n@*h#\24\3730\227\236\240\371\241\33652P\30E\324\216P=\217\212Q\200\240\321$\232:\204\232\333\11\276\36R\256\262=Qs#\242W\363\221\212\301H\231\243R\374\253O\37#\261\320\346\344\207=\244\333d}@{\326", ) ,X\210\20E\212\260a!B\24c\302\313\225\12@?\341$\23d\310\14\231!\223d\222L2I\206\311\220\312C&\310$\231d\223\14\222!2d\206L\223I\201\225\26\330\30M{m]\5o\7a\217\364~\322\363~q\240\353\233\25>M/\322\264\25\2121\241\12U9A\355\356+\343\315\235\350\377C\214\355\6\325~\263Z\215^\3570\276QIj\362M\36I\237\251\355\360\30F&\307\225\203\210\\237\20\215\3717\30\265X]wb\376\345h[A\320;\275\327+0\204~\37\303 (192, 0, 0, 0, 7498, 0x0, 0, ... {status=0x0, info=7498}, "\224\377\242\177\272\224\364\312\30\322\305eS\315\275\211\247\14\212\10\305*\14\313\10\246Y\211\220<\234\302/]7\231\241a\210P\253\250\237\270\313\223\214\313'\2\3775r\244(y\356#`\225)\210\213\265\251A"\301\22\260p\252\362\262\332\@T\5\224\250\327\13\25\256xR!\221e\207\254NB\2372$*~d}\212\371\275\32\321h~\377\222W\25\205QE\236\254B1QM\23o\253\10\272\223I(/\260$\1\244,\215H\11\372e!}"\370\315Hp\264\362O\255\267\271\118\332G\3\320\5c\244_Y!\230\365\376&Y\270\11\346\256\277\203\267\11_\304\261j\260\31z\223\255\14\305z\235PD\241",X\210\20E\212\260a!B\24c\302\313\225\12@?\341$\23d\310\14\231!\223d\222L2I\206\311\220\312C&\310$\231d\223\14\222!2d\206L\223I\201\225\26\330\30M{m]\5o\7a\217\364~\322\363~q\240\353\233\25>M/\322\264\25\2121\241\12U9A\355\356+\343\315\235\350\377C\214\355\6\325~\263Z\215^\3570\276QIj\362M\36I\237\251\355\360\30F&\307\225\203\210\\237\20\215\3717\30\265X]wb\376\345h[A\320;\275\327+0\204~\37\303"\1\303\23\246\305\4\226=\4\265bi\363~\33\344k\341\327\273\344\361\3057\@<\236d\2s\311\350\322\21pn\14\272\14\10\376\13"O\216\311\35\372\367\324l\301\246'\21 j\327\3"\36\24/6\321\300\377\212\200h\243n@*h#\24\3730\227\236\240\371\241\33652P\30E\324\216P=\217\212Q\200\240\321$\232:\204\232\333\11\276\36R\256\262=Qs#\242W\363\221\212\301H\231\243R\374\253O\37#\261\320\346\344\207=\244\333d}@{\326", ) O\216\311\35\372\367\324l\301\246'\21 j\327\3 (192, 0, 0, 0, 7498, 0x0, 0, ... {status=0x0, info=7498}, "\224\377\242\177\272\224\364\312\30\322\305eS\315\275\211\247\14\212\10\305*\14\313\10\246Y\211\220<\234\302/]7\231\241a\210P\253\250\237\270\313\223\214\313'\2\3775r\244(y\356#`\225)\210\213\265\251A"\301\22\260p\252\362\262\332\@T\5\224\250\327\13\25\256xR!\221e\207\254NB\2372$*~d}\212\371\275\32\321h~\377\222W\25\205QE\236\254B1QM\23o\253\10\272\223I(/\260$\1\244,\215H\11\372e!}"\370\315Hp\264\362O\255\267\271\118\332G\3\320\5c\244_Y!\230\365\376&Y\270\11\346\256\277\203\267\11_\304\261j\260\31z\223\255\14\305z\235PD\241",X\210\20E\212\260a!B\24c\302\313\225\12@?\341$\23d\310\14\231!\223d\222L2I\206\311\220\312C&\310$\231d\223\14\222!2d\206L\223I\201\225\26\330\30M{m]\5o\7a\217\364~\322\363~q\240\353\233\25>M/\322\264\25\2121\241\12U9A\355\356+\343\315\235\350\377C\214\355\6\325~\263Z\215^\3570\276QIj\362M\36I\237\251\355\360\30F&\307\225\203\210\\237\20\215\3717\30\265X]wb\376\345h[A\320;\275\327+0\204~\37\303"\1\303\23\246\305\4\226=\4\265bi\363~\33\344k\341\327\273\344\361\3057\@<\236d\2s\311\350\322\21pn\14\272\14\10\376\13"O\216\311\35\372\367\324l\301\246'\21 j\327\3"\36\24/6\321\300\377\212\200h\243n@*h#\24\3730\227\236\240\371\241\33652P\30E\324\216P=\217\212Q\200\240\321$\232:\204\232\333\11\276\36R\256\262=Qs#\242W\363\221\212\301H\231\243R\374\253O\37#\261\320\346\344\207=\244\333d}@{\326", ) , ) == 0x0
 03303   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\314\314\314\314\304DDDDDDDD\314\314\314\314\314\314\314\314\314\314\314\314\314DDDDDDDDD\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\304DDDD\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0DDDDDDDD\314\314\314\314\314\314\314\314\314\314\304DDDDDDDDDD\314\314\314\314\314\314\314\314\314\314\314\314\314\314DDDDDDDDD\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\304DDDD\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0DDDDDD\314\314\314\314\314\314\314\314\314\314\304DDDDDDDDDDDD\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314DDDDDDDDD\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\314\304DDDD\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0DDDD\314\314\314\314\314\314\314\314", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03304   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\22651Q\330\32\0\200", ) , ) == 0x0
 03305   896   NtReadFile  (192, 0, 0, 0, 6872, 0x0, 0, ... {status=0x0, info=6872},  (192, 0, 0, 0, 6872, 0x0, 0, ... {status=0x0, info=6872}, "\367C\236\216\370.\361\267\264\7E\331\205\310\332\204\26\356\361\365\334\322\312\10\242.\347\277<\326y\352\240sz\244\366\26[\27\354/k\250\345\31\263\334]'\230\305\257\260\374\221\211gnx\371/\260\3709\211\233\235\256\3627\200\270~\302\364\367\346\2533\207\3467d1\361\327\307[\366\256\220e9\217}\15\20\276A\277\206\222\277"\2731QQ\215\2171\4D\36\377kT\311\263?\363\314\347\354!\224\355;\3\265\252\11\377R\370\347\23!\244\200E\252G\304\320P\2727\256\300\204BQ/\11\371\372\311\336\371Z\2L\257V\366\2236\206\317\35\375\354\312\221\330a\236\27\33y\327_I\236\325\243\37"\314\307|k+\216\242LV\335$3.\317R\275\317\351\325\0\377\235\14\210\323\237\371\263\22\372a\357\257\316\247\243\331\37,\202\323\375^Ta\213\235\306\177\14\352\3076k+K\11\14\275\12\4_\225\372\36#`*\272\317\177\253Y\25\276\244\225`\304|\365\230yfP\362@\354?\267h\0\274\273\304\366\217,\253%\27\340\337n\250\2\322\7\314\243cj\14\227\322"\260\267z\2553\251\333\270P\322\312g~322\364~{\274\225\260X:\3\25u\177\346Z\342Y\2342q\304\202\335<\220\350>|aK0^\323Hq\332\335u\237\223c\216\214\330\315\313\300\214\267-\365\2367\206\270\356\361,\374`\256\3651\337\344\243\22]\376\3043b\304W\353)#\302\262q\226\245\253+\217\351t\\216\234-\243\300\21\312\227d\335t\265\336@\236\244\243u\316\365*\312t\252w\205\15\230\307%\317\327\205\317a\313d\245\221\340\12\353\255\361\245\370,\247jc\314\361\216\306\263\224Q\30\345\226\270T`.\334\326\202\276Y\351\214\225\311\314\25@(\367|\264\207\16\33\370|L \344\177Xu", ) \2731QQ\215\2171\4D\36\377kT\311\263?\363\314\347\354!\224\355;\3\265\252\11\377R\370\347\23!\244\200E\252G\304\320P\2727\256\300\204BQ/\11\371\372\311\336\371Z\2L\257V\366\2236\206\317\35\375\354\312\221\330a\236\27\33y\327_I\236\325\243\37 (192, 0, 0, 0, 6872, 0x0, 0, ... {status=0x0, info=6872}, "\367C\236\216\370.\361\267\264\7E\331\205\310\332\204\26\356\361\365\334\322\312\10\242.\347\277<\326y\352\240sz\244\366\26[\27\354/k\250\345\31\263\334]'\230\305\257\260\374\221\211gnx\371/\260\3709\211\233\235\256\3627\200\270~\302\364\367\346\2533\207\3467d1\361\327\307[\366\256\220e9\217}\15\20\276A\277\206\222\277"\2731QQ\215\2171\4D\36\377kT\311\263?\363\314\347\354!\224\355;\3\265\252\11\377R\370\347\23!\244\200E\252G\304\320P\2727\256\300\204BQ/\11\371\372\311\336\371Z\2L\257V\366\2236\206\317\35\375\354\312\221\330a\236\27\33y\327_I\236\325\243\37"\314\307|k+\216\242LV\335$3.\317R\275\317\351\325\0\377\235\14\210\323\237\371\263\22\372a\357\257\316\247\243\331\37,\202\323\375^Ta\213\235\306\177\14\352\3076k+K\11\14\275\12\4_\225\372\36#`*\272\317\177\253Y\25\276\244\225`\304|\365\230yfP\362@\354?\267h\0\274\273\304\366\217,\253%\27\340\337n\250\2\322\7\314\243cj\14\227\322"\260\267z\2553\251\333\270P\322\312g~322\364~{\274\225\260X:\3\25u\177\346Z\342Y\2342q\304\202\335<\220\350>|aK0^\323Hq\332\335u\237\223c\216\214\330\315\313\300\214\267-\365\2367\206\270\356\361,\374`\256\3651\337\344\243\22]\376\3043b\304W\353)#\302\262q\226\245\253+\217\351t\\216\234-\243\300\21\312\227d\335t\265\336@\236\244\243u\316\365*\312t\252w\205\15\230\307%\317\327\205\317a\313d\245\221\340\12\353\255\361\245\370,\247jc\314\361\216\306\263\224Q\30\345\226\270T`.\334\326\202\276Y\351\214\225\311\314\25@(\367|\264\207\16\33\370|L \344\177Xu", ) \260\267z\2553\251\333\270P\322\312g~322\364~{\274\225\260X:\3\25u\177\346Z\342Y\2342q\304\202\335<\220\350>|aK0^\323Hq\332\335u\237\223c\216\214\330\315\313\300\214\267-\365\2367\206\270\356\361,\374`\256\3651\337\344\243\22]\376\3043b\304W\353)#\302\262q\226\245\253+\217\351t\\216\234-\243\300\21\312\227d\335t\265\336@\236\244\243u\316\365*\312t\252w\205\15\230\307%\317\327\205\317a\313d\245\221\340\12\353\255\361\245\370,\247jc\314\361\216\306\263\224Q\30\345\226\270T`.\334\326\202\276Y\351\214\225\311\314\25@(\367|\264\207\16\33\370|L \344\177Xu", ) == 0x0
 03306   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, ".\0 \0H\0o\0w\0e\0v\0e\0r\0,\0 \0t\0h\0i\0s\0 \0r\0e\0q\0u\0i\0r\0e\0s\0 \0s\0i\0g\0n\0i\0f\0i\0c\0a\0n\0t\0 \0d\0i\0s\0k\0 \0s\0p\0a\0c\0e\0.\0 \0D\0o\0 \0y\0o\0u\0 \0w\0a\0n\0t\0 \0S\0e\0t\0u\0p\0 \0t\0o\0 \0a\0r\0c\0h\0i\0v\0e\0 \0t\0h\0e\0s\0e\0 \0f\0i\0l\0e\0s\0?\0\16\0&\0A\0r\0c\0h\0i\0v\0e\0 \0F\0i\0l\0e\0s\0\25\0&\0D\0o\0 \0N\0o\0t\0 \0A\0r\0c\0h\0i\0v\0e\0 \0F\0i\0l\0e\0s\0p\0P\0l\0e\0a\0s\0e\0 \0w\0a\0i\0t\0 \0w\0h\0i\0l\0e\0 \0s\0e\0t\0u\0p\0 \0i\0n\0s\0p\0e\0c\0t\0s\0 \0y\0o\0u\0r\0 \0c\0u\0r\0r\0e\0n\0t\0 \0c\0o\0n\0f\0i\0g\0u\0r\0a\0t\0i\0o\0n\0,\0 \0a\0r\0c\0h\0i\0v\0e\0s\0 \0y\0o\0u\0r\0 \0c\0u\0r\0r\0e\0n\0t\0 \0f\0i\0l\0e\0s\0 \0a\0n\0d\0 \0u\0p\0d\0a\0t\0e\0s\0 \0y\0o\0u\0r\0 \0f\0i\0l\0e\0s\0.\0%\0I\0n\0s\0p\0e\0c\0t\0i\0n\0", 26112, 0x0, 0, ... {status=0x0, info=26112}, ) , 26112, 0x0, 0, ... {status=0x0, info=26112}, ) == 0x0
 03307   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 03308   896   NtClose  (200, ... ) == 0x0
 03309   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03310   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03311   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 03271  2016   NtUserWaitMessage  ... ) == 0x1
 03312  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03313  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 03314  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010051
 03315  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 03313  2016   NtUserRedrawWindow  ... ) == 0x1
 03312  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x1311447, {0, 0}}, ) == 0x0
 03316  2016   NtUserWaitMessage  (...
 03311   896   NtUserMessageCall  ... ) == 0x4
 03317   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "\374\17\0\0\0f\10\0\0\0[,J\207 \0", ) , ) == 0x0
 03318   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03319   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03320   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256},  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "common\eula.txt\0\0\252\20\0\374u\10\0\0\0\345.\324a \0sp1\ole32.dll\0\0\264\6\0\374\37\31\0\0\0\345.\325a \0sp1\rpcrt4.dll\0\0\32\3\0\374\323\37\0\0\0\345.\326a \0sp1\rpcss.dll\0> \0\0\374\355"\0\0\0\345.\213c \0sp1\update\kb823980.cat\0\243\21\0\0:\16#\0\0\0\345.\323a \0sp1\update\update.inf\0\340\0\0\0\335\37#\0\0\0\345.\326a \0sp1\update\update.ver\0\0\30\21\0\275 #\0\0\0\345.\214a \0sp2\ole32.dll\0\0\262\7", ) \0\0\0\345.\213c \0sp1\update\kb823980.cat\0\243\21\0\0:\16#\0\0\0\345.\323a \0sp1\update\update.inf\0\340\0\0\0\335\37#\0\0\0\345.\326a \0sp1\update\update.ver\0\0\30\21\0\275 #\0\0\0\345.\214a \0sp2\ole32.dll\0\0\262\7", ) == 0x0
 03321   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03322   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03323   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03324   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8aa64, 0, 688, 1, ...
 03316  2016   NtUserWaitMessage  ... ) == 0x1
 03325  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03326  2016   NtUserDefSetText  (655682, 8387700, ... ) == 0x1
 03327  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 03328  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03329  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03330  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03331  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03332  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03324   896   NtUserMessageCall  ... ) == 0x1
 03333   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\e5d4274d2caaef1b878fb5d282a5\common\eula.txt"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 03334   896   NtClose  (-2147481368, ... ) == 0x0
 03333   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 03335   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "SUPPLEMENTAL END USER LICENSE AGREEMENT FOR\15\12MICROSOFT SOFTWARE ("Supplemental EULA")\15\12\15\12IMPORTANT:  READ CAREFULLY - The Microsoft operating system components accompanying this Supplemental EULA, including any "online" or electronic documentation ("OS Components") are subject to the terms and conditions of the agreement under which you have licensed the applicable Microsoft operating system product described below (each an "End User License Agreement" or "EULA") and the terms and conditions of ", 4092, 0x0, 0, ... Supplemental EULA (200, 0, 0, 0, "SUPPLEMENTAL END USER LICENSE AGREEMENT FOR\15\12MICROSOFT SOFTWARE ("Supplemental EULA")\15\12\15\12IMPORTANT:  READ CAREFULLY - The Microsoft operating system components accompanying this Supplemental EULA, including any "online" or electronic documentation ("OS Components") are subject to the terms and conditions of the agreement under which you have licensed the applicable Microsoft operating system product described below (each an "End User License Agreement" or "EULA") and the terms and conditions of ", 4092, 0x0, 0, ... online (200, 0, 0, 0, "SUPPLEMENTAL END USER LICENSE AGREEMENT FOR\15\12MICROSOFT SOFTWARE ("Supplemental EULA")\15\12\15\12IMPORTANT:  READ CAREFULLY - The Microsoft operating system components accompanying this Supplemental EULA, including any "online" or electronic documentation ("OS Components") are subject to the terms and conditions of the agreement under which you have licensed the applicable Microsoft operating system product described below (each an "End User License Agreement" or "EULA") and the terms and conditions of ", 4092, 0x0, 0, ... OS Components (200, 0, 0, 0, "SUPPLEMENTAL END USER LICENSE AGREEMENT FOR\15\12MICROSOFT SOFTWARE ("Supplemental EULA")\15\12\15\12IMPORTANT:  READ CAREFULLY - The Microsoft operating system components accompanying this Supplemental EULA, including any "online" or electronic documentation ("OS Components") are subject to the terms and conditions of the agreement under which you have licensed the applicable Microsoft operating system product described below (each an "End User License Agreement" or "EULA") and the terms and conditions of ", 4092, 0x0, 0, ... End User License Agreement (200, 0, 0, 0, "SUPPLEMENTAL END USER LICENSE AGREEMENT FOR\15\12MICROSOFT SOFTWARE ("Supplemental EULA")\15\12\15\12IMPORTANT:  READ CAREFULLY - The Microsoft operating system components accompanying this Supplemental EULA, including any "online" or electronic documentation ("OS Components") are subject to the terms and conditions of the agreement under which you have licensed the applicable Microsoft operating system product described below (each an "End User License Agreement" or "EULA") and the terms and conditions of ", 4092, 0x0, 0, ... EULA (200, 0, 0, 0, "SUPPLEMENTAL END USER LICENSE AGREEMENT FOR\15\12MICROSOFT SOFTWARE ("Supplemental EULA")\15\12\15\12IMPORTANT:  READ CAREFULLY - The Microsoft operating system components accompanying this Supplemental EULA, including any "online" or electronic documentation ("OS Components") are subject to the terms and conditions of the agreement under which you have licensed the applicable Microsoft operating system product described below (each an "End User License Agreement" or "EULA") and the terms and conditions of ", 4092, 0x0, 0, ... , 4092, 0x0, 0, ...
 03336   896   NtContinue  (-135750188, 0, ...
 03335   896   NtWriteFile  ... {status=0x0, info=4092}, ) == 0x0
 03337   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 03338   896   NtClose  (200, ... ) == 0x0
 03325  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x1311447, {0, 0}}, ) == 0x0
 03339  2016   NtUserWaitMessage  (...
 03340   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03341   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03342   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 03339  2016   NtUserWaitMessage  ... ) == 0x1
 03343  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03344  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 03345  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010051
 03346  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 03344  2016   NtUserRedrawWindow  ... ) == 0x1
 03343  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x1311447, {0, 0}}, ) == 0x0
 03347  2016   NtUserWaitMessage  (...
 03342   896   NtUserMessageCall  ... ) == 0x5
 03348   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "\0\252\20\0\374u\10\0\0\0\345.\324a \0", ) , ) == 0x0
 03349   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03350   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03351   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256},  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "sp1\ole32.dll\0\0\264\6\0\374\37\31\0\0\0\345.\325a \0sp1\rpcrt4.dll\0\0\32\3\0\374\323\37\0\0\0\345.\326a \0sp1\rpcss.dll\0> \0\0\374\355"\0\0\0\345.\213c \0sp1\update\kb823980.cat\0\243\21\0\0:\16#\0\0\0\345.\323a \0sp1\update\update.inf\0\340\0\0\0\335\37#\0\0\0\345.\326a \0sp1\update\update.ver\0\0\30\21\0\275 #\0\0\0\345.\214a \0sp2\ole32.dll\0\0\262\7\0\27584\0\0\0\345.\214a \0sp2\rpcrt4.dll\0\0\30\3\0", ) \0\0\0\345.\213c \0sp1\update\kb823980.cat\0\243\21\0\0:\16#\0\0\0\345.\323a \0sp1\update\update.inf\0\340\0\0\0\335\37#\0\0\0\345.\326a \0sp1\update\update.ver\0\0\30\21\0\275 #\0\0\0\345.\214a \0sp2\ole32.dll\0\0\262\7\0\27584\0\0\0\345.\214a \0sp2\rpcrt4.dll\0\0\30\3\0", ) == 0x0
 03352   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03353   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03354   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03355   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8aa64, 0, 688, 1, ...
 03347  2016   NtUserWaitMessage  ... ) == 0x1
 03356  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03357  2016   NtUserDefSetText  (655682, 8387704, ... ) == 0x1
 03358  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 03359  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03360  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03361  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03362  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03363  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03355   896   NtUserMessageCall  ... ) == 0x1
 03364   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\e5d4274d2caaef1b878fb5d282a5\sp1\ole32.dll"}, 0x0, 128, 3, 5, 96, 0, 0, ... ) }, 0x0, 128, 3, 5, 96, 0, 0, ... ) == STATUS_OBJECT_PATH_NOT_FOUND
 03365   896   NtCreateFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\C:\scripts"}, 0x0, 128, 3, 2, 16417, 0, 0, ... ) }, 0x0, 128, 3, 2, 16417, 0, 0, ... ) == STATUS_OBJECT_NAME_COLLISION
 03366   896   NtCreateFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\c:\e5d4274d2caaef1b878fb5d282a5"}, 0x0, 128, 3, 2, 16417, 0, 0, ... ) }, 0x0, 128, 3, 2, 16417, 0, 0, ... ) == STATUS_OBJECT_NAME_COLLISION
 03367   896   NtCreateFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\c:\e5d4274d2caaef1b878fb5d282a5\sp1"}, 0x0, 128, 3, 2, 16417, 0, 0, ... 200, {status=0x0, info=2}, ) }, 0x0, 128, 3, 2, 16417, 0, 0, ... 200, {status=0x0, info=2}, ) == 0x0
 03368   896   NtClose  (200, ... ) == 0x0
 03369   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\e5d4274d2caaef1b878fb5d282a5\sp1\ole32.dll"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 03356  2016   NtUserPeekMessage  ... {0x100100, WM_PAINT, 0x0, 0x0, 0x1311447, {0, 0}}, ) == 0x0
 03370  2016   NtUserWaitMessage  (...
 03371   896   NtClose  (-2147481368, ... ) == 0x0
 03369   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 03372   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "MZ\220\0\3\0\0\0\4\0\0\0\377\377\0\0\270\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\360\0\0\0\16\37\272\16\0\264\11\315!\270\1L\315!This program cannot be run in DOS mode.\15\15\12$\0\0\0\0\0\0\0\341\274\227\230\245\335\371\313\245\335\371\313\245\335\371\313\245\335\371\313\247\335\371\313_\376\340\313\250\335\371\313\245\335\370\313\226\337\371\313_\376\271\313\255\335\371\313\177\376\345\313\200\335\371\313\177\376\344\313\235\334\371\313_\376\306\313\244\335\371\3132\376\274\313\244\335\371\313_\376\304\313\244\335\371\313Rich\245\335\371\313\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0PE\0\0L\1\5\0\237#\7?\0\0\0\0\0\0\0\0\340\0\16!\13\1\7\0\0t\17\0\0Z\1\0\0\0\0\0\257'\2\0\0\20\0\0\0\220\17\0\0\0\33w\0\20\0\0\0\2\0\0\5\0\1\0\5\0\1\0\4\0\0\0\0\0\0\0\0\0\21\0\0\4\0\0\256z\21\0\3\0\0\0\0\0\4\0\0\20\0\0\0\0\20\0\0\20\0\0\0\0\0\0\20\0\0\0@\14\17\0|'\0\0\264\330\16\0\214\0\0\0\0\0\20\0\0\30\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0 \20\0\334\310\0\0\320\30\0\0\34\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\0\304\10\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0.text\0\0\0\274#\17\0", 2564, 0x0, 0, ... , 2564, 0x0, 0, ...
 03373   896   NtContinue  (-135750188, 0, ...
 03372   896   NtWriteFile  ... {status=0x0, info=2564}, ) == 0x0
 03374   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "U\210\302\364\43\0\200", ) , ) == 0x0
 03375   896   NtReadFile  (192, 0, 0, 0, 13060, 0x0, 0, ... {status=0x0, info=13060},  (192, 0, 0, 0, 13060, 0x0, 0, ... {status=0x0, info=13060}, "\215\330\341\330\331\3129i3cf\277\222\214qN/\320\345\220\4\267\343\4Q\21'\257\211J\245\31\361\31\220\230\230S\273\345\311\240e-\343|\374\215\12\334@\211\304&\221\250s\2213E\12ry].T\224\205\34\252R)\37)d\311"\21\253&r\20*\230s\20\345\225\266\220\323S86z|\222\11K\244\31\301\20t\21\357\344\223\314*\211\252GB6,\204\302\222EF\374\314\234\203\261\307\207r\22\261\7ro\12\326\206ETl\341\32\227\244\221_\27\205`\260\274q\234\33\273II\204'\223\300\223\2213E5\363\347 \3111d6\363\2257\220n\303!6\234x\362\22GN(M\31\210\210\210\362\264"8f\222\307\376\204\351\240L\312NH\223\241\3103\15\352R\13\211_\211\316\27\336\4\220\215&]\204\204\232\214\250P\345e\354\326\346\216\316\222OVmZ\34%\23\235Vc&$h\220\241\2\220\231\327r\273\315I\22\33\275QIM\26\326x)I\232\246\20)\360 lw=\311\376\3067;\373\306\203\262M7\254B\220\300\20\343\254\347L;q1_f.\236\315{2\310\177\334\300;\234\234\331\273\366\301(\244\364s\34\21\374Nj\205\15i1\3775*I]lP\241\36\366\12\236ar\376\217H\235\35\223\363\222\244j[1\277)\5\302$\16]\367\347MC\353\367#h\237\277nI[N\210C0\374&\2354\322g/pq:E\207v\326\371f\322\323\336I\220\251\36{*\226D\317-\22\366\223>\334J\350?F\242\263\362\341\354\262\206\15\275*\347FN\27\327\223[2\334\353D\301\254Z\35\20\203\256\Q\262\212\271\337<\207T]\256H'\212\364>\372$av\267\327C\232\246zDf\310\273;\246\35V\2463g\204\365~z\204\350\231?", ) \21\253&r\20*\230s\20\345\225\266\220\323S86z|\222\11K\244\31\301\20t\21\357\344\223\314*\211\252GB6,\204\302\222EF\374\314\234\203\261\307\207r\22\261\7ro\12\326\206ETl\341\32\227\244\221_\27\205`\260\274q\234\33\273II\204'\223\300\223\2213E5\363\347 \3111d6\363\2257\220n\303!6\234x\362\22GN(M\31\210\210\210\362\264 (192, 0, 0, 0, 13060, 0x0, 0, ... {status=0x0, info=13060}, "\215\330\341\330\331\3129i3cf\277\222\214qN/\320\345\220\4\267\343\4Q\21'\257\211J\245\31\361\31\220\230\230S\273\345\311\240e-\343|\374\215\12\334@\211\304&\221\250s\2213E\12ry].T\224\205\34\252R)\37)d\311"\21\253&r\20*\230s\20\345\225\266\220\323S86z|\222\11K\244\31\301\20t\21\357\344\223\314*\211\252GB6,\204\302\222EF\374\314\234\203\261\307\207r\22\261\7ro\12\326\206ETl\341\32\227\244\221_\27\205`\260\274q\234\33\273II\204'\223\300\223\2213E5\363\347 \3111d6\363\2257\220n\303!6\234x\362\22GN(M\31\210\210\210\362\264"8f\222\307\376\204\351\240L\312NH\223\241\3103\15\352R\13\211_\211\316\27\336\4\220\215&]\204\204\232\214\250P\345e\354\326\346\216\316\222OVmZ\34%\23\235Vc&$h\220\241\2\220\231\327r\273\315I\22\33\275QIM\26\326x)I\232\246\20)\360 lw=\311\376\3067;\373\306\203\262M7\254B\220\300\20\343\254\347L;q1_f.\236\315{2\310\177\334\300;\234\234\331\273\366\301(\244\364s\34\21\374Nj\205\15i1\3775*I]lP\241\36\366\12\236ar\376\217H\235\35\223\363\222\244j[1\277)\5\302$\16]\367\347MC\353\367#h\237\277nI[N\210C0\374&\2354\322g/pq:E\207v\326\371f\322\323\336I\220\251\36{*\226D\317-\22\366\223>\334J\350?F\242\263\362\341\354\262\206\15\275*\347FN\27\327\223[2\334\353D\301\254Z\35\20\203\256\Q\262\212\271\337<\207T]\256H'\212\364>\372$av\267\327C\232\246zDf\310\273;\246\35V\2463g\204\365~z\204\350\231?", ) , ) == 0x0
 03376   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\226\6\17\0\256\6\17\0\302\6\17\0\326\6\17\0\344\6\17\0\370\6\17\0\26\7\17\04\7\17\0V\7\17\0\312\1\17\0\0\0\0\0\350\13\17\0z\371\16\0j\371\16\0\\371\16\0P\371\16\08\371\16\0$\371\16\0\24\371\16\0\10\371\16\0\372\370\16\0\362\370\16\0\346\370\16\0\332\370\16\0\312\370\16\0\272\370\16\0\246\370\16\0\224\370\16\0\202\370\16\0r\370\16\0\\370\16\0P\370\16\0B\370\16\02\370\16\0\32\370\16\0\10\370\16\0\374\367\16\0\360\367\16\0\340\367\16\0\316\367\16\0\300\367\16\0\264\367\16\0\246\367\16\0\230\367\16\0\214\367\16\0t\367\16\0Z\367\16\0B\367\16\0.\367\16\0 \367\16\0\14\367\16\0\372\366\16\0\350\366\16\0\330\366\16\0\314\366\16\0\300\366\16\0\262\366\16\0\236\366\16\0\200\366\16\0b\366\16\0P\366\16\06\366\16\0\34\366\16\0\0\366\16\0\360\365\16\0\340\365\16\0\304\365\16\0\264\365\16\0\250\365\16\0\230\365\16\0\204\365\16\0t\365\16\0b\365\16\0P\365\16\0B\365\16\0&\365\16\0\14\365\16\0\372\364\16\0\346\364\16\0\332\364\16\0\314\364\16\0\300\364\16\0\266\364\16\0\240\364\16\0\224\364\16\0\210\364\16\0v\364\16\0d\364\16\0J\364\16\06\364\16\0\374\363\16\0\352\363\16\0\334\363\16\0\312\363\16\0\256\363\16\0\236\363\16\0\214\363\16\0~\363\16\0h\363\16\0V\363\16\0D\363\16\02\363\16\0&\363\16\0\30\363\16\0\14\363\16\0\372\362\16\0\352\362\16\0\332\362\16\0\314\362\16\0\266\362\16\0\244\362\16\0\226\362\16\0\210\362\16\0z\362\16\0f\362\16\0V\362\16\0H\362\16\08\362\16\0(\362\16\0\24\362\16\0\0\362\16\0\344\361\16\0\330\361\16\0\32\364\16\0\0\0\0\0", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03377   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\11\335\230\264~#\0\200", ) , ) == 0x0
 03378   896   NtReadFile  (192, 0, 0, 0, 9086, 0x0, 0, ... {status=0x0, info=9086},  (192, 0, 0, 0, 9086, 0x0, 0, ... {status=0x0, info=9086}, "$\224A*\372o\31\4f\16Yu>y\33\246g\331\214\241\271A\4\316:\265\221G\207\233\323\363?\266\129\364\223\274\10\\25\343\0\333\341y\360'1AK\303\4T\224E\245\347\6\332%&$OeD7\37g\314\203\305:\345\332\24\275E\220\312\366Hv\244\315\277\337\262\210$~[1HCG\242\200\347\312\11\330US\232\207#\13\25\177\265]\370Z\27\341l\311b\23\240:\273M>h\250\360u\34\343\26\2330ZI\322\204\15\302\222\311`w\276\224\247\177r\32\200\234;\213x7f\4\324&\315u4\23\320\305\223\217\12\25\360\362\315Qbk\244z\206d;\30\316\35\200\27J\17?\364\25\320\274M\263~\361\2530Y\7\325-\331eGq\321\321rCka\302q\222K=DKj\222\22\1617?\364\25\320\274M\263~\361\2530Y\7\325-\331eGq\321\321rCka\302q\222K=DKj\222\22\16250\37\374\332\271\253\331\264\20\372\11\345W^\262\21\326r\351\13.nG\36\12\263\231V\316~\243,sr\242w\37\340im\231\245F\327,\247k\373\223=\13\203\22739\301n%.J\345\212k\255c\224\224\337\204\346e8\367\2603hq\\2\360\250\270\[\241c\376\315\315|+\314\275\215l\306I3\177i\201\320U\360\361\345pC\241\372\305\254\330\371\216\371\311C\16\235o\25\2143V\332\226\343<\33\314\254\330\274\226\214\314\347b\311\241\266\266R\26\323\260\251*\305cZ.U\361", ) == 0x0
 03379   896   NtWriteFile  (200, 0, 0, 0, " (200, 0, 0, 0, ""\0E\7\10\3\2\0\0\0\0\0H\0\4\0\10\0H\0\10\0\16\0H\0\14\0\10\0\23!\20\0\226\4\23!\24\0\226\4P!\30\0\6\0p\0\34\0\10\03l\0\0\0\0\16\0\20\0\10\0\10\0E\3\10\1\0\0\0\0\0\0H\0\4\0\10\0\23\0\10\0\6\0p\0\14\0\10\03l\0\0\0\0\17\0\10\0\0\0\10\0D\1\10\1\0\0\0\0\0\0p\0\4\0\10\03l\0\0\0\0\20\0\20\0D\0\10\0E\3\10\3\1\0\0\0\0\0\12\1\4\0&\0\23\0\10\0\6\7p\0\14\0\10\03l\0\0\0\0\21\0\20\0\10\0\10\0E\3\10\3\1\0\0\0\0\0H\0\4\0\10\0\23!\10\0\226\4p\0\14\0\10\03l\0\0\0\0\22\0\20\0\0\0$\0E\3\10\1\0\0\0\0\0\0\23\0\4\0\22\7P!\10\0\10\0p\0\14\0\10\03l\0\0\0\0\23\0\10\0\0\0\10\0D\1\10\1\0\0\0\0\0\0p\0\4\0\10\03l\0\0\0\0\24\0\10\0\0\0\10\0D\1\10\1\0\0\0\0\0\0p\0\4\0\10\03l\0\0\0\0\25\0\10\0\0\0\10\0D\1\10\1\0\0\0\0\0\0p\0\4\0\10\03l\0\0\0\0\26\0\14\0\0\0$\0D\2\10\1\0\0\0\0\0\0P!\4\0\16\0p\0\10\0\10\03l\0\0\0\0\27\0\14\0\0\0$\0D\2\10\1\0\0\0\0\0\0P!\4\0\10\0p\0\10\0\10\03l\0\0\0\0\30\0\24\0\20\0$\0D\4\10\1\0\0\0\0\0\0H\0\4\0\10\0H\0\10\0\16\0P!\14\0\10\0p\0\20\0\10\03l\0\0\0\0\31\0\20\0\10\0$\0D\3\10\1\0\0\0\0\0\0H\0\4\0\10\0P!\10\0\10\0p\0", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03380   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\314\303z\330F$\0\200", ) , ) == 0x0
 03381   896   NtReadFile  (192, 0, 0, 0, 9286, 0x0, 0, ... {status=0x0, info=9286},  (192, 0, 0, 0, 9286, 0x0, 0, ... {status=0x0, info=9286}, "|G>"\264\370\330l\217\336"\363\21o\361\341\37\275v\366\217\336\310\206\36\216\2563}\234\245\23yZ\255[\317\351\36\353\22\265K\336y\23\350\247\254\365\372\315\227k\213\312v\11\260o\266\227/\362\16\302/\221\274\276\1[\243\17\366O\332\340WNF\30\315\370\334\4ys\351\245_P;\36\217\360\311'\10\322\242\323K\326\321\36\26L\233Qm9\374=\214iI{\4\361dv\247\363d+\344\353J\21\210T\207\366\3321\343\322\35\301\1\240X\325+\362\253\1\232G\301;k\15\343\361\323EL\33M{\352\342M\323M2]\364\270\15^\2325\277<\342\30\203\326\363\347\17\3022\240GFG \355\241p&\266\25\36X\307\12\33H\34\177\275\\332\332^.}Ws\271\330M\242\356--?\11&\232\266\363\356F\3132\372\206264\370\330l\217\336 (192, 0, 0, 0, 9286, 0x0, 0, ... {status=0x0, info=9286}, "|G>"\264\370\330l\217\336"\363\21o\361\341\37\275v\366\217\336\310\206\36\216\2563}\234\245\23yZ\255[\317\351\36\353\22\265K\336y\23\350\247\254\365\372\315\227k\213\312v\11\260o\266\227/\362\16\302/\221\274\276\1[\243\17\366O\332\340WNF\30\315\370\334\4ys\351\245_P;\36\217\360\311'\10\322\242\323K\326\321\36\26L\233Qm9\374=\214iI{\4\361dv\247\363d+\344\353J\21\210T\207\366\3321\343\322\35\301\1\240X\325+\362\253\1\232G\301;k\15\343\361\323EL\33M{\352\342M\323M2]\364\270\15^\2325\277<\342\30\203\326\363\347\17\3022\240GFG \355\241p&\266\25\36X\307\12\33H\34\177\275\\332\332^.}Ws\271\330M\242\356--?\11&\232\266\363\356F\3132\372\206355\241p&\266\25\36X\307\12\33H\34\177\275\\332\332^.}Ws\271\330M\242\356--?\11&\232\266\363\356F\3132\372\20615\30\360&Mt;z\355\360\26\347\207^\246\367\227\264V\24\315\25\364\347\352\11t\232\346[P\323\350\2774F\6\301\234\335\225S\307u+M\0OD\342\336\206\34z;9\216k\212ODq\316\256I$%\212{k\336D\222\32\332&\2323\341\2764\7|\264U\323g~\205~\256\242\266\200<\0\236\371I\6\5\327\244\370|\305t\306\240\332\351\320\276\212\304\304\213\36a\366\340\332\10}\303\346{\344\330\314v\332:N0\177\227\357\344=G\355\214\322\302\372", ) == 0x0
 03382   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\14\0\10\0p\0\20\0\10\03l\0\0\0\0\4\0\20\0\10\0\10\0F\3\10\5\0\0\1\0\0\0\13\1\4\0\340\15H\0\10\0\10\0p\0\14\0\10\03l\0\0\0\0\3\0\14\0\10\0\10\0d\2\10\1\0\0\0\0\0\0H\4\4\0\10\0p\0\10\0\10\03l\0\0\0\0\4\0\20\0\0\0$\0e\3\10\3\1\0\0\0\0\0\23\1\4\0\360\15P!\10\0\10\0p\0\14\0\10\03l\0\0\0\0\5\0\20\0\10\0\10\0f\3\10\5\0\0\1\0\0\0\13\1\4\0\12\16H\0\10\0\10\0p\0\14\0\10\03l\0\0\0\0\6\0\10\0\0\0\10\0d\1\10\1\0\0\0\0\0\0p\0\4\0\10\03l\0\0\0\0\3\0\24\0\10\0$\0E\4\10\3\1\0\0\0\0\0\23\1\4\0\32\16H\0\10\0\10\0P!\14\0\10\0p\0\20\0\10\03l\0\0\0\0\4\0\20\0\10\0\10\0F\3\10\5\0\0\1\0\0\0\13\1\4\04\16H\0\10\0\10\0p\0\14\0\10\03l\0\0\0\0\3\0\14\0\10\0\10\0d\2\10\1\0\0\0\0\0\0H\4\4\0\10\0p\0\10\0\10\03l\0\0\0\0\4\0\20\0\0\0$\0e\3\10\3\1\0\0\0\0\0\23\1\4\0D\16P!\10\0\10\0p\0\14\0\10\03l\0\0\0\0\5\0\20\0\10\0\10\0f\3\10\5\0\0\1\0\0\0\13\1\4\0^\16H\0\10\0\10\0p\0\14\0\10\03l\0\0\0\0\6\0\10\0\0\0\10\0d\1\10\1\0\0\0\0\0\0p\0\4\0\10\03l\0\0\0\0\3\0 \0\20\0@\0G\7\10\3\2\0\0\0\0\0\13\0\4\0j\16H\0\10\0\10\0H\0\14\0\10\0P!\20\0\10\0P!\24\0\10\0\23!\30\0", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03383   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\2057\374\205\250?\0\200", ) , ) == 0x0
 03384   896   NtReadFile  (192, 0, 0, 0, 16296, 0x0, 0, ... {status=0x0, info=16296},  (192, 0, 0, 0, 16296, 0x0, 0, ... {status=0x0, info=16296}, "J|c\11\210\13{W\276l\235\245(\214\321\361\326E\223\3049%X\215q\211\374\267w\340\311)\30\23u`\205s\4,!\226\214O\35\221\2r\340C\21\210Y\34d\10\220\36R\210\17y\25\277\200\374\375\213l\245\214\224\204(\24t\321\315\225\342%\16^&\344\356\236\212N\337=\23S\24.\223\240z\33*\2518-a\241r\241\264r1\307bEP1&\250\25\364\212\210a\206\304+\232\205\31X~\30Z\3054\223?\356\255\265nxS\352]\350\3444\14\315\12\331x\1\230\264\347\15L\336O\177\12wZ\222\201@k`\252\324\312?,\253\262\306b\247\225\362\16%kW\264\244\2\353\177\244m\224\256\365\257\3502\22\361\266\357\37\34<\255\230/\245~\224\330|\33\3571+"\315L\375\241$\361s\33\31\247\27s\357\376\363\34m\205m\275\366z\253&\256\340A\230\15e\323\331 -Zv\335\261\277{.ri\22%\315\25\11O\330\0\234\314\231n\224\301\342@\6\327'@\201"/\207\361\35i\31'\26}\307\4\276X\200\316{\277O(\267Cd\326\314T\276\230m\261\270\321\14Q{\201c\346\214t\233\240\252\34Pn\267\14\253\327\255O\230\315\350W,\16\274\330\335X\334n]s4\363\201+>;\226\330\21&\62N\367"K\21(\23\2\235}43\230%$\q\302f\262(\245\311\304o\274"\262\231\247\251o\262\30\256]\334\252\260a@.wc\24\365,\2370\1\207\311\337\241TH\3437\354\265\302H\14\342>\261\253\27\221\221\334\313`A:\335\223\206U\325%\367\304\254\36\342@)$$!\34\23\240", ) \315L\375\241$\361s\33\31\247\27s\357\376\363\34m\205m\275\366z\253&\256\340A\230\15e\323\331 -Zv\335\261\277{.ri\22%\315\25\11O\330\0\234\314\231n\224\301\342@\6\327'@\201 (192, 0, 0, 0, 16296, 0x0, 0, ... {status=0x0, info=16296}, "J|c\11\210\13{W\276l\235\245(\214\321\361\326E\223\3049%X\215q\211\374\267w\340\311)\30\23u`\205s\4,!\226\214O\35\221\2r\340C\21\210Y\34d\10\220\36R\210\17y\25\277\200\374\375\213l\245\214\224\204(\24t\321\315\225\342%\16^&\344\356\236\212N\337=\23S\24.\223\240z\33*\2518-a\241r\241\264r1\307bEP1&\250\25\364\212\210a\206\304+\232\205\31X~\30Z\3054\223?\356\255\265nxS\352]\350\3444\14\315\12\331x\1\230\264\347\15L\336O\177\12wZ\222\201@k`\252\324\312?,\253\262\306b\247\225\362\16%kW\264\244\2\353\177\244m\224\256\365\257\3502\22\361\266\357\37\34<\255\230/\245~\224\330|\33\3571+"\315L\375\241$\361s\33\31\247\27s\357\376\363\34m\205m\275\366z\253&\256\340A\230\15e\323\331 -Zv\335\261\277{.ri\22%\315\25\11O\330\0\234\314\231n\224\301\342@\6\327'@\201"/\207\361\35i\31'\26}\307\4\276X\200\316{\277O(\267Cd\326\314T\276\230m\261\270\321\14Q{\201c\346\214t\233\240\252\34Pn\267\14\253\327\255O\230\315\350W,\16\274\330\335X\334n]s4\363\201+>;\226\330\21&\62N\367"K\21(\23\2\235}43\230%$\q\302f\262(\245\311\304o\274"\262\231\247\251o\262\30\256]\334\252\260a@.wc\24\365,\2370\1\207\311\337\241TH\3437\354\265\302H\14\342>\261\253\27\221\221\334\313`A:\335\223\206U\325%\367\304\254\36\342@)$$!\34\23\240", ) K\21(\23\2\235}43\230%$\q\302f\262(\245\311\304o\274341\267|\245\250st\36\324\15\350\323\275jS\24\354\23\276\243\31~\201\366\231\251\317\302\235\343V\350\37{j\360\220\17\272\0\227\233 (192, 0, 0, 0, 16296, 0x0, 0, ... {status=0x0, info=16296}, "J|c\11\210\13{W\276l\235\245(\214\321\361\326E\223\3049%X\215q\211\374\267w\340\311)\30\23u`\205s\4,!\226\214O\35\221\2r\340C\21\210Y\34d\10\220\36R\210\17y\25\277\200\374\375\213l\245\214\224\204(\24t\321\315\225\342%\16^&\344\356\236\212N\337=\23S\24.\223\240z\33*\2518-a\241r\241\264r1\307bEP1&\250\25\364\212\210a\206\304+\232\205\31X~\30Z\3054\223?\356\255\265nxS\352]\350\3444\14\315\12\331x\1\230\264\347\15L\336O\177\12wZ\222\201@k`\252\324\312?,\253\262\306b\247\225\362\16%kW\264\244\2\353\177\244m\224\256\365\257\3502\22\361\266\357\37\34<\255\230/\245~\224\330|\33\3571+"\315L\375\241$\361s\33\31\247\27s\357\376\363\34m\205m\275\366z\253&\256\340A\230\15e\323\331 -Zv\335\261\277{.ri\22%\315\25\11O\330\0\234\314\231n\224\301\342@\6\327'@\201"/\207\361\35i\31'\26}\307\4\276X\200\316{\277O(\267Cd\326\314T\276\230m\261\270\321\14Q{\201c\346\214t\233\240\252\34Pn\267\14\253\327\255O\230\315\350W,\16\274\330\335X\334n]s4\363\201+>;\226\330\21&\62N\367"K\21(\23\2\235}43\230%$\q\302f\262(\245\311\304o\274"\262\231\247\251o\262\30\256]\334\252\260a@.wc\24\365,\2370\1\207\311\337\241TH\3437\354\265\302H\14\342>\261\253\27\221\221\334\313`A:\335\223\206U\325%\367\304\254\36\342@)$$!\34\23\240", ) , ) == 0x0
 03385   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\3W(wwW(w\271W(w\243Q(w\210T#w\332f(w\4g(w:\(w.R(wrg(w\322_(w:\0\5\0\0\0\0\0\205|(w;s(w\346|(w]s(w.u(wxu(w\37}(w\24\0\3\0\25\0\23\0\36\0\10\0\37\0\10\0@\0\7\0A\0\21 B\0\15\0D\0\15\0C\0\15\0E\0\15\0F\0\21 G\0\21 H\0\10\0D\203(w\320\203(w,\227(w\341\203(w\220\204(wm\204(w\335\224(w\201\220(w\213\220(w^\227(w)\212(wu\177(w\337~(wU\177(w7\225(w\303\220(wu\225(wL\215(w\251\177(wP\223(w\370\34b@\177\241\321\21\262\215\0\300O\2718m\177}t}\236\244\321\21\262\216\0\300O\2718mC\0O\0N\0T\0E\0N\0T\0S\0\0\0\0\0\312\227(w\320\203(w{\237(w\253\237(w6\240(w\227\240(w\203\260(w\321\240(w\227\241(w\336\241(w\376\241(w\377\377\377\377\252\265(w\270\265(wO\0L\0E\0P\0R\0O\0P\0S\0T\0G\0_\0%\00\08\0x\0%\00\08\0x\0.\0t\0m\0p\0\0\0\22\267(w\273k w\273k w\273k we\267(w+\232(w\22\266(w\376\266(w\323\310(wp\276(w\335\310(w\265\303(w\321\304(w\260\305(w\275\315(w\347\310(w\361\310(w\373\310(w\0\0\0\0\251\276(wk\273(wz\276(w6\303(wR\304(wM\277(w\5\311(w\220\311(wC\300(w\313\300(w\341\300(wx\301(w\17\302(w\235n\37w", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03386   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ...
 03370  2016   NtUserWaitMessage  ... ) == 0x1
 03387  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x1
 03388  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03389  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 03390  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03391  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03392  2016   NtUserDispatchMessage  ({0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ... ) == 0x0
 03393  2016   NtUserWaitMessage  (...
 03386   896   NtReadFile  ... {status=0x0, info=8},  ... {status=0x0, info=8}, "\372\255 \334\316D\0\200", ) , ) == 0x0
 03394   896   NtReadFile  (192, 0, 0, 0, 17614, 0x0, 0, ... {status=0x0, info=17614},  (192, 0, 0, 0, 17614, 0x0, 0, ... {status=0x0, info=17614}, "\26\2324PS\245\373\366D\262Z\330\257\34&x\272q\34\310a\226\34\214\377|Kt\5\361\352\267}^\261\20\231\21\357\300)[\223\237\261\236k\367\201\356\356U:\217\26A;P\220\336\260k\254\253L\131\231\262F\231\326\232\245$\27\325\322\227k\203}\220\1\23H\376\243\267\306\222\276%\253'\236\6QyYNo{\10\360b\26\3267\363\306\223\25\216K\351\321br\205\300@\2070\215\264\332\374\345\277\247\331\13\3370\265\26$\366\347Rh\306\341\270R\323\27\372\30\221)8\5kF.!\10n\226\13\277\20\11\\332\32]\212\232\26\326\3007$j\223P\263!\201\326t`\342\13\227\373\274O\26\36lL\30\300\311\236`\301\21670La\16 ;v\240\3\241F\210O$\36\2421.\334\14\320%-\35\254\300\346\363"\322\306\3379?iP\256\331<\200\264\327\215.\13\202t\33\2\37\214\31+z\267\240\232\75\14R\355\252`0\312z\210\331\363dV\214|\317P\303\360Si\0*\27\24P\375\257L\345\20\345\36\333\330\273\12\347\346\22\310\371}\322fN\266\15\274b\326\275\317\227K\236\11v+@D'\210\341{h\16H\216\236{6,\371z\267\17"\317\324"\3\15\11\324\6gg\34\337\14OaQ\366WT.>\266\240\235\354\325\260j\235dh\245\6cXP\336kx_Ud\13\33\370\377W\31\235\227P3T\247\232\274-\26\32\200*u\30\212\203\206\335\374\14\357{\325\335cn\332'\15\204\214\304\342\363\267\275:\254\342\212\k\10R\325\362{\362/]3\310\214=YF\263\233\272\236\374\230\\257o\0\20\233w\262\211\241\16\261\202\266\24300\\347\17.*7\15s\14F$N\251\254t\1772zU^\307\21\260\31I\272\375D:H\10", ) \322\306\3379?iP\256\331<\200\264\327\215.\13\202t\33\2\37\214\31+z\267\240\232\75\14R\355\252`0\312z\210\331\363dV\214|\317P\303\360Si\0*\27\24P\375\257L\345\20\345\36\333\330\273\12\347\346\22\310\371}\322fN\266\15\274b\326\275\317\227K\236\11v+@D'\210\341{h\16H\216\236{6,\371z\267\17 (192, 0, 0, 0, 17614, 0x0, 0, ... {status=0x0, info=17614}, "\26\2324PS\245\373\366D\262Z\330\257\34&x\272q\34\310a\226\34\214\377|Kt\5\361\352\267}^\261\20\231\21\357\300)[\223\237\261\236k\367\201\356\356U:\217\26A;P\220\336\260k\254\253L\131\231\262F\231\326\232\245$\27\325\322\227k\203}\220\1\23H\376\243\267\306\222\276%\253'\236\6QyYNo{\10\360b\26\3267\363\306\223\25\216K\351\321br\205\300@\2070\215\264\332\374\345\277\247\331\13\3370\265\26$\366\347Rh\306\341\270R\323\27\372\30\221)8\5kF.!\10n\226\13\277\20\11\\332\32]\212\232\26\326\3007$j\223P\263!\201\326t`\342\13\227\373\274O\26\36lL\30\300\311\236`\301\21670La\16 ;v\240\3\241F\210O$\36\2421.\334\14\320%-\35\254\300\346\363"\322\306\3379?iP\256\331<\200\264\327\215.\13\202t\33\2\37\214\31+z\267\240\232\75\14R\355\252`0\312z\210\331\363dV\214|\317P\303\360Si\0*\27\24P\375\257L\345\20\345\36\333\330\273\12\347\346\22\310\371}\322fN\266\15\274b\326\275\317\227K\236\11v+@D'\210\341{h\16H\216\236{6,\371z\267\17"\317\324"\3\15\11\324\6gg\34\337\14OaQ\366WT.>\266\240\235\354\325\260j\235dh\245\6cXP\336kx_Ud\13\33\370\377W\31\235\227P3T\247\232\274-\26\32\200*u\30\212\203\206\335\374\14\357{\325\335cn\332'\15\204\214\304\342\363\267\275:\254\342\212\k\10R\325\362{\362/]3\310\214=YF\263\233\272\236\374\230\\257o\0\20\233w\262\211\241\16\261\202\266\24300\\347\17.*7\15s\14F$N\251\254t\1772zU^\307\21\260\31I\272\375D:H\10", ) \3\15\11\324\6gg\34\337\14OaQ\366WT.>\266\240\235\354\325\260j\235dh\245\6cXP\336kx_Ud\13\33\370\377W\31\235\227P3T\247\232\274-\26\32\200*u\30\212\203\206\335\374\14\357{\325\335cn\332'\15\204\214\304\342\363\267\275:\254\342\212\k\10R\325\362{\362/]3\310\214=YF\263\233\272\236\374\230\\257o\0\20\233w\262\211\241\16\261\202\266\24300\\347\17.*7\15s\14F$N\251\254t\1772zU^\307\21\260\31I\272\375D:H\10", ) == 0x0
 03395   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "E\364\350\367C\12\0\17\267\210\302\4\0\0\213G\24@3\322\350\363M\14\0\205\366\211E\310\211U\314vZ\213M\360\350\323C\12\0\213\310\350\314C\12\0\213\0\213\10\215U\324R\213\326+U\350R\377u\364\377u\314\377u\310P\377Q\20=\12\0\0\200\211E\370u\7\307E\370\4\2\3\200\203}\370\0|C\213E\324\205\300t5\1E\350\1E\364\1E\310\203U\314\09u\350r\246\205\333\213\307v\16\203`\30\376\213\310\350pC\12\0Ku\362\213u\3209u\354t\163\333\351+\376\377\377\307E\370\35\0\3\200\203}\374\0t\11\377u\374\350:\324\377\377Y\213E\370_^[\311\303U\213\354\203\354\24\203e\364\0\203e\374\0SV\213\361\213^, 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03396   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\36\34\177(:B\0\200", ) , ) == 0x0
 03397   896   NtReadFile  (192, 0, 0, 0, 16954, 0x0, 0, ... {status=0x0, info=16954},  (192, 0, 0, 0, 16954, 0x0, 0, ... {status=0x0, info=16954}, "g2/(m-\315q\16hyX\223\354\375\316\34cv\276\361\213'J?\373\267\256OX\222\302IKS\300\33\343Gz\273\205\24h><\273\320\275wr\333\215\301\265\366TSd\241\26ir~C\360\2\366u/\231E\315SE\324I\203w\340\233\253\253\266[\201\340\374Mv\337k\352\237\357\13\271\32\222\357\375\251q\363\367\224c\344\243\201\177\275\375\321B\2\247J,l}X\313\272y\2677\314M\330\254e\36\240\7\6\377\250\260\331\10\224\251\274\37\201\213f\202-;\27\227\0\362*\306\320\275S\30o7t\262\230\\201\325L\372\361\260[\376\240\256\346$A\322\275\0\240\317\25,,& \222O\372\240S\223\317\21\227\302\2674\256\23\30\302\79\271\331&\263\1h\372rx\34\265\303yL7\322\372ScC\11"\277a4\216\304\337\260\204\340\201\342C\234\221L\271\234\373\343\27\5\10\363\14\306*\336\354\373\235\202\30z\315M\254:x\340\301\26\10\300 \254\272\377px\22\270\270\242\341\346\245\251\337\353\10\267l\1\334\323\222\200\357\330\211G\270F\350u\200\356\221\237H\7Bdt\207\230\336\271\314A\350\1\352\201\352\240\30\330[\361\333\203\27\3\21\321\340\353\252-\7\234:\257\367\5!\221\260\343\307r\203\33\26Z%\310\6\351\31\341\332\307\20(\230\24qs^\330\306\321\277\221N\3041\354\304L/\307\371$Y\12\35l1>\346K\177U\33N\27Y\376\35\246\357\305Ayu\36\26\1\273y-W\370\371\267\303\311\305$\32O\301\0\203\273\252\252o%b\233\270\177K\377b8v\210!\351\7\306d\330\360\202\0;T", ) X\313\272y\2677\314M\330\254e\36\240\7\6\377\250\260\331\10\224\251\274\37\201\213f\202-;\27\227\0\362*\306\320\275S\30o7t\262\230\\201\325L\372\361\260[\376\240\256\346$A\322\275\0\240\317\25,,& \222O\372\240S\223\317\21\227\302\2674\256\23\30\302\79\271\331&\263\1h\372rx\34\265\303yL7\322\372ScC\11 (192, 0, 0, 0, 16954, 0x0, 0, ... {status=0x0, info=16954}, "g2/(m-\315q\16hyX\223\354\375\316\34cv\276\361\213'J?\373\267\256OX\222\302IKS\300\33\343Gz\273\205\24h><\273\320\275wr\333\215\301\265\366TSd\241\26ir~C\360\2\366u/\231E\315SE\324I\203w\340\233\253\253\266[\201\340\374Mv\337k\352\237\357\13\271\32\222\357\375\251q\363\367\224c\344\243\201\177\275\375\321B\2\247J,l}X\313\272y\2677\314M\330\254e\36\240\7\6\377\250\260\331\10\224\251\274\37\201\213f\202-;\27\227\0\362*\306\320\275S\30o7t\262\230\\201\325L\372\361\260[\376\240\256\346$A\322\275\0\240\317\25,,& \222O\372\240S\223\317\21\227\302\2674\256\23\30\302\79\271\331&\263\1h\372rx\34\265\303yL7\322\372ScC\11"\277a4\216\304\337\260\204\340\201\342C\234\221L\271\234\373\343\27\5\10\363\14\306*\336\354\373\235\202\30z\315M\254:x\340\301\26\10\300 \254\272\377px\22\270\270\242\341\346\245\251\337\353\10\267l\1\334\323\222\200\357\330\211G\270F\350u\200\356\221\237H\7Bdt\207\230\336\271\314A\350\1\352\201\352\240\30\330[\361\333\203\27\3\21\321\340\353\252-\7\234:\257\367\5!\221\260\343\307r\203\33\26Z%\310\6\351\31\341\332\307\20(\230\24qs^\330\306\321\277\221N\3041\354\304L/\307\371$Y\12\35l1>\346K\177U\33N\27Y\376\35\246\357\305Ayu\36\26\1\273y-W\370\371\267\303\311\305$\32O\301\0\203\273\252\252o%b\233\270\177K\377b8v\210!\351\7\306d\330\360\202\0;T", ) , ) == 0x0
 03398   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\0\0\0WW\350\364\334\0\0\213FX\301\350\2\203\340\1\211E\10t\21\215E\10PW\377vx\350\207\242\0\0\203fX\373\213vh\213\6V\377P\303\333\353\16\213FX\250\20t\4\250\10t\33\333C\213M\374\350?\376\10\0_\213\303[^\311\302\4\0\213A\4$\12\366\330\33\300@\303U\213\354\201\354\24\1\0\0\203e\374\0W\215\215\354\376\377\377\350J\322\377\377\377u\10\350nN\377\377\205\300u\12\277W\0\7\200\351\201\1\0\0h\220\201\34w\377u\10\215\215\354\376\377\377\350\200\1\0\0\213\370\205\377\17\214Y\1\0\0SV\213u\14j\34V\215\215\354\376\377\377\350;\270\0\0\213\370\205\377\17\214:\1\0\0\215F\34P\215F4P\215\205\354\376\377\377P\350\236\270\0\0\213\370\205\377\17\214\34\1\0\0j\1\215^(S\215F$P\215\205\354\376\377\377P\350\362\266\0\0\213\370\205\377\17\214\374\0\0\0j\4\215E\374P\215\215\354\376\377\377\350\342\267\0\0\205\300}\4\203e\374\0\203}\374(\17\207\327\0\0\0\203}\374\0\17\204\315\0\0\0\377u\374\350\221=\377\377\205\300\211F8u\12\277\16\0\7\200\351\266\0\0\0\377u\374\215\215\354\376\377\377P\350\236\267\0\0\205\300}\25\377v8\203f \0\350qS\377\377\203f8\0\351\214\0\0\0\213E\374\211F j\4\215E\370P\215\215\354\376\377\377\350n\267\0\0\205\300|q\201}\370\3649\262quh\215F,P\215\205\354\376\377\377P\350<\211\11\0\213\370\205\377|Tj\0\215E\14P\215E\10P\215\205\354\376\377\377P\350*\266\0\0\213\370\205\377|8\213E\10\205\300t\10\211F$\213E\14\211\3\215^0S\215\205\354\376\377\377P\350\373\210\11\0\213\370\205\377|\23\213\33\205\333", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03399   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\226:n\307\270?\0\200", ) , ) == 0x0
 03400   896   NtReadFile  (192, 0, 0, 0, 16312, 0x0, 0, ... {status=0x0, info=16312},  (192, 0, 0, 0, 16312, 0x0, 0, ... {status=0x0, info=16312}, "\271\343\7\211C\243\34H\360\200\346\23\342W\24\34\3621\301VV\27\337DZ\21\251\244\307\216\224\200\315\312X\362\220:\272\372S\375\300\226\4\300\301\2|z\13e\234\234O8\6\375\327\243F@\336J\342*\234MR8\6u\246\364\200\311\320\12BhUn\16\277\245\235=\2031\256\25\213$50\216d\305\314S\377)\225\264v\11Q&3\242u\270\216\231\227D!\32\252i\227\3111l\224PiS\25\221d\307*d\307\375\5\370\21\36\307\224\355BB\300\254=\3\335|\271\317\240m?\341\10\257}V\370\33\266\26\312\341\222\7?\262Y\275\301.\234\34\302lM\303\\260m\255\5'\341\272\1\17_\237\365\246\260\325\257\334\5>4\305\316\240\313\pW\200\307\250e\223>\347\202x\245\374\226\277;\260U\301#)\220E\314\254\323\350\354&e\354\311\360\0%\213c\3651\314B\250\10\311\12AG\377"<\13\312\327\254\2010\342\240i\373\246\330\237\245@(V\357\346B\231(\362\261^\350\216\211+\310J\372D\16O\5i\221\253\276>^\221l\262\362\305o\233r\31D5\206\301\301$\4\14!3\342\366\37\277\317\365\235\177\305\320\374\372\257wqMs&|U\271-$\314;\305\265@\241\242\261u\277\255\337\34\356>q\242Y\260\215z \272\2\177\307\\237\24\108\242+W\322o\355r\333\261I\357*\267,\177\267\235jX\354K5\226\242\32`\344\216ti\252\266\306\14m4\10`\247\0\332\202F\316\230\7\31\20\242\234", ) <\13\312\327\254\2010\342\240i\373\246\330\237\245@(V\357\346B\231(\362\261^\350\216\211+\310J\372D\16O\5i\221\253\276>^\221l\262\362\305o\233r\31D5\206\301\301$\4\14!3\342\366\37\277\317\365\235\177\305\320\374\372\257wqMs&|U\271-$\314;\305\265@\241\242\261u\277\255\337\34\356>q\242Y\260\215z \272\2\177\307\\237\24\108\242+W\322o\355r\333\261I\357*\267,\177\267\235jX\354K5\226\242\32`\344\216ti\252\266\306\14m4\10`\247\0\332\202F\316\230\7\31\20\242\234", ) == 0x0
 03401   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\210\0\0\0\213M\364\3}\360\213u\20\213\301\301\351\2\363\245\213\310\203\341\3\363\244\215C\10\213\10P\377Q\24\205\300_t\36\213M\370\350D\260\377\377\205\300t\22\377u\20\213[,\377u\14\213\3S\377P\24\211E\374\213M\370\350<~\10\0\213E\374^[\311\302\14\0U\213\354\203\354\14\377u\14\350\211\316\376\377\205\300u\12\270W\0\7\200\351\24\1\0\0SV\213u\203\333;\363\211]\370t"\350\300I\5\0\205\300t\27j\4V\377\25P\24\33w\205\300t\12\270W\0\7\200\351\344\0\0\0\211\36\213u\10W\213\376\367\337\215F\4\33\377#\370\213\317\211}\374\350a\353\7\09^\14t\14\307E\370\377\1\4\200\351\255\0\0\0\203e\10\0\213~\24\203\313\377\203~\30\0~O\213\7\205\300\211E\364t&P\350\2\316\376\377\205\300u\4!\7\353\35\377u\364\350<&\1\0\205\300u\14\213E\364\213\10P\377Q\10\203'\0\203?\0u\10\203\373\377u\3\213]\10\203\307\4\377E\10\213E\10;F\30|\266\203\373\377u2\213F\30\215\4\205\24\0\0\0P\377v\24\350\37p\377\377\213\310\205\311tF\213V\303\300\215<\221\253\253\253\253\253\213^\30\215C\5\211N\24\211F\30\213}\14\213\7W\377P\4\213F\24\211<\230\213E\20\205\300t\3C\211\30\213}\374\213\317\350\265\352\7\0\213E\370_^[\311\302\14\0\307E\370\16\0\7\200\353\343V\213\361W3\377\215F\10\307F\4\0\200\34w\211~\10\211~\14\211~\20P\307\6(\200\34w\307F\4$\200\34w\377\25h\24\33w\211~\30\211~\24_\213\306^\303V\213t$\10\205\366tG\350\201H\5\0\205\300t\15j\4V\377\25L\24\33w\205\300u1j\34j\0\3775\24\370", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \350\300I\5\0\205\300t\27j\4V\377\25P\24\33w\205\300t\12\270W\0\7\200\351\344\0\0\0\211\36\213u\10W\213\376\367\337\215F\4\33\377#\370\213\317\211}\374\350a\353\7\09^\14t\14\307E\370\377\1\4\200\351\255\0\0\0\203e\10\0\213~\24\203\313\377\203~\30\0~O\213\7\205\300\211E\364t&P\350\2\316\376\377\205\300u\4!\7\353\35\377u\364\350<&\1\0\205\300u\14\213E\364\213\10P\377Q\10\203'\0\203?\0u\10\203\373\377u\3\213]\10\203\307\4\377E\10\213E\10;F\30|\266\203\373\377u2\213F\30\215\4\205\24\0\0\0P\377v\24\350\37p\377\377\213\310\205\311tF\213V\303\300\215<\221\253\253\253\253\253\213^\30\215C\5\211N\24\211F\30\213}\14\213\7W\377P\4\213F\24\211<\230\213E\20\205\300t\3C\211\30\213}\374\213\317\350\265\352\7\0\213E\370_^[\311\302\14\0\307E\370\16\0\7\200\353\343V\213\361W3\377\215F\10\307F\4\0\200\34w\211~\10\211~\14\211~\20P\307\6(\200\34w\307F\4$\200\34w\377\25h\24\33w\211~\30\211~\24_\213\306^\303V\213t$\10\205\366tG\350\201H\5\0\205\300t\15j\4V\377\25L\24\33w\205\300u1j\34j\0\3775\24\370", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03402   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "l\354\3628$@\0\200", ) , ) == 0x0
 03403   896   NtReadFile  (192, 0, 0, 0, 16420, 0x0, 0, ... {status=0x0, info=16420},  (192, 0, 0, 0, 16420, 0x0, 0, ... {status=0x0, info=16420}, ">\24\212:\225\217\360\6\331\214\302\270\241\363%|\2718\220H[\216\321n\352#\230\2335\361\36\17!\263ob\4\260\250eU\276vl\2`\6\301*^\11\2646\346\261[AUQ\254\3534\333\271\370Q\200C&W}\300\17m\257%\246\236kn\205;6\5\352LIP\237\262\220qq\355\13\2\23z1\276D\221=f\343\32\2421\177tO\214/{\217\344\334\232\10K\212\203w\30Aq\236\203\255Y\234@^\362\350z\240\316\224#\337\335\366S\317\200\246\36(\217\347\360S\215Q\271CM\341n\246\241\261\366FM1S\11\340f\222j\320\306mf\210\235$q\233\263\262fn\277p&\6Q\315\31\237\242\335\365\236\3:\34\366S'H\334\21\301\14\15\334\221\257\274\337\331N\370\375\275s\230\256\266\371\265\334\20\252rL\324i\24\322r\253Z\342\254@M\360\246U\2062\341\255\207\26\235\364c.E\2727\317l\351\272\324\336\270d\217S\361\3153\2754\304{P\230\242\202Vr\7\315\315\260\252Nd\303\223*\212\212\254\301\231\25\270\242\246\236\276\377\\30\0\331)\266=\2205\21\214\250\375\206\227\336/7\357\26g\353U\211@\311*\252\261\34U*}\7J)FT_\37\7\203r\243\367\240L\3111\242\332\36TI#FH\233\253|dB)2\237l\356\333}\265\230\14&VP\23U\11\224\30\245 \350\275<\5\27\307xexm\252x\23\241\364E\367%l\16q]+\244<%Yi\3064\2014\341\5\347B\347s\257\327\3143,\321hH2\2@j\244#\326\340\211\220D\356\377\32\364\15>?\343\239\220]\223\340N\206\254y\330T\270\215\327\201%\7\354\23\357\34\212\26R*\7\223\303\330?7\2016\1\205\26#.\225K\323\178\273j\335\255\206", ) , ) == 0x0
 03404   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\20t\22PV\213\313\211\7\211G\10\350a\231\7\0\205\300u\7\270\7\0\4\200\353\27WV\213\310\350\203\272\7\0\353\14\270k\0\4\200\353\5\270W\0\7\200_^[\302\14\0U\213\354QQV\276<\330*wW\213\3163\377\350\221>\376\3779=\20\330*wuQ\213\316\350k\217\1\0\215E\370Pj\12\3775\374\327*w\350#\313\12\0\213\370W\350\272\322\2\0\205\300u\343W\350\314\322\2\0\213\316\213\370\350V>\376\377\205\377|B\213E\370\243\30\330*w\213E\374\307\5\20\330*w\12\0\0\0\243\34\330*w\213\15\30\330*w\213E\10\211\10\213\15\34\330*w\211H\4\203\5\30\330*w\1\203\25\34\330*w\0\377\15\20\330*w\213\316\350\362\216\1\0\213\307_^\311\302\4\0U\213\354QSV\213u\10W3\333S\215E\374PV\211]\374\350^<\3\0\205\300t!\213E\374;\303t\23\215\210\250\0\0\0\213\21\211V(\213I\4\211N,\353?\277\375\1\4\200\353Y\366F\30\200u\159\35\250\331*w\277\1@\0\0t\5\277\3@\0\0\215E\374Ph|\240\34w\350\314\232\1\0PSWS\350\356(\3\0\213\370;\373|$\213E\374\203\210\230\0\0\0\10\377u\14\213M\374V\203\301\4\350\24q\377\377\213\370\213E\374\213\10P\377Q\10\213\307_^[\311\302\10\0U\213\354Q\213M\14\203e\374\0\205\311SVW\215A\377~8\213]\10;C\30}0\201\371\377\377\377\177\177(\213\360\213C\24\301\346\2\213<\6\205\377t\31W\3506M\376\377\205\300t\17\213C\24\203$\6\0\213\7W\377P\10\353\7\307E\374\4\0\4\200\213E\374_^[\311\302\10\0U\213\354\203}\20\0SVW\17\204\30\1\0\0\350j\310\4\0\205\300", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03405   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\227\222\11~\266<\0\200", ) , ) == 0x0
 03406   896   NtReadFile  (192, 0, 0, 0, 15542, 0x0, 0, ... {status=0x0, info=15542},  (192, 0, 0, 0, 15542, 0x0, 0, ... {status=0x0, info=15542}, "\241\11\250\246K\235\311\20\221\\227\321t\211\275=\344q|\203\333hb\6(\311\F \215\362;J\332\343\202\334\374V#,\211]\372\236j\223x_\261\263\14\305\236HJ\306\321G,A\236\233\2-0\14\361^"\217\214\334\11\35J\30328m\203\227\337\360t=\3438q\333\256\242XX\327k\4\177\3\356\211\206\37\10\27\2735\272O\266a\371^UP\4 \376\233\216`~H\316\246\320o\261\237\373\360|\370\2167\252\2546\35\233+\317\365\354y\336d\215\232M8o\327_s\240\362\300.\240\203\17\17\337\31\371{\37>\362q7\3029b\362Ds\372\347]\231;?.9\341\265\306\216\211!\272\310 j\3071\217E5?\214\352\33a)\326\11\22\247\243\304s\372\305\317H^\15\214\333IYPzD\223\374N\234a\12\31^\33U/\305\266\356Kk\347\35y\377\315(\340\34\303B\377n}\326\360^\265ps\35yq\311\274\365xR`*t\5A\0\257\12\233\236UO\302i\216\177m;\257\365\236\311\255\2213\375\342\336\37{\232,\300\336D\21\23\326{ 4\33\353o\210\305\376xO_\26\361\245)\234i/2V/~\365\204a\202\32\16\343\225g\307-\263\271\240~\264u\204\32\256\302\233\314\303KR\2236\370&R\177\303\20<\356B\256\340T#\306\230Dd\354|\257-9\11=\11\377h\16\225)\14\201\267\317\316\214~\210\274\344A\6w\5a\316\7%\231:r\26 \372rs\10\311r\370C6Q\267~^e]\317if\326\235\27\362\242q5f^}Ww\10\214\371p\230\372\11\302\250\343V!\13>\254\13\16\350*v2,\260\272\320\226dW\266\241\2470\252\335B\203\10\252\3741#\340~q\10", ) \217\214\334\11\35J\30328m\203\227\337\360t=\3438q\333\256\242XX\327k\4\177\3\356\211\206\37\10\27\2735\272O\266a\371^UP\4 \376\233\216`~H\316\246\320o\261\237\373\360|\370\2167\252\2546\35\233+\317\365\354y\336d304\240\2127\261\276\275\301*>\215\232M8o\327_s\240\362\300.\240\203\17\17\337\31\371{\37>\362q7\3029b\362Ds\372\347]\231;?.9\341\265\306\216\211!\272\310 j\3071\217E5?\214\352\33a)\326\11\22\247\243\304s\372\305\317H^\15\214\333IYPzD\223\374N\234a\12\31^\33U/\305\266\356Kk\347\35y\377\315(\340\34\303B\377n}\326\360^\265ps\35yq\311\274\365xR`*t\5A\0\257\12\233\236UO\302i\216\177m;\257\365\236\311\255\2213\375\342\336\37{\232,\300\336D\21\23\326{ 4\33\353o\210\305\376xO_\26\361\245)\234i/2V/~\365\204a\202\32\16\343\225g\307-\263\271\240~\264u\204\32\256\302\233\314\303KR\2236\370&R\177\303\20<\356B\256\340T#\306\230Dd\354|\257-9\11=\11\377h\16\225)\14\201\267\317\316\214~\210\274\344A\6w\5a\316\7%\231:r\26 \372rs\10\311r\370C6Q\267~^e]\317if\326\235\27\362\242q5f^}Ww\10\214\371p\230\372\11\302\250\343V!\13>\254\13\16\350*v2,\260\272\320\226dW\266\241\2470\252\335B\203\10\252\3741#\340~q\10", ) == 0x0
 03407   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\0\0j\2[\203~\10\4u\35f\203>\0u\14f\307\6\3\0\307F\20 \0\0\03\300f\203>\3\17\224\300\213\370\213M \205\311\17\204\252\0\0\0\205\377t\3\203\313\6\366\303\2tn\213E\10\205\300tg\203e\344\0\203e\354\0\366\303\1t\15\213\1\215U\344RVQ\377P\14\353A\205\377t\20\215M\344QV\377u\14P\350\1\33\10\0\353\13\213\10\215U\344RVP\377Q\14\205\300\211E\20\17\205\6\1\0\0\213E \213\10\215U\344RVP\377Q\14\215E\344P\350\256\203\376\377\366\303\4\17\205\256\0\0\0\203\343\375\213E\360\213\10\215U\370R\377u SVP\377Q$\205\300\211E\20\17\205\306\0\0\09E$\17\204\205\0\0\0\213E\370\213M(\211\1\353{\205\377t\33\333C\213E\374\213\10\215U\370RSVP\377Q\14\205\300\211E\20}\22\203}\370\0\17\204\214\0\0\0\205\377\17\204\204\0\0\0\213E,\203e\20\0\205\300t\6\307\0\1\0\0\0\205\377t7\215E\344PV\377u\14\377u\10\350B\32\10\0\205\300\211E\20u \213E\374\213\10j\1\215U\344RVP\377Q\34\205\300\211E\20t\11\215E\344P\350\367\202\376\377\377E\364\213E\364\203E(\4\203\306\243\377;E\24\17\202\\376\377\3779}\20u\359} u\309}\10t\23\213E\374\377u\10\213\10P\377Q\30\211E\20\353\23\377\213E\360;\307[t\6\213\10P\377Q\10\213E\374;\307t\6\213\10P\377Q\10\213E\20\353\23\300_^\311\302(\0j(h`\203\34w\350\356K\12\0\276\5@\0\2003\300\215}\334\253\253\2533\377G\211}\334\17\267\5\354\346*w\213]\14;\330u\21\215E\334P\377u\20\350\344\25\0\0\351", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03408   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "H0\24\362\3626\0\200", ) , ) == 0x0
 03409   896   NtReadFile  (192, 0, 0, 0, 14066, 0x0, 0, ... {status=0x0, info=14066},  (192, 0, 0, 0, 14066, 0x0, 0, ... {status=0x0, info=14066}, "\365\376\341\3616\5\202\320\274\325\361\371\326W\314\346\317\342d\274\26}\11\332\363\270N\254W\311\216\263z\3\376\376\216\273v\0\205\331p\25\204\36=\217\325\0\216\212\37\313\20bN@[\0v\3424\260\3750\353\31aR\220\304\224\263!T\205\36\253\4\235\313S\372\227K\353\3364\4\23\326\374\22\37\303{(\323\333\351\333\236Q:\35W\212x\256K\271\253\326\27!\273\230\220\36K\267r\327r\276\313\202\236Bu\12\5\2g\211F\271\341\316J}\243\350\361\17Y\253\330h\340w\213\273\374%@j\17\272&\342\5\300\220w\261&i]k\315\353\227d\377\270.\220\12\264\1\24\4\13\223-\312\314\362\235\364D)Z\273[\247\27\360fG-\1\256\313\333Vi\211\255TKwA\325+\325.QiA\267\5\341\244\377U\207E\2u\235l\212\271\220\214`C\20\330\277\256\243tx\177\331}q\313v\252U\326\223L\223\326\351\365\355\365\2615B\331@#\377?\276\1\377\17#\7\237\352L\36/*\2\312v\7\342G]\3457Z%\306\207\5p(K\256\206\230P\345\377j*DD\322\367[\212\345\343\g\225\250E\212\315\r\232\301-\212\352\351\351\12\241\364\13x2\325\209p\3724\347\200Zd\263\217\247\201p\343\37L\302\236\16\301\302\177\10fF6\1m\31\302F\354\233]\377\12(\316?m\25\300ro\264\252\260'\\202\252\5\177\344\330\346f0f=\253]i\227a=\314*A\237!\14\366\334&Z\15\346>[\344\252\303n\356\371\264\201}\3\21\351\14\32227\247J\263\256\12\347\312:[AWJ9\270\334\27;[Lm2n\230\233|\321'\366\205\20\242\372'\306z_z`#K\13(\22\3677W\237\217i\335\303\316e\342B\235\254\360RiE\206\316", ) , ) == 0x0
 03410   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\300\363\247u\5\215K\10\353\274j\4Y\277l\236\34w\213\3623\300\363\247u\15\213E\10\213M\20\211\1\351\254\0\0\0\213u\20\203&\03\3009\6t\13\213\3S\377P\4\351\225\0\0\09\203\314\0\0\0\211E\10v,\215\273\244\0\0\0\213\7\205\300t\17\213\10VRP\377Q \205\300tr\213U\14\377E\10\213E\10\203\307\4;\203\314\0\0\0r\332\203{ \0t-\215E\20PR\213\313\350Y\367\377\377\205\300u\23\213E\20\213\10V\377u\14P\377Q \205\300u\11\3535=\5@\0\200u7\213U\14\213\3j\0j\1\215M\20QR\213\313\377P<\205\300u\33\377u\20\213\313\350r\341\377\377\213E\20\213\10V\377u\14P\377Q 3\300\353\10\270\2@\0\200\203&\0_^[]\302\14\0U\213\354V\213u\14Wj\4X\213\310\277\\236\34w3\322\363\247u\14\213E\10\213M\20\211\13\300\353u\213u\143\322\213U\10\213\310\277T\327\33w\363\247Stg\213u\14\213\310\277\364\337\33w3\333\363\247tW\213u\14\213\310\2770\244\34w3\333\363\247tG\213u\14\213\310\277\344\337\33w3\333\363\247u\10\215\202\254\1\0\0\3535\213u\14\213\310\277\24\340\33w3\300\363\247u\10\215\202\250\1\0\0\353\35\213E\20\203 \0P\377u\14R\350\377\375\377\377[_^]\302\14\0\215\202\244\1\0\0\213\312\367\331\33\311#\310\205\311\213E\20\211\10t\330\213\2R\377P\43\300\353\330U\213\354S\213]\14\205\333V\213u\10t1\213F$\205\300t*\366\303\4t\3\203\313\20\203~\20\0u\3\211^\20\213\10\215U\14RSP\377Q\34\205\300|\12\213E\14\15\4\0\0\200#\330\215\216T\376\377\377\350\264\374\377\377\211X$", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03411   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\267\311\344\1\3609\0\200", ) , ) == 0x0
 03412   896   NtReadFile  (192, 0, 0, 0, 14832, 0x0, 0, ... {status=0x0, info=14832},  (192, 0, 0, 0, 14832, 0x0, 0, ... {status=0x0, info=14832}, "3q\372\5mG\332\205\311\275!\361d_\10\345\13\264T\3320\4\312\375\6\321\247\25\371\301\323\3767\211\355\207(\24\372\345\347\215[\303Z\245\305B\276\334I\210\211\146M\340r\245\226l\13\232 \352\271\352x\273\201\256x\11\275\17\260\326!q\27n\L\201c+\375\214\17(\34\346\267\250\211\362\332\205v\342\342Pe\256\351\2^\377-\212\30\0\265\254\34i\372]E\312\257{\277\202A3\3648\333;|\352\\302\3056C\206\36\204\253M\252\326q\26{S\22\360\15gjR\363\35%\312\362[\375x\233,\335\347\35k"\223\342\36l\336\221az6\324\3\231\32m\3j\362\277\203\317\34\200j\264\261{a\265\264\231'\270\270dzV<\307\376r\237&\324=d\7\3578\363\225\123\231\1\254\252\274\2125\220/\7\263&\376[\356\260\34\224\3737\364mlH\33\222\277\\324\324\210\307\13\224D\225\237\14~\211\321\201\232'y\207\330mKB5\256r\344\240\14G\227+\233\11\32(\30\320\352x\241\35tc\327\\11\311\240`4\3444\211\34\353\221\344\360\26\31\354\312\215\221\357\2617[\336\301o\201{|\346\215\304\231\212\231^\322\200\372\277\322\325\346\354\312\214\245\235\213\300\270\306\3\307\203o\314F}mV$\357\315_>\325q\261\337\341.::\240\15\300\16\343\203\246\213t\352\352\3\367D\311@\11\355\317;\366\34\0\313\25\227\365r\3315\372\344Y}\325\256\236\323w\211T5\272\223[\241\37=\23\345\1\256l\332;R\312\15?\200\325,\241+\376\370\15pKy\22\360\21+\213\255\0\226\373\242\347\14\234,c\221q\324\263i@|\262\346\4\205\31\245\253A^O\34X\207\276\355J\23\26\346\1\321\320}\334\232w\314\227\304\376.\200j\204r\355\240N", ) \223\342\36l\336\221az6\324\3\231\32m\3j\362\277\203\317\34\200j\264\261{a\265\264\231'\270\270dzV<\307\376r\237&\324=d\7\3578\363\225\123\231\1\254\252\274\2125\220/\7\263&\376[\356\260\34\224\3737\364mlH\33\222\277\\324\324\210\307\13\224D\225\237\14~\211\321\201\232'y\207\330mKB5\256r\344\240\14G\227+\233\11\32(\30\320\352x\241\35tc\327\\11\311\240`4\3444\211\34\353\221\344\360\26\31\354\312\215\221\357\2617[\336\301o\201{|\346\215\304\231\212\231^\322\200\372\277\322\325\346\354\312\214\245\235\213\300\270\306\3\307\203o\314F}mV$\357\315_>\325q\261\337\341.::\240\15\300\16\343\203\246\213t\352\352\3\367D\311@\11\355\317;\366\34\0\313\25\227\365r\3315\372\344Y}\325\256\236\323w\211T5\272\223[\241\37=\23\345\1\256l\332;R\312\15?\200\325,\241+\376\370\15pKy\22\360\21+\213\255\0\226\373\242\347\14\234,c\221q\324\263i@|\262\346\4\205\31\245\253A^O\34X\207\276\355J\23\26\346\1\321\320}\334\232w\314\227\304\376.\200j\204r\355\240N", ) == 0x0
 03413   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\0j\14h\300(\33w\350\247M\11\03\300\211E\374\213]\20\211\3\211E\344j\4Y\277\264\332\33w\213E\14\213\3603\322\363\247u\20\213u\10\213\6V\377P\4\203\306\24\2113\353Hj\4Y\277d\330\33w\213\3603\322\363\247t\20j\4Y\277\254\235\34w\213\3603\322\363\247u\13\213u\10\213\6V\377P\4\353\321SP\377u\10\350\276\7\375\377\211E\344\353\163\300@\303\213e\350\307E\344W\0\7\200\203M\374\377\213E\344\350\M\11\0\302\14\0j\14h\320(\33w\350\24M\11\03\300\211E\374\276\254\235\34w\213}\14\245\245\245\245\211E\344\353\143\300@\303\213e\350\270W\0\7\200\203M\374\377\350"M\11\0\302\10\0j\24h\340(\33w\350\332L\11\0\203e\374\0\213E\14\213\10\215U\344Rj\4\215U\340RP\377Q\14\211E\334\205\300|,\203}\344\4u\17\213E\10\213M\340\211H\30\203e\334\0\353\27\307E\334\36\0\3\200\353\163\300@\303\213e\350\307E\334W\0\7\200\203M\374\377\213E\334\350\275L\11\0\302\10\0j\14h\360(\33w\350uL\11\0\203e\374\0\213E\14\213\10j\0j\4\213U\10\203\302\30RP\377Q\20\211E\344\353\143\300@\303\213e\350\270W\0\7\200\203M\374\377\350|L\11\0\302\14\0j\14h\0)\33w\3504L\11\0\203e\374\0\213E\14\203`\4\0\307\0\24\0\0\03\300\211E\344\353\143\300@\303\213e\350\270W\0\7\200\203M\374\377\350@L\11\0\302\10\0j\14h\20)\33w\350\370K\11\0\203e\374\0\213]\30\203#\0j\4Y\277\264\332\33w\213u\243\300\363\247u1\213u\10\215F$\307\0 \0\0\0\213M\14\213\21PQ\377R\34\211E\344\205\300|+", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) M\11\0\302\10\0j\24h\340(\33w\350\332L\11\0\203e\374\0\213E\14\213\10\215U\344Rj\4\215U\340RP\377Q\14\211E\334\205\300|,\203}\344\4u\17\213E\10\213M\340\211H\30\203e\334\0\353\27\307E\334\36\0\3\200\353\163\300@\303\213e\350\307E\334W\0\7\200\203M\374\377\213E\334\350\275L\11\0\302\10\0j\14h\360(\33w\350uL\11\0\203e\374\0\213E\14\213\10j\0j\4\213U\10\203\302\30RP\377Q\20\211E\344\353\143\300@\303\213e\350\270W\0\7\200\203M\374\377\350|L\11\0\302\14\0j\14h\0)\33w\3504L\11\0\203e\374\0\213E\14\203`\4\0\307\0\24\0\0\03\300\211E\344\353\143\300@\303\213e\350\270W\0\7\200\203M\374\377\350@L\11\0\302\10\0j\14h\20)\33w\350\370K\11\0\203e\374\0\213]\30\203#\0j\4Y\277\264\332\33w\213u\243\300\363\247u1\213u\10\215F$\307\0 \0\0\0\213M\14\213\21PQ\377R\34\211E\344\205\300|+", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03414   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "'G\257\0\232B\0\200", ) , ) == 0x0
 03415   896   NtReadFile  (192, 0, 0, 0, 17050, 0x0, 0, ... {status=0x0, info=17050},  (192, 0, 0, 0, 17050, 0x0, 0, ... {status=0x0, info=17050}, "\347\325/\200,\31;\315\240\0}0Ps\30\221\342(P\204\270\331\35\301~u\220fT\257\213\32\322\354\361l\35\234\24F\301k\370@\250yT\247v\7\16\250\257\21Q;c\212\321|\334\10/.\372\31\374\353\30\261\237\314\24%\335\276\373' .\212\210c#B\253\267\4%`\352_}\237\204>\203\273\260\230J\21\264\367\256\333\7yB:\256\15\2\261Il\4w\265ZP\201_\252:\377\205\242\21\341pm1\237\206\213\216\3\377\7K\351\304,\311\224X1V\32\334;\355A\342Q\360\177\200\316u\376\365\34\250\215+\240\3\244q\270\331\367\255\354H \22\333\252\37+\15\263\311\342\222E7\337\270\337c1\334\16:\13o\12L\337\32X\23\323|\311\210\3453\200\355)\3615\367)\31\350\337\255]\345\370\201\232Q>DL\236\275`\336Y\270-4T\307\341y\34\331\247\246&\352\22\15\306 @%\305\363~\274\267\324\361\235\15\245l\363z\22\200\210Z\1\314t\370\12Wf\243\270\17m\220\362\353\205P\376\241XH\303\2203\10\14\205\374\212;{e.\315.\376\12\335\224$\341\277i7"\223\226\316\321I\314\360\16\265\245\231\344\300,\360^m\177\372\251V|GZjp\3228\212\321\372,\314\15cRP\266|\373\301\221\27\257E\27\215\364{\35K\323\257\327&\301V\225q\27Nq_\350\341j\24\12\235]\6\332%\310\322\2244\30\334\355/\31<\345\21092\207y\257\375\263D\335\15w\326&\265\355DU\35\316*\243XKj\31T\201\313\2261Z6\201\205\246\2446I\25\211{,\264.?\205=\226\37\234\24p\354?\200\227^\375#\236\333d\355\257gOp\311\262\227\322\2640N\314\273\346\317E\214\31.GF\311Y\372\12\353\316\33\177`Q\14\311", ) \223\226\316\321I\314\360\16\265\245\231\344\300,\360^m\177\372\251V|GZjp\3228\212\321\372,\314\15cRP\266|\373\301\221\27\257E\27\215\364{\35K\323\257\327&\301V\225q\27Nq_\350\341j\24\12\235]\6\332%\310\322\2244\30\334\355/\31<\345\21092\207y\257\375\263D\335\15w\326&\265\355DU\35\316*\243XKj\31T\201\313\2261Z6\201\205\246\2446I\25\211{,\264.?\205=\226\37\234\24p\354?\200\227^\375#\236\333d\355\257gOp\311\262\227\322\2640N\314\273\346\317E\214\31.GF\311Y\372\12\353\316\33\177`Q\14\311", ) == 0x0
 03416   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "5p\20\33wj\1j\2W\377\326\205\300txh\3749\33wj\1j\2W\377\326\205\300th\213E\10j\0Wj\1\3770\377\25t\20\33w\205\300tT\213u\264\213}\360\213\313\213\301\301\351\2\363\245\213\310\213E\10j\0\377u\360\203\341\3\363\244\3770\377\25x\20\33w\205\300t*\213u\264\213}\354\213\313\213\301\301\351\2\363\245\213\310\213E\10j\0\377u\354\203\341\3\363\244\3770\377\25|\20\33w\205\300u\16\377\254\24\33w\15\0\0\7\200\211E\3743\3779}\370t\11\377u\370\377\25,\24\33w9}\374}\24\213u\10\3776W\3775\24\370*w\377\25d\320*w\211>\213E\374_^[\311\302\10\0U\213\354\203\354\24\213E\10\213\4\205\30:\33w\203e\370\0S\213]\14\203#\0V\2135\200\23\33wW\211E\360\215E\14Pj\1j\16\377\326\213=\260\20\33wP\377\327\205\300u\21\215E\14Pj\1j\14\377\326P\377\327\205\300tu\2135\264\20\33wj\03\377j\0G\377\326\215E\354Pj\4\215E\364Pj\11\377u\14\377\25\200\20\33w\205\300\211E\374t0\213E\364\203\370\2s\11\307E\370\33\1\1\200\353\37@;E\10w\11\213E\14\211\33\377\353\20S\377u\360\377u\14\377\25\250\20\33w\211E\374\377u\14j\0\377\326\205\377t\11\377u\14\377\25,\24\33w\203}\374\0u\30\377\254\24\33w=\360\3\0\0t\7\15\0\0\7\200\353\73\300\353\3\213E\370_^[\311\302\10\0U\213\354\203\354\24\213E\10S\213]\143\311;\301VW\211M\374\211M\370\211M\360\17\206\364\0\0\0\211E\354\213{\10\203\377\377\17\204\200\0\0\0\213\3\203\370\377ty\203{\4\377ts\203\370\16uf\205\377u", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03417   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "J]<\213L<\0\200", ) , ) == 0x0
 03418   896   NtReadFile  (192, 0, 0, 0, 15436, 0x0, 0, ... {status=0x0, info=15436},  (192, 0, 0, 0, 15436, 0x0, 0, ... {status=0x0, info=15436}, "\37\261\341\325E\247\332H\250M\241\363\246\263Y\5\241\235{UzBJ\305L\362\226\327\254\247\326\316\237\276\330\27>\307\312\5F\346\262\352\355\2139tHp\362\234\2\12\233\261\364l\256\315\326\cc7k\321\30f\305\355q\265\221\261\312\235\334FE\27\266\266\357\356>\362\206 \211M\262\263\324\334\3316Vd\7a\211\24\245&)/\14)xID\~\357wDRc\236\313{M\15\302T\231\212\211\36\223\14K,?IL\225\327\234m\305\242\205[\276\253\230\255\210\362\215\220\24f\t\320\220\257O\257\276i\201\31\241'\31>\372\327\300;W\354\343\206\371\342B\357\v$\204\310\334\12\237zdZR\275\32\210\336\202>\207\247lx{\353\23,W\260\347\307\364\211\351\33 \256\2\270\263\314\354\366\317\340w"\34Hh'\177\202\374\272\243\260\246\250\313\25|\340\263\375s\277\251\314&\211d\371\347\3607\331\211\337?xbe+_z\236h\374\262ZO\275\2\255D\305\252\314\256e\11\343O\310\262c\200p-S`w\22/\241\263\21\370\225L\234\334\325\273\357\15\231T\250\267:8Xx%\237\274\250\325\376\366\255Nr\266mu\223\247y\253N\36\263\255\310\326\261RH\231\350F7\374\354\6\242 `N\25s\236\233\252\16\242f\353\4j\220\275\334/\330\272\376\356\33\362F{\30\31 \201[\332t_\13\344\356\375\331h\22\17\353\223\33\240)\313\322D\376Q72F\364\265\225_\326\35\323WX\331\263x\231\221"L\235\11};\310\350\206\314\10[\275W]\330"\274\2263\26d\21-\2566\223xO&W_)\31pR\205~W\213\356\1\377\343\31\216\252\244\237\2022\311\214\225\345f\7s\304T)\205\364\36\37\341}\300}2wy\240\375\347\256sz", ) \34Hh'\177\202\374\272\243\260\246\250\313\25|\340\263\375s\277\251\314&\211d\371\347\3607\331\211\337?xbe+_z\236h\374\262ZO\275\2\255D\305\252\314\256e\11\343O\310\262c\200p-S`w\22/\241\263\21\370\225L\234\334\325\273\357\15\231T\250\267:8Xx%\237\274\250\325\376\366\255Nr\266mu\223\247y\253N\36\263\255\310\326\261RH\231\350F7\374\354\6\242 `N\25s\236\233\252\16\242f\353\4j\220\275\334/\330\272\376\356\33\362F{\30\31 \201[\332t_\13\344\356\375\331h\22\17\353\223\33\240)\313\322D\376Q72F\364\265\225_\326\35\323WX\331\263x\231\221 (192, 0, 0, 0, 15436, 0x0, 0, ... {status=0x0, info=15436}, "\37\261\341\325E\247\332H\250M\241\363\246\263Y\5\241\235{UzBJ\305L\362\226\327\254\247\326\316\237\276\330\27>\307\312\5F\346\262\352\355\2139tHp\362\234\2\12\233\261\364l\256\315\326\cc7k\321\30f\305\355q\265\221\261\312\235\334FE\27\266\266\357\356>\362\206 \211M\262\263\324\334\3316Vd\7a\211\24\245&)/\14)xID\~\357wDRc\236\313{M\15\302T\231\212\211\36\223\14K,?IL\225\327\234m\305\242\205[\276\253\230\255\210\362\215\220\24f\t\320\220\257O\257\276i\201\31\241'\31>\372\327\300;W\354\343\206\371\342B\357\v$\204\310\334\12\237zdZR\275\32\210\336\202>\207\247lx{\353\23,W\260\347\307\364\211\351\33 \256\2\270\263\314\354\366\317\340w"\34Hh'\177\202\374\272\243\260\246\250\313\25|\340\263\375s\277\251\314&\211d\371\347\3607\331\211\337?xbe+_z\236h\374\262ZO\275\2\255D\305\252\314\256e\11\343O\310\262c\200p-S`w\22/\241\263\21\370\225L\234\334\325\273\357\15\231T\250\267:8Xx%\237\274\250\325\376\366\255Nr\266mu\223\247y\253N\36\263\255\310\326\261RH\231\350F7\374\354\6\242 `N\25s\236\233\252\16\242f\353\4j\220\275\334/\330\272\376\356\33\362F{\30\31 \201[\332t_\13\344\356\375\331h\22\17\353\223\33\240)\313\322D\376Q72F\364\265\225_\326\35\323WX\331\263x\231\221"L\235\11};\310\350\206\314\10[\275W]\330"\274\2263\26d\21-\2566\223xO&W_)\31pR\205~W\213\356\1\377\343\31\216\252\244\237\2022\311\214\225\345f\7s\304T)\205\364\36\37\341}\300}2wy\240\375\347\256sz", ) \274\2263\26d\21-\2566\223xO&W_)\31pR\205~W\213\356\1\377\343\31\216\252\244\237\2022\311\214\225\345f\7s\304T)\205\364\36\37\341}\300}2wy\240\375\347\256sz", ) == 0x0
 03419   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "E`\213\10P\377Q\10\203}d\0|\36\215EP\211Ed\215EdP\377uT\215Et\377uP\213\316P\350\311\326\377\377\211Ed\377EX\213EX;ELs\12\203}d\0\17\215I\377\377\377\203}d\0\17\214\13\1\0\03\377G9}8u\16\213Ep\203\300\370\213\10P\377Q\34\353\3\211}\\213\313\350t\276\373\377\215E, 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03420   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\223\2550\364D@\0\200", ) , ) == 0x0
 03421   896   NtReadFile  (192, 0, 0, 0, 16452, 0x0, 0, ... {status=0x0, info=16452},  (192, 0, 0, 0, 16452, 0x0, 0, ... {status=0x0, info=16452}, "\214\274\7n\251\351\276&\35,8,\226-\326\33\303foM\2719U\251\334t5\303\320\32\360\26\376\255\270\232\203M\273f]\343\265\247\304\332o\365\0R\304\345\177\247\7\200\253\6\357\3317.\32\260g\205;\346\256\17\234\253\361\367\141\363h\\12t\335%\342^-\232\34\372\212W\17\253\233\31\333\337\\325\361!\212\212-\345p\204?\0\212\346U7\7\177_\203\343k\336\317\254\234\206<\215*wa\3\3154"\331\252\251N\314\32\251s\222*l\206#\217\345\12\347\200\252`6 +\260\256S\277\25\223\241\15\324\14h\23y\352\226aDX\242\363!\323[\313U\252r\237\342\26Y\337\331\365,M\256K\304\313\222\2309\3208\217,\210<\266\244\310\15)\331\366G\372'\15\337\341t\240o\351\210\221\255I", ) \331\252\251N\314\32\251s\222*l\206#\217\345\12\347\200\252`6 +\260\256S\277\25\223\241\15\324\14h\23y\352\226aDX\242\363!\323[\313U\252r\237\342\26Y\337\331\365,M\256K\304\313\222\2309\3208\217,\210<\266\244\310\15)\331\366G\372'\15\337\341t\240o\351\210\221\255I", ) == 0x0
 03422   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\302\14\0\213D$\4\205\300t\5\215H\364\353\23\311\205\311t\16\213A0\3A,\3A(\3A$\353\23\300\302\4\0\213D$\10\205\300t\5\203\300\364\353\23\300\205\300t%\213T$\4SVW\213:j\4Y3\333\215p$\363\247_^[u\15\213@4;B\4u\53\300@\353\23\300\302\14\0\350!\374\377\377h\244&!w\271P\235*w\350\207\255\374\377\203%\324\330*w\0\303V\213t$\10\215F\14P\213F0\3F,\271P\235*w\3F(\3F$P\3501H\374\377\213\6\203N\24 V\377P\14\205\300^t\13h\310\330*w\377\25h\24\33w\302\4\0V\213t$\10\215F\14P\271P\235*w\350M<\374\377\213\6\203f\24\337V\377P\14\205\300^t\13h\310\330*w\377\25d\24\33w\302\4\0\213D$\4\307@\4\314\330*w\213\15\314\330*w\211A\4\213\15\314\330*w\211\10\243\314\330*w\302\4\0\213D$\4\213H\4\213\20\211\21\213\10\213P\4\211Q\4\211@\4\211\0\302\4\0U\213\354QW\277d\236*w\213\317\350\240=\373\377\213\25\314\330*w\203e\374\0\201\372\314\330*wtHSV\213u\10\213E\374\213M\14;\1s7\205\322t\5\215B\270\353\23\300\213HP\366\301\2t\32\213X$\211\36\213X(\203\341\375\203\311\4\377E\374\211^\4\211HP\203\306\10\213\22\201\372\314\330*wu\277^[\213E\374\213M\14\211\1\213\317\350 \216\376\377_\311\302\10\0S\273d\236*wW\213\313\350$=\373\377\241\314\330*w\277\314\330*w;\307t9V\213H\10\366\301\4\2130t'\203|$\20\0t\27\366\301\2u\22\203`\10\0P\350)\377\377\377\377\15\30\331*w\353\11\203\341", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03423   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\277\277\264P(?\0\200", ) , ) == 0x0
 03424   896   NtReadFile  (192, 0, 0, 0, 16168, 0x0, 0, ... {status=0x0, info=16168},  (192, 0, 0, 0, 16168, 0x0, 0, ... {status=0x0, info=16168}, "\12\32\361\254\15\255y\237\217th\240\24]"\205\244\207\304O\200'^6\375\202\202\220$\205\215\333\213\312\356n\347F\33z\311zR\3\3\212{\13K\236\20[\2736\301^\22\322\210\246R'\0\272\360\200\14\30#\321\316_\216|\315\3\332\245NP\256_U\15 \321:\24\305U$8\\224\220NJ\370\345\2701ds\371<\6R7\242J\356{mC\312\325\306\362\200\261)@(!\332F 3qeJ\371\351\216D\250G\332\1o\353\23\205\377\35lh\274h\305\11\232-(\374Fk\235\237\345\3723-\261s\331\245\256F\244\306\227\362F\252\230\306\17\10a\301\340\205V\225Y\313_\253jF\20\31/9i`\273\314\3630\345\6\322\6\257\4\352.\316\36aB*e5<\225\365qj\351\331\200\7\225\12\360\354\\310\15\343\31w\313\320\352\334\24\202y\254\200\34gs\376\365U\17\350\366\227\314\204\244\3\21\212\367\373\340'\265o\224\352lJ\30\7\203\206th\207\\271\\364zk\375r\11\236\266?\277\317\271h\225B\342\11\217\217}\346\315\363\23\232\373\267\367e\350b\323\313\334\0\224\346y\371\344_\353!\16]\345\3321\334\222'?\257\352h\237s)4!\300\251\205\30\213t\207\245\212\370+\363L>Q\220\220\253\245`S\304B2\210\364RU\24\251\376\360v\326!\16\360\207_W4\263\223\331\255\220N\324\347\353\203\314\322\255\177F\25~G|"\347\365\17Q 8\17\35\363"&c%\305\332-\345F\211\225\201C\344\204z\275\330\306\236\302L\277\267\307\276c\\302\350y\261\23\343\222\222\203C\317m\364\243\2205\366\331\22&\316\320\260\312Q\0R,\247mt\262\337C\0\240\200\334\260\23\270uF\234\3159\302f(\241BH\353\350a\351("", ) \205\244\207\304O\200'^6\375\202\202\220$\205\215\333\213\312\356n\347F\33z\311zR\3\3\212{\13K\236\20[\2736\301^\22\322\210\246R'\0\272\360\200\14\30#\321\316_\216|\315\3\332\245NP\256_U\15 \321:\24\305U$8\\224\220NJ\370\345\2701ds\371<\6R7\242J\356{mC\312\325\306\362\200\261)@(!\332F 3qeJ\371\351\216D\250G\332\1o\353\23\205\377\35lh\274h\305\11\232-(\374Fk\235\237\345\3723-\261s\331\245\256F\244\306\227\362F\252\230\306\17\10a\301\340\205V\225Y\313_\253jF\20\31/9i`\273\314\3630\345\6\322\6\257\4\352.\316\36aB*e5<\225\365qj\351\331\200\7\225\12\360\354\\310\15\343\31w\313\320\352\334\24\202y\254\200\34gs\376\365U\17\350\366\227\314\204\244\3\21\212\367\373\340'\265o\224\352lJ\30\7\203\206th\207\\271\\364zk\375r\11\236\266?\277\317\271h\225B\342\11\217\217}\346\315\363\23\232\373\267\367e\350b\323\313\334\0\224\346y\371\344_\353!\16]\345\3321\334\222'?\257\352h\237s)4!\300\251\205\30\213t\207\245\212\370+\363L>Q\220\220\253\245`S\304B2\210\364RU\24\251\376\360v\326!\16\360\207_W4\263\223\331\255\220N\324\347\353\203\314\322\255\177F\25~G| (192, 0, 0, 0, 16168, 0x0, 0, ... {status=0x0, info=16168}, "\12\32\361\254\15\255y\237\217th\240\24]"\205\244\207\304O\200'^6\375\202\202\220$\205\215\333\213\312\356n\347F\33z\311zR\3\3\212{\13K\236\20[\2736\301^\22\322\210\246R'\0\272\360\200\14\30#\321\316_\216|\315\3\332\245NP\256_U\15 \321:\24\305U$8\\224\220NJ\370\345\2701ds\371<\6R7\242J\356{mC\312\325\306\362\200\261)@(!\332F 3qeJ\371\351\216D\250G\332\1o\353\23\205\377\35lh\274h\305\11\232-(\374Fk\235\237\345\3723-\261s\331\245\256F\244\306\227\362F\252\230\306\17\10a\301\340\205V\225Y\313_\253jF\20\31/9i`\273\314\3630\345\6\322\6\257\4\352.\316\36aB*e5<\225\365qj\351\331\200\7\225\12\360\354\\310\15\343\31w\313\320\352\334\24\202y\254\200\34gs\376\365U\17\350\366\227\314\204\244\3\21\212\367\373\340'\265o\224\352lJ\30\7\203\206th\207\\271\\364zk\375r\11\236\266?\277\317\271h\225B\342\11\217\217}\346\315\363\23\232\373\267\367e\350b\323\313\334\0\224\346y\371\344_\353!\16]\345\3321\334\222'?\257\352h\237s)4!\300\251\205\30\213t\207\245\212\370+\363L>Q\220\220\253\245`S\304B2\210\364RU\24\251\376\360v\326!\16\360\207_W4\263\223\331\255\220N\324\347\353\203\314\322\255\177F\25~G|"\347\365\17Q 8\17\35\363"&c%\305\332-\345F\211\225\201C\344\204z\275\330\306\236\302L\277\267\307\276c\\302\350y\261\23\343\222\222\203C\317m\364\243\2205\366\331\22&\316\320\260\312Q\0R,\247mt\262\337C\0\240\200\334\260\23\270uF\234\3159\302f(\241BH\353\350a\351("", ) &c%\305\332-\345F\211\225\201C\344\204z\275\330\306\236\302L\277\267\307\276c\\302\350y\261\23\343\222\222\203C\317m\364\243\2205\366\331\22&\316\320\260\312Q\0R,\247mt\262\337C\0\240\200\334\260\23\270uF\234\3159\302f(\241BH\353\350a\351("", ) == 0x0
 03425   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\215N\4\350\326\370\377\377\205\300|\24\377t$\14\215F\374\213\10P\377Q(\307F\10\1\0\0\0^\302\10\0U\213\354\203\354\14SVW\215E\374P\215M\364\350\265\7\376\377\203}\374\0}\22\213E\10\213H(\377u\374Q\215H\10\351\222\1\0\0\213]\10\213K,\350\375\240\377\377\205\300\211E\374\17\214r\1\0\0\213E\14\2154@\301\346\2Vj\0\3775\24\370*w\377\25`\320*w\205\300\211C\u\12h\16\0\7\200\351L\1\0\0\213\370\213\316\213u\20\213\301\301\351\2\363\245\213\310\203\341\3\363\244\213}\14\213\307\301\340\2\203\300\3\203\340\374\211{P\350y\25\7\0\213\307\301\340\4\203\300\3\203\340\374\211e\10\350f\25\7\0\213K,\211e\14\215CLP\377u\14\201\301\214\0\0\0\377u\10\377s\W\350!\235\377\377\213\360f\205\366\211u\20\17\206\357\0\0\0\213C,\205\300\307E\374\16\0\7\200t\5\203\300\4\353\23\300VP\350\261\253\377\377Pj\0\3775\24\370*w\377\25`\320*w\17\267\376\213\367\301\346\2Vj\0\211CH\3775\24\370*w\377\25`\320*w\301\347\4W\211}\3703\377W\211CX\3775\24\370*w\377\25`\320*w\213KH;\317\211CTtv9{Xtq;\307tm\377u\20\211}\374\350o\253\377\377\213CH\203\10\4\213CH\213K4\211H\4\213{X\213\316\213u\10\213\301\301\351\2\363\245\213\310\203\341\3\363\244\213M\370\213{T\213u\14\213\301\301\351\2\363\245\213\310\203\341\3\363\244\377sH\213K,\377sT\203\301\4\377u\20\350\360\310\377\377\213CH\366\0\20u!\377s(\350\277\356\377\377\353\32\377u\374\213C(P\215K\10\350\322\366\377\377\353\11\203K\34\1\353\337\213E\374\215", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03426   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\206h\222\\2129\0\200", ) , ) == 0x0
 03427   896   NtReadFile  (192, 0, 0, 0, 14730, 0x0, 0, ... {status=0x0, info=14730},  (192, 0, 0, 0, 14730, 0x0, 0, ... {status=0x0, info=14730}, "\315\240\20\361D\30(\326\257D\277\256\316\275'?r\257\236?\344\363H\227Z\213b8]\24\212a?Q\270\366\330?\257\25N\344\264-C\261w\23P\304\350q\230\312\357'?\224\31x\207\275\33\27\320\235d\267\255A\27\364hd\263\2516C\36xG\365\253\316(\14\2531(G\370Fw\275`?C?v\347\21\7\3114\24\331\252k#\30\274\372\33\360\302\364\270c\357\322\246\234ZC\241\332\300\17\364Z\16\322\204$\31c5\277\226\213\6\256L\357d\375\321\274\1\361@\224\1Z9Z{\31W\267`A%\350:\231\202\275w\263d\313\233\306\277Ys\317\305,\35+\333\27zN3#\15\31\346\13I\220\376\356\3Y\21\243d\201\2340)\317&r\371\305\16.\13\207\220_M\357C\241\246_\372\16\332R\3264\2L\332\10\347\243o\267\2555\257-e\177\177\251W\244\301@\277>\233<\300\352S\206\272\277=MG\203\212\204\15\2318e\365/\203\370\276\14{(\20\220b(\3008_>\266\220s`\24\310\247\2730\320j\270z*\237l\262\320\343QB\14\357\313>'\260\323(\360\27\325\276\320RA\204\355\327X\20\346?\344\6(7\335\5\325DV\271\336\312P\237\274\205WO\7\364Bq\253?\210\372\224\364g\304\376\234\365h\224\245a\342\347hL\223\333\304\10Z`\3436pZ\313\264Qn/a\217\3056\314\332\362G\331*\333\211\204\227\341oe4\251)\216\210\21\376\342DT\16y\1\275b\265"Ei\266\274\262\227\310\11%\36\5\220\22\312\314\327D\204\21\321\357C\33\j"e/\363`~|e\325\3767\213K\206R\240\200\0\3/Q:_\226\30\27\304\345/1&\312'\227 \212\360\213p\366@\272{\261\265\6S\357\243\375\314\15sR\205B\260", ) Ei\266\274\262\227\310\11%\36\5\220\22\312\314\327D\204\21\321\357C\33\j (192, 0, 0, 0, 14730, 0x0, 0, ... {status=0x0, info=14730}, "\315\240\20\361D\30(\326\257D\277\256\316\275'?r\257\236?\344\363H\227Z\213b8]\24\212a?Q\270\366\330?\257\25N\344\264-C\261w\23P\304\350q\230\312\357'?\224\31x\207\275\33\27\320\235d\267\255A\27\364hd\263\2516C\36xG\365\253\316(\14\2531(G\370Fw\275`?C?v\347\21\7\3114\24\331\252k#\30\274\372\33\360\302\364\270c\357\322\246\234ZC\241\332\300\17\364Z\16\322\204$\31c5\277\226\213\6\256L\357d\375\321\274\1\361@\224\1Z9Z{\31W\267`A%\350:\231\202\275w\263d\313\233\306\277Ys\317\305,\35+\333\27zN3#\15\31\346\13I\220\376\356\3Y\21\243d\201\2340)\317&r\371\305\16.\13\207\220_M\357C\241\246_\372\16\332R\3264\2L\332\10\347\243o\267\2555\257-e\177\177\251W\244\301@\277>\233<\300\352S\206\272\277=MG\203\212\204\15\2318e\365/\203\370\276\14{(\20\220b(\3008_>\266\220s`\24\310\247\2730\320j\270z*\237l\262\320\343QB\14\357\313>'\260\323(\360\27\325\276\320RA\204\355\327X\20\346?\344\6(7\335\5\325DV\271\336\312P\237\274\205WO\7\364Bq\253?\210\372\224\364g\304\376\234\365h\224\245a\342\347hL\223\333\304\10Z`\3436pZ\313\264Qn/a\217\3056\314\332\362G\331*\333\211\204\227\341oe4\251)\216\210\21\376\342DT\16y\1\275b\265"Ei\266\274\262\227\310\11%\36\5\220\22\312\314\327D\204\21\321\357C\33\j"e/\363`~|e\325\3767\213K\206R\240\200\0\3/Q:_\226\30\27\304\345/1&\312'\227 \212\360\213p\366@\272{\261\265\6S\357\243\375\314\15sR\205B\260", ) , ) == 0x0
 03428   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "}^\366E\374\4tX\205\333\213E\14\213\200\320\1\0\0\211E\370t#3\333C\353\3\213E\370\213\10\203e\10\0\215U\10RSP\377Q \203}\10\0u6C\203\373\5v\342\213\6j\4\377u\34\377u\30W\377u\20\377u\14V\377P\34\205\300}\6\203}\24\0|\3\211E\243\333C\205\333u\7\307E\24\21\1\4\200\213E\24_^[\311\302\30\0U\213\354\213M\14\213\201\300\6\0\0\205\300\213U t\6\211\220\30\2\0\0\377u\30\377u\24Q\377u\20R\377u\10\377U\34]\302\34\0U\213\354\213E\10\213\10V\215U\10R\377u\24P\377Q\24\213\360\205\366|\32\377u\34\213E\10\377u\30\213\10P\377Q\14\213\360\213E\10\213\10P\377Q\10\213\306^]\302\30\0U\213\354\213E\10\213\10V\215U\10R\377u\24P\377Q\24\213\360\205\366|J\203}\20\0t#\213M\24\350\347\375\374\377\213\10\215U\24RP\377Q\24\213\360\205\366|,\203}\24\0u\5\276\20\1\4\200\205\366|\24\377u\34\213E\10\377u\30\213\10\377u\20P\377Q\20\213\360\213E\10\213\10P\377Q\10\213\306^]\302\30\0U\213\354Q\203e\374\0SV\213u\10\213\6\213\10\215U\374RP\377Q$\213\330\205\333\211]\10|\31j\0j\0j\4\377u\374\203\306\4h\4\340\33wV\350\6\203\372\377\213\330\213E\374\205\300t\6\213\10P\377Q\10\205\333\213E\10}\2\213\303^[\311\302\4\0U\213\354Q\203e\374\0SV\213u\10\213\6\213\10\215U\374Rj\0P\377Q(\213\330\205\333\211]\10|\31j\0j\0j\4\377u\374\203\306\4h\4\340\33wV\350\255\202\372\377\213\330\213E\374\205\300t\6\213\10P\377Q\10\205\333\213E\10}\2\213\303^", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03429   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\334\315\351\303t3\0\200", ) , ) == 0x0
 03430   896   NtReadFile  (192, 0, 0, 0, 13172, 0x0, 0, ... {status=0x0, info=13172},  (192, 0, 0, 0, 13172, 0x0, 0, ... {status=0x0, info=13172}, "\207\220\34*Uo\304i\337\335\357\352\32(\346\353\357\360\355\336\362\362\363\202\367\352\317\200\363\363KT\246\260\5\346\305\3278\331\352\231.\242\257\225\16:\332\34^\316\316?5.\20\376M\32\205)\177\340\17\327!\367\362BH\212\255T\3457J\326Y\350G\321(*\375\353\366\345\16}u\17\267\34\327Q\313\373z\350\36\349\354\303n\367\257\277\2276t\270{\273\345\277\216^\336\320\373\357\331\226C:\364y\377q\217\5\13\203\364\215\20\370\13i\244\330\235\321\14b\233\306\313\150\365\345E\302_\332X\276p\253\323\227p=\323$>\276I!p\360\223\207\234A\2006}\361\273\235\330\3315\364\310\206\227\260A\345U\6\347p}K\247\334\2EjL\230\376{\27\2073\215\256EvC\245\316$\301\374 \275\216~'\376(\271\374h6\20I\223\336c\355\221\224l\222f\360\327W\360\226\247\347\372\265\0\6N\245\215'/\2659\363[8\277t*M*\371\301v`Q\224 \217\30\321@;\303S\333-\226\16\205}"\262|6\20"8\360`=\324\270\27@7\343\312^\326\376i\2106\304k\215\365\244\307\343\323\344\347\203\371\247B\240\337:\3642t\326\306g\16\307\303\266\372\16\364[\375L\343\325\244\231\260}\261\314\24\16%P\351s\324\260\0o\210J=\321rL/\272\360\247\322\", ) \363[8\277t*M*\371\301v`Q\224 \217\30\321@;\303S\333-\226\16\205} (192, 0, 0, 0, 13172, 0x0, 0, ... {status=0x0, info=13172}, "\207\220\34*Uo\304i\337\335\357\352\32(\346\353\357\360\355\336\362\362\363\202\367\352\317\200\363\363KT\246\260\5\346\305\3278\331\352\231.\242\257\225\16:\332\34^\316\316?5.\20\376M\32\205)\177\340\17\327!\367\362BH\212\255T\3457J\326Y\350G\321(*\375\353\366\345\16}u\17\267\34\327Q\313\373z\350\36\349\354\303n\367\257\277\2276t\270{\273\345\277\216^\336\320\373\357\331\226C:\364y\377q\217\5\13\203\364\215\20\370\13i\244\330\235\321\14b\233\306\313\150\365\345E\302_\332X\276p\253\323\227p=\323$>\276I!p\360\223\207\234A\2006}\361\273\235\330\3315\364\310\206\227\260A\345U\6\347p}K\247\334\2EjL\230\376{\27\2073\215\256EvC\245\316$\301\374 \275\216~'\376(\271\374h6\20I\223\336c\355\221\224l\222f\360\327W\360\226\247\347\372\265\0\6N\245\215'/\2659\363[8\277t*M*\371\301v`Q\224 \217\30\321@;\303S\333-\226\16\205}"\262|6\20"8\360`=\324\270\27@7\343\312^\326\376i\2106\304k\215\365\244\307\343\323\344\347\203\371\247B\240\337:\3642t\326\306g\16\307\303\266\372\16\364[\375L\343\325\244\231\260}\261\314\24\16%P\351s\324\260\0o\210J=\321rL/\272\360\247\322\", ) 8\360`=\324\270\27@7\343\312^\326\376i\2106\304k\215\365\244\307\343\323\344\347\203\371\247B\240\337:\3642t\326\306g\16\307\303\266\372\16\364[\375L\343\325\244\231\260}\261\314\24\16%P\351s\324\260\0o\210J=\321rL/\272\360\247\322\", ) == 0x0
 03431   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\22\30\0\0hHY\33wV\3775\244\337*w\350\1\30\0\0_^\377E\24\213m\24\271\364\337*w\3501Z\6\0\213\305][\302\4\0V\271\364\337*w\350EX\6\0\213t$\10\377N\24\213F\24\211D$\10\17\205\220\1\0\0\241\224\337*wSUW3\3553\377j\37E;\307[t(P\350\217\26\0\0S\3775\224\337*w\350\276\26\0\0\213\15\224\337*w;\317t\6U\350\0\355\377\377\211=\224\337*w\241\250\337*w;\307t(P\350^\26\0\0S\3775\250\337*w\350\215\26\0\0\213\15\250\337*w;\317t\6U\350\317\354\377\377\211=\250\337*w\241\230\337*w;\307t(P\350-\26\0\0S\3775\230\337*w\350\\26\0\0\213\15\230\337*w;\317t\6U\350\236\354\377\377\211=\230\337*w\241\234\337*w;\307t(P\350\374\25\0\0S\3775\234\337*w\350+\26\0\0\213\15\234\337*w;\317t\6U\350m\354\377\377\211=\234\337*w\241\240\337*w;\307t(P\350\313\25\0\0S\3775\240\337*w\350\372\25\0\0\213\15\240\337*w;\317t\6U\350<\354\377\377\211=\240\337*w\241\244\337*w;\307t(P\350\232\25\0\0S\3775\244\337*w\350\311\25\0\0\213\15\244\337*w;\317t\6U\350\13\354\377\377\211=\244\337*w\213F\30;\307t\11\213\10P\377Q\10\211~\30\213F ;\307t\11\213\10P\377Q\10\211~ \213F$;\307t\11\213\10P\377Q\10\211~$\213F\34;\307t\11\213\10P\377Q\10\211~\34\213F(;\307\211~,\211~0\211~<\211~@t\11\213\10P\377Q\10\211~(_][\271\364\337*w\350qX\6\0\213D$\10^\302\4\0U\213\354\203\354", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03432   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "C\227\360Qd/\0\200", ) , ) == 0x0
 03433   896   NtReadFile  (192, 0, 0, 0, 12132, 0x0, 0, ... {status=0x0, info=12132},  (192, 0, 0, 0, 12132, 0x0, 0, ... {status=0x0, info=12132}, "\347\377\202\343\251\237\3042\4\371\325\360I\375+\246\327\206\257\352\217@\1\354\2129W\2768\273\347m#\374'\323\275\236<\32\236\270\201\363\277\315\374^\312|\250\263\317b\254\361Z\220x\245\276e\331E{J}\214hE\21.R.L\312P\236\26\322\33\34;\326myiQ\341R\341\377~\27\350\315\220\265\355^\326\312OR\253\2670b\343|,w\244e\312\246\346P\221\347!\321\37\263,\253\16\233jD\205\233\265\261M\356\33~K\227+V0\26\12S=\323L\327+\270\231\364n\130\305\302R\376"8\15\355@K\275&\331\375\376:\22D\200B\343]1g;\200\310e\324\263vj7\212]\202\327-N\334\235}Z\242\264\23?\34s\302\24!\275K\203\342\267\2678\31\247Y'{\314\260\201N\223\237\233\301\365!%\374\265\226\215\223/=9\272{\332\310\252\273\207\356\327\261{\265\355\11\230\347=\212\242\264O\1\205GtL\227\365\235>\237!R\203\274\225\301\236k\5\263K\264\325\270x\272"\332\313\210Y\203\201\373 ,\3219D\371\204\356\337\246C\364\25Z\327\24\307s\246\343=T\337\227\211\2148"\27\262\235\336\347HT[\357\335\24\312\320h\347\236\335\345\256U\344c_\2253w\22\254\347;\243H\230*\277\275g3wf8n\15\277T\250\255\2326\241\305\2215\233E&\371\224\200?))\325\217\337\202\245\237\33?_N\26_D\301Q2\24\17+\27\212l\7+\362\272!\224\25>e\320\267\232\36\343\364\203)\246X\243\352wC3\217\311\30}\264M0\13\363\345\234\344~x#\336\264\322\3563\271z\246u\317S\332\360\3148\360\352\367\206.\246 j\260E\236\302\335\22[n\221\251\271I;\5;j\300\325)\364\15\20\307\212\234\212\253W\262", ) 8\15\355@K\275&\331\375\376:\22D\200B\343]1g;\200\310e\324\263vj7\212]\202\327-N\334\235}Z\242\264\23?\34s\302\24!\275K\203\342\267\2678\31\247Y'{\314\260\201N\223\237\233\301\365!%\374\265\226\215\223/=9\272{\332\310\252\273\207\356\327\261{\265\355\11\230\347=\212\242\264O\1\205GtL\227\365\235>\237!R\203\274\225\301\236k\5\263K\264\325\270x\272 (192, 0, 0, 0, 12132, 0x0, 0, ... {status=0x0, info=12132}, "\347\377\202\343\251\237\3042\4\371\325\360I\375+\246\327\206\257\352\217@\1\354\2129W\2768\273\347m#\374'\323\275\236<\32\236\270\201\363\277\315\374^\312|\250\263\317b\254\361Z\220x\245\276e\331E{J}\214hE\21.R.L\312P\236\26\322\33\34;\326myiQ\341R\341\377~\27\350\315\220\265\355^\326\312OR\253\2670b\343|,w\244e\312\246\346P\221\347!\321\37\263,\253\16\233jD\205\233\265\261M\356\33~K\227+V0\26\12S=\323L\327+\270\231\364n\130\305\302R\376"8\15\355@K\275&\331\375\376:\22D\200B\343]1g;\200\310e\324\263vj7\212]\202\327-N\334\235}Z\242\264\23?\34s\302\24!\275K\203\342\267\2678\31\247Y'{\314\260\201N\223\237\233\301\365!%\374\265\226\215\223/=9\272{\332\310\252\273\207\356\327\261{\265\355\11\230\347=\212\242\264O\1\205GtL\227\365\235>\237!R\203\274\225\301\236k\5\263K\264\325\270x\272"\332\313\210Y\203\201\373 ,\3219D\371\204\356\337\246C\364\25Z\327\24\307s\246\343=T\337\227\211\2148"\27\262\235\336\347HT[\357\335\24\312\320h\347\236\335\345\256U\344c_\2253w\22\254\347;\243H\230*\277\275g3wf8n\15\277T\250\255\2326\241\305\2215\233E&\371\224\200?))\325\217\337\202\245\237\33?_N\26_D\301Q2\24\17+\27\212l\7+\362\272!\224\25>e\320\267\232\36\343\364\203)\246X\243\352wC3\217\311\30}\264M0\13\363\345\234\344~x#\336\264\322\3563\271z\246u\317S\332\360\3148\360\352\367\206.\246 j\260E\236\302\335\22[n\221\251\271I;\5;j\300\325)\364\15\20\307\212\234\212\253W\262", ) \27\262\235\336\347HT[\357\335\24\312\320h\347\236\335\345\256U\344c_\2253w\22\254\347;\243H\230*\277\275g3wf8n\15\277T\250\255\2326\241\305\2215\233E&\371\224\200?))\325\217\337\202\245\237\33?_N\26_D\301Q2\24\17+\27\212l\7+\362\272!\224\25>e\320\267\232\36\343\364\203)\246X\243\352wC3\217\311\30}\264M0\13\363\345\234\344~x#\336\264\322\3563\271z\246u\317S\332\360\3148\360\352\367\206.\246 j\260E\236\302\335\22[n\221\251\271I;\5;j\300\325)\364\15\20\307\212\234\212\253W\262", ) == 0x0
 03434   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\377\203l$\4\10\351:\323\377\377\203l$\4\10\351@\323\377\377\203l$\4\14\351\17\323\377\377\203l$\4\14\351\34\323\377\377\203l$\4\14\351"\323\377\377\203l$\4\20\351\361\322\377\377\203l$\4\20\351\376\322\377\377\203l$\4\20\351\4\323\377\377\203l$\4\24\351\323\322\377\377\203l$\4\24\351\340\322\377\377\203l$\4\24\351\346\322\377\377SVW\213\331\350B\376\377\377\215{\34\276d\272\34w\245\245\245\2453\300_\211C,\211C0\211C4^\213\303[\303U\213\354Q\203e\374\0\213U\20S\213\331\213M\103\300\205\311\17\225\300\203c\34\0\205\311\211S$VW\211C\30\213E\14\211C \213@\10\211C\4t,\215A$j\4Y\277T\327\33w\213\3603\322\363\247t\31j\4\213\360Y\277t\273\34w3\300\363\247u\11\307C\10\7\0\0\0\353\7\307C\10\3\0\0\0\213s\4+s\10\213\306k\300x\203\300\4P\350\274=\371\377\205\300t\27h\377f#wV\215x\4jxW\2110\350#\225\377\377\213\307\353\23\300\205\300\211C\14\17\204\233\0\0\0\213s\10\213\316k\311x+\301;s\4\211C\20s \213\376k\377x\377u\10\213K\20SV\377s \3\317\350\203\316\377\377F\203\307x;s\4r\345\213s\103\322;s\4s\25\213K\4\213\306k\300x\3C\20+\316\3\20\203\300xIu\370\213\302\301\340\3P\3508=\371\377\205\300\211C\24t8\213s\103\377;s\4\211u\10s2\213C\20k\366x\213K\24\215\14\371Q\215\14\6\350M\317\377\377\213C\20\3<\6\377E\10\213M\10\203\306x;K\4r\335\353\7\307E\374\16\0\7\200\213E\374_^[\311\302\14\0S\212\$\10\366\303\2V\213\361t#Wh", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \323\377\377\203l$\4\20\351\361\322\377\377\203l$\4\20\351\376\322\377\377\203l$\4\20\351\4\323\377\377\203l$\4\24\351\323\322\377\377\203l$\4\24\351\340\322\377\377\203l$\4\24\351\346\322\377\377SVW\213\331\350B\376\377\377\215{\34\276d\272\34w\245\245\245\2453\300_\211C,\211C0\211C4^\213\303[\303U\213\354Q\203e\374\0\213U\20S\213\331\213M\103\300\205\311\17\225\300\203c\34\0\205\311\211S$VW\211C\30\213E\14\211C \213@\10\211C\4t,\215A$j\4Y\277T\327\33w\213\3603\322\363\247t\31j\4\213\360Y\277t\273\34w3\300\363\247u\11\307C\10\7\0\0\0\353\7\307C\10\3\0\0\0\213s\4+s\10\213\306k\300x\203\300\4P\350\274=\371\377\205\300t\27h\377f#wV\215x\4jxW\2110\350#\225\377\377\213\307\353\23\300\205\300\211C\14\17\204\233\0\0\0\213s\10\213\316k\311x+\301;s\4\211C\20s \213\376k\377x\377u\10\213K\20SV\377s \3\317\350\203\316\377\377F\203\307x;s\4r\345\213s\103\322;s\4s\25\213K\4\213\306k\300x\3C\20+\316\3\20\203\300xIu\370\213\302\301\340\3P\3508=\371\377\205\300\211C\24t8\213s\103\377;s\4\211u\10s2\213C\20k\366x\213K\24\215\14\371Q\215\14\6\350M\317\377\377\213C\20\3<\6\377E\10\213M\10\203\306x;K\4r\335\353\7\307E\374\16\0\7\200\213E\374_^[\311\302\14\0S\212\$\10\366\303\2V\213\361t#Wh", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03435   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "`6nP\2645\0\200", ) , ) == 0x0
 03436   896   NtReadFile  (192, 0, 0, 0, 13748, 0x0, 0, ... {status=0x0, info=13748},  (192, 0, 0, 0, 13748, 0x0, 0, ... {status=0x0, info=13748}, "8\350$\\205\377\0\226\251W4\377t!\347%\321'?\204\20@2:\27\376\4tH$\12'\34\30\351\250\366\1/\204\357\2338!\365\311p\13\276t\340\253LA\303\375\36l2i\17\304w\12\262\337\357\306\206p\202-\225q\204\231w\15%\225\371\333j1\2761(\16\211j\12a*\254R\242\0\2407y\32;\11\3r\371#6\354\363\162\220]\243}M\353V\212\20\14_\375G\11^\22\321\215&B\26U\3043\305\35o\341\347\274\200\340\344\2332{\205A(\342\4H\326\250\212x\6\330u\341\321\324\10\204\21FR\316\36\30 \204\247s\17>Y\371\6D\314J\235'X\4\223P\315>\301Hd\312\271f\2b\37~\313\317\345\240~\250\367z\234\5.\277*~\251\361y\32]#\372\245\25\6\30\301\14\363C\0\300\251\337ps\317*?\215\273\372\253\0!\336\313s\253q\276\346d\340\1,9Y\16|\324[]\177l1\4\316' 62kFB@!\347\270\273\312Hd\242wH'_4\344\363p\323\33Q\35/\203Q|]A\252\3675h;\275\227\244\7(l\356)\362\253BrP\235\371\322:\22j\256\323\343H\24o-s\272Ep\233\270\31\344\247wf\377\221(\17\356\263\311P\11\355Q\253\22G\243x\34\230\23\37F\264\234^\324\365\22\250\342\27S\310\336!7w\237(\32ZD\214D\225\211\324cd\237,F\270\221#\13\320\250C\264\205\30\220\265g\332N0\241\314\3745Q\353\316U\24^tN\313\234z\347v\313\275\26\361\235\264\217#eK?,g\205\22\12H\260\7\344GA\307\202^\13e\231\Y\311\351\247.\213+~(\360\227\245\2440\306[3\332\213\1\212+\375\246\323\367\245\3159\310[\316\253BV8\372}\375%", ) , ) == 0x0
 03437   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "u\21\377t$\4\350\302\276\370\377\205\300t\4\203`,\0\302\4\0\377t$\10\213D$\10\213\10h\354\215\33wP\377\21\302\10\0\377t$\10\213D$\10\213\10h\260\215\33wP\377\21\302\10\0V\213t$\10\213\6\205\300t\11\203\300\4\213\10P\377Q\10\203&\0^\302\4\0V\213t$\14\205\366Wt\6\213\6V\377P\4\213|$\14W\350L\177\377\377\2117_^\302\10\0\213D$\10\205\300t\27\377q\20\213\20\377q\14\377t$\14h\24\216\33wP\377R\14\353\23\300\302\10\0V\213\361V\350\30\177\377\377\215F\4P\350\17\177\377\377\203\306\10V\350\6\177\377\377^\303V\213\361\203~X\0t\15\203fX\0\215F\14\213\10P\377Q\4\203\306TV\350\345~\377\377^\303V\213\361\203~`\0t\15\203f`\0\215F\14\213\10P\377Q\4\203\306\V\350\304~\377\377^\303\213D$\10V\213\361\211F\14\213D$\103\311;\301\307\6\330\216\33w\307F\4(\216\33w\307F(\1\0\0\0u\2\213\306\211F$\213D$\24\211F\24\211N\30\211N\34\211N \213\10P\377Q\4\213D$\20\211F\10\213\306^\302\20\0\213D$\4\213@\4\302\4\0\213D$\4\213L$\10\211H\14\302\10\0\213D$\4\213@\14\302\4\0V\213t$\10\203\306(V\377\25h\24\33w\213\6^\302\4\0V\213t$\10W\215F(P\377\25d\24\33w\213\370\205\377u\15\205\366t\11\213\6j\1\213\316\377P\14\213\307_^\302\4\0\377t$\14\213D$\10\213@ \377t$\14\213\10P\377\21\302\14\0\213D$\4\213@ \213\10P\377Q\4\302\4\0\213D$\4\213@ \213\10P\377Q\10\302\4\0V\213\361\215F\34P\307\6\330\216\33w", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03438   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\321\303t\7`-\0\200", ) , ) == 0x0
 03439   896   NtReadFile  (192, 0, 0, 0, 11616, 0x0, 0, ... {status=0x0, info=11616},  (192, 0, 0, 0, 11616, 0x0, 0, ... {status=0x0, info=11616}, "\270\23\304\235'\356;q\334\211\342N\23w\235\270\356\304q'\211;N\334w\342\270\23\304\235'\356;q\334\211\342N\23w\235\270\356\304q'\211;N\334w\342\270\23\304\235'\356?q\344\376\316\321\326\333\25\251\337OD\225\2001\10\232\240\212E\36\346\212L\217\24Nxf\275+\365M\14\331\247\7\2407pz#\251\2370V:D\213\313\266\36\360zk|/\32M\331\315\355>\273\301\362\0\334\260\267\361h\342j\247\301jUM\21\332\317 \255\310]%M\313]\22\252\206\7\361\226\220\232|M\302\267\377\250\307\366\370\14#\6\227`O\23=h\2\270K\243\257$\311\3\311RJ+\!\3203\305\273\13p\362\371\25b\331\377\362\22`'xi;m\210\321c\264i<\374\20\26\324\276\243\347\327\253\370D\237\241\277\232\2\224\200\16\215V \3256\1m\365\205\321h\13#\360\303\242v3\367\241\306=e]#\4;\3073\177$\222\33Ec\36\205\200(Bt\242\22\274n\11x\212\315\16\353\17\230M0\356?\272$\374\37n\33\352Y5\317\332\200\256\350\275T^d\330\307:\354:\205G\20\336\356\250\321\3P\234\15\264\21\207\364\177|M\371\351D\301\241<\0\336_\254\340\22\344\357\275\323\270\363\33e\320\207\235\315;-\212\232C\33'\234\231\240\34\231\16X\324\254j\12R\216\271\6\221e|R\34\332\243\36\326\212,J\337q\322\252\333\311\177RBE\357vJ\7=>I\3469\277\313C\351G\356\233\226\223f@2\266=e%\205X6\343\371=N\330\362\370<\351\321|5\202;\242\354j.q@\271\201S\250$\210[-\223\\11\227I \5\4\332\301\207a\236\235Dv\376\263\226\22\17\325tb\222\3618\200\17\30ADF1$\220$\302H'?q\251", ) , ) == 0x0
 03440   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\377\377j=\351B\376\377\377j>\351;\376\377\377j?\3514\376\377\377j@\351-\376\377\377jA\351&\376\377\377jB\351\37\376\377\377jC\351\30\376\377\377jD\351\21\376\377\377jE\351\12\376\377\377jF\351\3\376\377\377jG\351\374\375\377\377jH\351\365\375\377\377jI\351\356\375\377\377jJ\351\347\375\377\377jK\351\340\375\377\377jL\351\331\375\377\377jM\351\322\375\377\377jN\351\313\375\377\377jO\351\304\375\377\377jP\351\275\375\377\377jQ\351\266\375\377\377jR\351\257\375\377\377jS\351\250\375\377\377jT\351\241\375\377\377jU\351\232\375\377\377jV\351\223\375\377\377jW\351\214\375\377\377jX\351\205\375\377\377jY\351~\375\377\377jZ\351w\375\377\377j[\351p\375\377\377j\\351i\375\377\377j]\351b\375\377\377j^\351[\375\377\377j_\351T\375\377\377j`\351M\375\377\377ja\351F\375\377\377jb\351?\375\377\377jc\3518\375\377\377jd\3511\375\377\377je\351*\375\377\377jf\351#\375\377\377jg\351\34\375\377\377jh\351\25\375\377\377ji\351\16\375\377\377jj\351\7\375\377\377jk\351\0\375\377\377jl\351\371\374\377\377jm\351\362\374\377\377jn\351\353\374\377\377jo\351\344\374\377\377jp\351\335\374\377\377jq\351\326\374\377\377jr\351\317\374\377\377js\351\310\374\377\377jt\351\301\374\377\377ju\351\272\374\377\377jv\351\263\374\377\377jw\351\254\374\377\377jx\351\245\374\377\377jy\351\236\374\377\377jz\351\227\374\377\377j{\351\220\374\377\377j|\351\211\374\377\377j}\351\202\374\377\377j~\351{\374\377\377j\177\351t\374\377\377h\200\0\0\0\351j\374\377\377h\201\0\0\0\351`\374\377\377h\202\0\0\0\351V\374\377", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03441   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\_\212I\2425\0\200", ) , ) == 0x0
 03442   896   NtReadFile  (192, 0, 0, 0, 13730, 0x0, 0, ... {status=0x0, info=13730},  (192, 0, 0, 0, 13730, 0x0, 0, ... {status=0x0, info=13730}, "g\22\274>\206F\333ht\11\277\251/\15\33\203'q\221\353\216\210\257\376\375\306\272\364\246\213\31l\223\376D\325hr\211\210G\20\257\250\204\310\210\267\370\2268nF#8\21\200\246w\276\16\255\22\212\211\352\13gc4\1'.0\24\260\373\4\22j\300$D\334(Z@6S\200\255\321\5\325\13]\237\20 \177W\221\13* W@\13K\261G\376\33\266\373\323\17\345_\352\252\301\300\335\304}\320@@ j\256\245\327)f\321\200x\366\206\226\\342\233[\316o\264\335k\33t\271uRa\16\3t|\347\272F$"\223\224\372\322\14-X \s_\315\322D\277\202\201\25\272w\36I\240\357\303\302\337\213y\322\317\274\221h\206&\314\224\3\336\263n\326q\276\237\364kn\331i=\364\373\227\360\276\316:C\332\6x\12[SS\343%\312\22X\374\227\251\300\373\14\12\252\2419\362\237'_l$i\340\253\351\35\220\2749]\365\346\275\216\30\376\351\17\265\373\266\307\222\3300\253y\255\266\223\362\357}\272[\227\2\340\311\223\351\221\0D\345\357\355C\257\302A\257m|IV!`i\0L!\13<\331\226\315RX\316o\313G\271\33}H\377H\5\350+\204\251V\324\350\336D\27\4\361-i\203(g\257n\272\252\212\365\222G'\3\343\375\240\360\205\337dR\32\370\223-\344\204\310\346\354'\225\224\216\201\331\20^\4{\26\202\343\225\232W\253,\265\4\331@\311\232Wt\353\257(*\361\361w\312\37\7\333\325\200\345W\330\212R\31\17/}9\35\223\214\5z\10\17\317\201T\202\207\326\265K\256x\357\336\362\216\260\271K*)\377\207\3422\375\4\343S\272\212rM\250\333\16\330\23j6T\305\303\334k(\210\2339\202`\222\342\25\245o\211\23\264\343\10\256#\217noY\2\262", ) \223\224\372\322\14-X \s_\315\322D\277\202\201\25\272w\36I\240\357\303\302\337\213y\322\317\274\221h\206&\314\224\3\336\263n\326q\276\237\364kn\331i=\364\373\227\360\276\316:C\332\6x\12[SS\343%\312\22X\374\227\251\300\373\14\12\252\2419\362\237'_l$i\340\253\351\35\220\2749]\365\346\275\216\30\376\351\17\265\373\266\307\222\3300\253y\255\266\223\362\357}\272[\227\2\340\311\223\351\221\0D\345\357\355C\257\302A\257m|IV!`i\0L!\13<\331\226\315RX\316o\313G\271\33}H\377H\5\350+\204\251V\324\350\336D\27\4\361-i\203(g\257n\272\252\212\365\222G'\3\343\375\240\360\205\337dR\32\370\223-\344\204\310\346\354'\225\224\216\201\331\20^\4{\26\202\343\225\232W\253,\265\4\331@\311\232Wt\353\257(*\361\361w\312\37\7\333\325\200\345W\330\212R\31\17/}9\35\223\214\5z\10\17\317\201T\202\207\326\265K\256x\357\336\362\216\260\271K*)\377\207\3422\375\4\343S\272\212rM\250\333\16\330\23j6T\305\303\334k(\210\2339\202`\222\342\25\245o\211\23\264\343\10\256#\217noY\2\262", ) == 0x0
 03443   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\215\205t\373\377\377Ph\304 \33wh\330\325\33w\377u\340\350\313\376\377\377\211C h\320;\33wV\377u\340\350=\375\377\377h\20-\33w\276D,\33wV\377u\340\350*\375\377\377V\377u\340\350\271\374\377\377h\300\325\33w\377u\340\350\254\374\377\377h\244\325\33w\377u\340\350\237\374\377\377hd,\33w\377u\340\350\222\374\377\377h$,\33w\377u\340\350\205\374\377\377h\224\325\33w\377u\340\350x\374\377\377hx\325\33w\377u\340\350k\374\377\377hd\325\33w\377u\340\350^\374\377\377hL\325\33w\377u\340\350Q\374\377\377h8\325\33w\377u\340\350D\374\377\377\213E\340\211\205p\373\377\377h \325\33wP\2135\320\20\33w\377\326\213E\340\211\205l\373\377\377h\24\325\33wP\377\326\213E\340\211\205h\373\377\377h\374\324\33wP\377\326\213E\340\211\205d\373\377\377h\344\324\33wP\377\326\213E\340\211\205`\373\377\377h\314\324\33wP\377\326h\254\324\33w\377u\340\350\334\373\377\377h\224\324\33w\377u\340\350\317\373\377\377h\374\256\33w\377u\340\350\302\373\377\377h\0-\33w\377u\340\350\265\373\377\377h\330\325\33w\377u\340\350\250\373\377\377\377u\340\2135\340\20\33w\377\326\203e\340\0\353\6\2135\340\20\33w\215E\214P\377u\344\350\205\373\377\377\377u\344\377\326\203e\344\0\353\6\2135\340\20\33w\213C\34\205\300t5\215M\334QPW\377\25\270\20\33w\211\205|\375\377\377\205\300u\37h|+\33w\377u\334\350J\373\377\377\377u\334\377\326\203e\334\0\377s\34W\3508\373\377\377\213C \205\300tB\215M\334QPW\377\25\270\20\33w\211\205|\375\377\377\205\300u,h|+\33w\377u\334\350\16\373\377\377hl+", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03444   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\177\307N\312\260=\0\200", ) , ) == 0x0
 03445   896   NtReadFile  (192, 0, 0, 0, 15792, 0x0, 0, ... {status=0x0, info=15792},  (192, 0, 0, 0, 15792, 0x0, 0, ... {status=0x0, info=15792}, "P\304\34\310\367\24\34\225\17\216\242\37\22!M>\370,\346\\214\304\303\332\225\337#\6?\242eam\25{\5\341+\10\371\273\353[\240L\331\177A\242CW\267\367K=\22<\257\317\367\320\22E\375\300'\367K\270\244\267\\215U\367UV\307\]\24\326\246\373\361\355j\1\304\333\256\366\33\372\23\305\306p\275\222\3706\276Z-\374\344\327=\3371|\24a|6\276\252\213\2462\356\257|/.\203~F\300\337\261~\347\304\356\343\355+=f\243'\362\250\22x\376\203\324p=\22\21\35\30n\25\236=\340\12O?\336\25\21w\354a\36D\327\16\255\270<4\341"\341n\313\267\373$\374\21H\313\357\21\311\350\316\211\227\367W\240\317\221\367I\373 \235LK\351Nn\2p\273\257\10\360M\257\271\230\337&\356\340Q\366\34\327>\342\355\177t\220\245\237\246\30m.\20\251\242\351\37\12\235a\264%\236\324\236Wla\312\351\324\126B(I\317\307\256}\225\36\201t\15\322\237CC\247\232B\230\306QY$\364\326\360\221\216\17\276?\200 \20p\327\333k\345\320\14\222\372\21T\326o`Vl\332\23\212\341\276\370Ua\255#/\367\327),k\177\357C\17E\217h\14\2227\250\252,\311Y\12h\364\256\251\312\22Zx~\376\317N\235-\5N@\254\250\301\347\213\230=\326\265k\275}\233\345&\321\355|N{`\11)\230\6\177\31\5\15x\16\277\322\\\271\360v\336\345\237g\341\27 n\316\23v>\30/\34\355\3565e\226\364\223\21m\250\256J|\322`\242\273\301;\242\30\325\325\2043;TY\\203\315\226\353/\24\4s\222\371\307\7\331\230\1k\344\6[\313\217\231B\276.\242\201?\215\310\321\237\1I\1\1\300\341\4D,+\201%\216)\314O\277\10L\272\4", ) \341n\313\267\373$\374\21H\313\357\21\311\350\316\211\227\367W\240\317\221\367I\373 \235LK\351Nn\2p\273\257\10\360M\257\271\230\337&\356\340Q\366\34\327>\342\355\177t\220\245\237\246\30m.\20\251\242\351\37\12\235a\264%\236\324\236Wla\312\351\324\126B(I\317\307\256}\225\36\201t\15\322\237CC\247\232B\230\306QY$\364\326\360\221\216\17\276?\200 \20p\327\333k\345\320\14\222\372\21T\326o`Vl\332\23\212\341\276\370Ua\255#/\367\327),k\177\357C\17E\217h\14\2227\250\252,\311Y\12h\364\256\251\312\22Zx~\376\317N\235-\5N@\254\250\301\347\213\230=\326\265k\275}\233\345&\321\355|N{`\11)\230\6\177\31\5\15x\16\277\322\\\271\360v\336\345\237g\341\27 n\316\23v>\30/\34\355\3565e\226\364\223\21m\250\256J|\322`\242\273\301;\242\30\325\325\2043;TY\\203\315\226\353/\24\4s\222\371\307\7\331\230\1k\344\6[\313\217\231B\276.\242\201?\215\310\321\237\1I\1\1\300\341\4D,+\201%\216)\314O\277\10L\272\4", ) == 0x0
 03446   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "t\5\33\300\203\330\3773\311\205\300\17\225\301\213\301_^\303U\213\354\203\354\14\213M\14\366A\20\1Vu\7\276i\0\4\200\353D\213E\10\213\20\215u\364VQP\377R\14\205\300u4\203}\364\1t\7\276i\0\4\200\353\34\213E\20\377u\370\213M\374\377p\4\307\0\1\0\0\0\211H\10\350\375\364\377\377\213\360\215E\364P\350\341\3\370\377\213\306^\311\302\14\0\377t$\10\350\224\371\377\377\205\300u\20\213D$\4\377t$\10\213H\4\350\\350\377\377\302\10\0U\213\354QV\213u\10\213N\4W\215E\374P\215E\10P\377u\14\277\334\0\0\0\3\317\350\27\376\377\377\205\300u@\213N\4P\377u\10\3\317\350{\376\377\377\205\300t.\213N\4\203yD\1u\16j\0\377u\10\350\324\346\377\377j\1\353\14j\1\377u\10\350\306\346\377\377j\2\377u\10\213N\4\350\271\346\377\377\213F\4\213\200\324\0\0\0\205\300_^u\7\270\16\0\7\200\353\11\377u\14\213\10P\377Q\20\311\302\10\0\213D$\4\213@\4\213\200\324\0\0\0\205\300u\7\270\16\0\7\200\353\12\377t$\10\213\10P\377Q\24\302\10\0\377t$\14\213D$\10\213@\4\377t$\14\203\300HP\350\30'\1\0\302\14\0W\213|$\20\205\377t(\350\357\310\375\377\205\300t\15j\24W\377\25L\24\33w\205\300u\22V\213t$\20j\5Y\363\245\2700\1\4\0^\353\5\270W\0\7\200_\302\14\0V\213\361\203\276\350\0\0\0\0u\7\270\377\377\0\200\353S3\300f\213F^SWP\350\270\364\377\377\277\346\3\0\0\213\330\17\267\303P\17\267D$\24PW\350G\316\3\03\311AQQj\0QPWQ\377\266\350\0\0\0\213\316\350\371\371\377\377f\205\333\213\360t\13\205\366}\7", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03447   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\301a\327\216\2168\0\200", ) , ) == 0x0
 03448   896   NtReadFile  (192, 0, 0, 0, 14478, 0x0, 0, ... {status=0x0, info=14478},  (192, 0, 0, 0, 14478, 0x0, 0, ... {status=0x0, info=14478}, "\334u-Q8\6\210xu{\356\3004\213C\261\343H\320YA\13\322\322a\331\322\246\337T\206\223\227\322&u\274\244\216#(\33g;yJ\322\257\261\17\371\376\355\\27\350<\206M\276\351F\250Y]\201\262\303h\362\206\362t\256\31!\203\314k\366)K\305\212F\271\375:\317\24\226q$P\15x\312M\326\304\310\212\321\262\24\346&\366L\262\24C4\24I\364{\4\234/t\361\373\27/\306Z\332\272\224\222z\17O@S\366|\350\313\276t\200\250a\210s'I\206X\275]\237s\257\253\203\31@n\345\314\253\317\317AdL\272$I*~\20\27\361\33\5e\336\306\376\236\370r\360\22\365l\353L\242\277\16]\375[\177\210\205\253\234N)\367mH\367\275\235\326\266\224p\271\340u\203\300q\344\364Z\5\4\3065W\326*\207\365.\6\214\17/oh\\321l\241\24 ((\0'\20\367X \355\222\35\270\233k\353R\224\303\276\10i4\3=\373\303\302\351\22\1;W\224\262\376\3657\241Y\271}-8\206\256\237r\271\0|;?Oi#\340\203\272\325\216\236H\324(\7\260\224`\323\30v(\337\277\34\264\32\0]\256n\366~\235LK\326\30@W?\317\4\250\15\204\376\223\275S\226\333\277k\303\23u\356\16\205\327\307z\23h\30;\231\303x~\247\300\222\246\217\263\262z\311^\244x(\352uLx\372\331\327\211\244\312\272\34\208\334\206\36\2429\264MjO\203\354\265]\334\314\323\367T\6\321\26\371\20\323\334\300\26.\35\217v\346\231;fT\260y\\206\216\346^\243\367"\216*\316CG\300\266\1\302o\352\241\243\301`?\354\224\235Y\12\237\315B\273\216\303]\366\7\277\246\27e\232xH\272p\263K\34\273\357\322\317\277B\225u\270\35\16\367\253\302\374\33\206", ) \216*\316CG\300\266\1\302o\352\241\243\301`?\354\224\235Y\12\237\315B\273\216\303]\366\7\277\246\27e\232xH\272p\263K\34\273\357\322\317\277B\225u\270\35\16\367\253\302\374\33\206", ) == 0x0
 03449   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "u\10\377\327\205\300u\22\377u\360\377\25\340\20\33w\307E\374\1\0\0\0\353$j\4Y\277<\235\34w\215u\3403\300\363\247u\23PP3\366FVS\377u\10\377\25\324\20\33w\211u\374\377u\10\377\25\340\20\33w\203}\374\0[t\53\366F\353?\2135\270\20\33w\215E\10PhL\325\33w\377u\370\377\326\205\300u\13\377u\10\377\25\340\20\33w\353\31\215E\10PhH5\33w\377u\370\377\326\205\300t\343\307E\374\1\0\0\0\213u\374\377u\370\377\25\340\20\33w\213\306_^\311\302\4\0U\213\354\213E\10\213\10V\215U\10Rhd\335\33wP3\366\377\21\205\300u\24\213E\10\213\10P\377Q4\213\360\213E\10\213\10P\377Q\10\213\306^]\302\4\0U\213\354\203\354\20S\213]\30\205\333VWtv\350nI\375\377\205\300t\15j\4S\377\25L\24\33w\205\300u`\377u\10\203#\0\350\345\315\366\377\205\300tQ\203}\24\0t\14\377u\24\350\323\315\366\377\205\300t?\215E\360P\377u\10\350\202\272\370\377j\4Y\277d\272\34w\215u\3603\322\363\247t'Sj\2\377u\10\215u\360\377u\24\377u\20\377u\14\203\354\20\213\374\245\245\245\245\350\241\371\377\377\353\5\270W\0\7\200_^[\311\302\24\0U\213\354\203\354PS3\333V\213u ;\363W\211]\374\211]\364\211]\370\17\204]\2\0\0\350\315H\375\377\205\300t\21j\4V\377\25L\24\33w\205\300\17\205C\2\0\0\377u\10\211\36\350A\315\366\377\205\300\17\2041\2\0\09]\24t\34\350\207H\375\377\205\300t\23j\24\377u\24\377\25P\24\33w\205\300\17\205\20\2\0\0\377u\34\350\20\315\366\377\205\300\17\204\0\2\0\09]\30t\20\377u\30\350\373\314\366\377", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03450   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\372o\225A\6:\0\200", ) , ) == 0x0
 03451   896   NtReadFile  (192, 0, 0, 0, 14854, 0x0, 0, ... {status=0x0, info=14854},  (192, 0, 0, 0, 14854, 0x0, 0, ... {status=0x0, info=14854}, "\23X\335Y\21\232\306-O\200\203\223\34$RE$4\245\220\237\236\0Q\240W\372\301\23\3269Lg\210\330k{v\5\203\207\1\33\366T\311w\370\207\316\242u\223j\327\244x?\316Yo\211\274R\304g\240f\364\205\313!\0AB\201\321\201\15\1\363\16\5\267\34\234T\304//\13B^\272Yav\317\377zI\207\273;\226\207\322\324BK\303\203\3370\2\32\367\307\357S\341\200"\235%~\207\332\251QY\323\244\202\367]\25p"\260\35\341g+\212 C'\265\335\236O\276z\374\325\231\230o\200\245eEw\224t\366W\221O\4\204\360If\234\266u(+\14\22\357J\336=\211\2268vWm\237\372\0\22\377\233\366&\23O\376\22\360\301r\325\37d\215(\367\343\254\200\352$k\203\22=\2463\316E\300\253C\20\212C>\272e\322W\361\30\272:4?*\250\342WQ!\350X\21\360\31\232v~\27\363\17\354T\320\322\37N\2311\227\234@\20<\346+\22^\371\346}\365\3032\26\253-\267U_\274\357_5\234b\25\26\201u\330md\363\231#W\6g\352\16\323\343P\25\313\375\346\274\320\357\106\251\16]\14~\22\217\227\337\346\375\354\274e\207\346[\220\235\15\253\266?&\254`\352Y\206A\305\245\11\11\0iD\4BM\373T8\366\306u\363+*\202\262\226\233{\356%\373\214,\272\11\370\270G\14\311"e\337C~\262\21WG\262-\321\366\20\260\377\370\212P\253\20\0\277\361\344\236Q\362\2365\322>\366,\23\240\342^f\24\254A\254&\201\\240\342d\13\334\334\257F\311\310,gy\366\14\337\12\210\213(\253@\17\206\210V\24u\262\366`g5a)YW\27j\262D\277OD\271s\364\265\310@r!\260\215\337:Lt\227\226\322i\361", ) \235%~\207\332\251QY\323\244\202\367]\25p (192, 0, 0, 0, 14854, 0x0, 0, ... {status=0x0, info=14854}, "\23X\335Y\21\232\306-O\200\203\223\34$RE$4\245\220\237\236\0Q\240W\372\301\23\3269Lg\210\330k{v\5\203\207\1\33\366T\311w\370\207\316\242u\223j\327\244x?\316Yo\211\274R\304g\240f\364\205\313!\0AB\201\321\201\15\1\363\16\5\267\34\234T\304//\13B^\272Yav\317\377zI\207\273;\226\207\322\324BK\303\203\3370\2\32\367\307\357S\341\200"\235%~\207\332\251QY\323\244\202\367]\25p"\260\35\341g+\212 C'\265\335\236O\276z\374\325\231\230o\200\245eEw\224t\366W\221O\4\204\360If\234\266u(+\14\22\357J\336=\211\2268vWm\237\372\0\22\377\233\366&\23O\376\22\360\301r\325\37d\215(\367\343\254\200\352$k\203\22=\2463\316E\300\253C\20\212C>\272e\322W\361\30\272:4?*\250\342WQ!\350X\21\360\31\232v~\27\363\17\354T\320\322\37N\2311\227\234@\20<\346+\22^\371\346}\365\3032\26\253-\267U_\274\357_5\234b\25\26\201u\330md\363\231#W\6g\352\16\323\343P\25\313\375\346\274\320\357\106\251\16]\14~\22\217\227\337\346\375\354\274e\207\346[\220\235\15\253\266?&\254`\352Y\206A\305\245\11\11\0iD\4BM\373T8\366\306u\363+*\202\262\226\233{\356%\373\214,\272\11\370\270G\14\311"e\337C~\262\21WG\262-\321\366\20\260\377\370\212P\253\20\0\277\361\344\236Q\362\2365\322>\366,\23\240\342^f\24\254A\254&\201\\240\342d\13\334\334\257F\311\310,gy\366\14\337\12\210\213(\253@\17\206\210V\24u\262\366`g5a)YW\27j\262D\277OD\271s\364\265\310@r!\260\215\337:Lt\227\226\322i\361", ) e\337C~\262\21WG\262-\321\366\20\260\377\370\212P\253\20\0\277\361\344\236Q\362\2365\322>\366,\23\240\342^f\24\254A\254&\201\\240\342d\13\334\334\257F\311\310,gy\366\14\337\12\210\213(\253@\17\206\210V\24u\262\366`g5a)YW\27j\262D\277OD\271s\364\265\310@r!\260\215\337:Lt\227\226\322i\361", ) == 0x0
 03452   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\377\377w\14\377w\10\350m\324\376\377\205\300u\7\276h\0\4\200\353B\377u\20\213Fx\203\300,\213\10WP\377Q\20\205\300t,\215F\14\213\10P\377Q\24\205\300t\32\213\313\350\343w\367\377\205\300t\17\377u\20\213v4\213\6WV\377P\20\353\5\270\5\0\4\200\213\360\213\313\350+\376\377\377\213\306\353\5\270W\0\7\200_[^]\302\14\0V\213t$\10\215N\24\350\23\237\366\377\205\300u\12\270\16\1\1\200\351\216\0\0\0W\213|$\20\205\377t\177\350\256\311\374\377\205\300t\15j\24W\377\25P\24\33w\205\300uiS\215^\350\213\313\350\275\375\377\377\377w\14\377w\10\350\271\323\376\377\205\300u\7\276h\0\4\200\353<\213Fx\203\300,\213\10WP\377Q\24\205\300t)\215F\14\213\10P\377Q\24\205\300t\27\213\313\3502w\367\377\205\300t\14\213v4\213\6WV\377P\24\353\5\270\5\0\4\200\213\360\213\313\350}\375\377\377\213\306[\353\5\270W\0\7\200_^\302\10\0U\213\354S\213]\10V\215K\24\350c\236\366\377\205\300u\12\270\16\1\1\200\351\247\0\0\0W\213}\20\205\377\17\204\225\0\0\0\350\20\311\374\377\205\300t\15j\24W\377\25L\24\33w\205\300u\177\213u\14\205\366tx\350\336\310\374\377\205\300t\15j\24V\377\25P\24\33w\205\300ub\215K\350\211M\10\350\355\374\377\377\203g\4\0\203g\20\0\377v\14\377v\10\350\341\322\376\377\205\300u\7\276h\0\4\200\353-\215C\14\213\10P\377Q\24\205\300t\31\213M\10\350jv\367\377\205\300t\15\213C4\213\10WVP\377Q\30\353\5\270\5\0\4\200\213\360\213M\10\350\263\374\377\377\213\306\353\5\270W\0\7\200_^[]\302\14\0U\213\354V\213u\10\215N\24\350\231", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03453   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\24\334AI`9\0\200", ) , ) == 0x0
 03454   896   NtReadFile  (192, 0, 0, 0, 14688, 0x0, 0, ... {status=0x0, info=14688},  (192, 0, 0, 0, 14688, 0x0, 0, ... {status=0x0, info=14688}, "\37\275D\2378^\257\364\232~\377\32\2625r`\204e6\22a\312\223\250\351U\365?\315)\217{\336\247\13\353\11.#\11\301v\204\276D\4\342Z\20\311\207G\306\337\(\367i\364i1\336S\16\253sUa\333\315b\343\345/2\337\250}\377q\12\314\367\372\305%\337\6\332\336\244@\7\333\273\276o\335\333Y\226\375\262\37\16\305&\246v\276\177\270\331\35\261;\312\3663g\227\237\234\354*}\247\10\2372\346\200\203m\361\2\262E\273\320\255\35h\254\15\3754\243\240\11|\350\371\254\336\306\23\352)b8\350{{\246\332\373U\214\306\242\24\262-\322\376\332B\261\3y\321*\362\304P\266\366\332\275\273\354\306\275D\23\177\325;\247\312,n\266\366\314\335>F^\216\302\210\232>\22\276\2\246\376\370\365B4\220\273DfI\3\365\323\272T\355\227\341253cD\1\3713\310\32\4\177\270\353\321\367enR,H\17\335\205\331%\326\336\200;\2247\31`h\220Z\261&\15\26\25nJ=\211\\201\374\241C\353]\327\323V\274R\247K\3019\213\203\322\302\337\234\340\370\250y\266\217\375\31e\364\375\336\362u\317\20}\307\26k\253\237\32\17Q\310\200\251\265Kh2\0n\2342#K\212\246\221">\353\314\276\363\247\311\217iU\332\201\270\332\243\224\203\303@F#\371R\365\222 X;\15\4\230\331m\32\255X\375vZxf5\31\307|\315Xf\327@6's'\270\206\310\334\13%r!\201.\377\0\224.'+\312\335\353\236:\10sBw\250\205\246\2\303q\2548d\227\4+\235\273;D{\365\202\257%Z}\201\304\347`\37\363\200\374h\261"$\317\367l\232\334\207\316\250D\211'm\264 \31\305\254B\302\234+\320\210b\226\335\30\271\3724\342R\213\212\330\31e\234\301", ) >\353\314\276\363\247\311\217iU\332\201\270\332\243\224\203\303@F#\371R\365\222 X;\15\4\230\331m\32\255X\375vZxf5\31\307|\315Xf\327@6's'\270\206\310\334\13%r!\201.\377\0\224.'+\312\335\353\236:\10sBw\250\205\246\2\303q\2548d\227\4+\235\273;D{\365\202\257%Z}\201\304\347`\37\363\200\374h\261 (192, 0, 0, 0, 14688, 0x0, 0, ... {status=0x0, info=14688}, "\37\275D\2378^\257\364\232~\377\32\2625r`\204e6\22a\312\223\250\351U\365?\315)\217{\336\247\13\353\11.#\11\301v\204\276D\4\342Z\20\311\207G\306\337\(\367i\364i1\336S\16\253sUa\333\315b\343\345/2\337\250}\377q\12\314\367\372\305%\337\6\332\336\244@\7\333\273\276o\335\333Y\226\375\262\37\16\305&\246v\276\177\270\331\35\261;\312\3663g\227\237\234\354*}\247\10\2372\346\200\203m\361\2\262E\273\320\255\35h\254\15\3754\243\240\11|\350\371\254\336\306\23\352)b8\350{{\246\332\373U\214\306\242\24\262-\322\376\332B\261\3y\321*\362\304P\266\366\332\275\273\354\306\275D\23\177\325;\247\312,n\266\366\314\335>F^\216\302\210\232>\22\276\2\246\376\370\365B4\220\273DfI\3\365\323\272T\355\227\341253cD\1\3713\310\32\4\177\270\353\321\367enR,H\17\335\205\331%\326\336\200;\2247\31`h\220Z\261&\15\26\25nJ=\211\\201\374\241C\353]\327\323V\274R\247K\3019\213\203\322\302\337\234\340\370\250y\266\217\375\31e\364\375\336\362u\317\20}\307\26k\253\237\32\17Q\310\200\251\265Kh2\0n\2342#K\212\246\221">\353\314\276\363\247\311\217iU\332\201\270\332\243\224\203\303@F#\371R\365\222 X;\15\4\230\331m\32\255X\375vZxf5\31\307|\315Xf\327@6's'\270\206\310\334\13%r!\201.\377\0\224.'+\312\335\353\236:\10sBw\250\205\246\2\303q\2548d\227\4+\235\273;D{\365\202\257%Z}\201\304\347`\37\363\200\374h\261"$\317\367l\232\334\207\316\250D\211'm\264 \31\305\254B\302\234+\320\210b\226\335\30\271\3724\342R\213\212\330\31e\234\301", ) , ) == 0x0
 03455   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\14S\215]\254\350I\366\377\377\213\360[\215M\254\350\235\374\377\377\213\306^\311\302\10\0U\213\354\203\354\SVW3\377\215M\244\211}\374\211}\370\350n\351\377\3773\333Cf9}\14t|\213u\34;\367t \350\375I\374\377\205\300t\27j\14V\377\25P\24\33w\205\300t\12\276W\0\7\200\351\14\1\0\0\213N\4;\317u\12\276f\0\4\200\351\373\0\0\09}\30t\340\213\6Ht7\203\350\3t\12\276i\0\4\200\351\342\0\0\0Q\350Z\316\365\377\205\300t\302\215E\374P\377u\30\377v\4\350\261\34\0\0\213\360;\367\17\205\277\0\0\0\211]\370\353\3\211M\374\215E\244P\377u \377u\10\350\327\376\377\377\213\360;\367|B\213M\314;\317t\11S\350\11c\377\377\211}\314f9}\14t|j0W\3775\24\370*w\377\25`\320*w;\307t\13\213\310\350\326\350\377\377\213\360\353\23\366;\367\211u\314u\32\276\16\0\7\2009}\370t[9}\374tV\377u\374\377\25\270\22\33w\353K\213E\20\211F\34\213E\24\211F\30\213E\30\211F 3\3009}\370\17\224\300\211F,\213E\374\211F(\377u\374\377\25\344\23\33w\211F$f\213E\14\211\36f\211F\4\353\3\211]\350\213E \215]\244\350\344\364\377\377\213\360\215M\244\3509\373\377\377_\213\306^[\311\302\34\0U\213\354QQ\203e\374\0S\213]\10V3\366\213\303\350\217\334\377\377\205\300\17\214\20\1\0\0\215u\370\213\303\350}\334\377\377\205\300\17\214\376\0\0\0W\213}\370\203\377\3u\17\213u\14\213\373\350\217\375\377\377\351\345\0\0\03\300@;\370t\17\203\377\2t\22\270\302\1\4\200\351\317\0\0\0\213u\14\211F<\353\3\213u\14\215E\374P\213\303\350g", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03456   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, ")?r\265`@\0\200", ) , ) == 0x0
 03457   896   NtReadFile  (192, 0, 0, 0, 16480, 0x0, 0, ... {status=0x0, info=16480},  (192, 0, 0, 0, 16480, 0x0, 0, ... {status=0x0, info=16480}, "\246SX\26\30C,\4\361\37b\377B:\33\306\213ya_\220\7\234\316o\21\271\22iKp\360H\6\274\16\207:\3101\274\246vp\3509\207\235\305\13\214\332\220Z\30\316\327\375\233\302}\230\226\344Z@89C\303\6\273Hw\311\301\346\322^\271#\225)L\355V\207\253S\273\259\345\212\335\321&\223\316\214\303\26"#\277\345\300\362\346b\217mn\372\342\360\267:\3350\6+E\1\200\253w\230\11q\231\365]\237o\315\314\206\310Y7\264\360\264O 6rC\253\271\255@|\247\205'\224U\273A\247\243\345f\353\360^\310\321\337o\340\206\234\264D\316r.\262m\370\21[x\350o\233/\343ZLF{\205al\321u\361\21\14\330VS\224\322\334\214mB\357(-.\324\266o|7\234A\2653cU\226N\25\31\6\226\330.\250\24\332\322\321\307\336\246XY78{f\225I\177\322\361\252\375"\377\34\254\345\264<\276\230Q~\230:\266\2702\263\343<8rv\232\247haTgMkl&\257\271[\331mL\3515^\2\252\235f\253Vs\202\254\367\271\206\373\307\234\3\227\255X\341\232\307\343\250\255Y\277y\240=@\241%Q\277\300\20ben)\2611\27\256\235\2323\23u\233\26\275K\242\305$Mw\221\204K\333\207\274\222\250E\33_\24B\213\21j\314\337~\265\344G\313\2\237\226{\2\244?\337\15\274k\313\346\31\357\211\24\310^ZA=1\334wr\243`\351\316\331\17\200|\20\211\16\321\24\354S\211\210\377cD\276\373\0\277\306\252\213\35\351\334\267m\344\15\23\227\362\372D\356+l\21t:\223\225\230+\344Zt\323\244g\372\0\316Or\32\325\227\347\364\3\371\374\310\353\262\216\251m\2650\35\230\220Y\377J4\20\200\372\344%\335Z\16\232!"", ) #\277\345\300\362\346b\217mn\372\342\360\267:\3350\6+E\1\200\253w\230\11q\231\365]\237o\315\314\206\310Y7\264\360\264O 6rC\253\271\255@|\247\205'\224U\273A\247\243\345f\353\360^\310\321\337o\340\206\234\264D\316r.\262m\370\21[x\350o\233/\343ZLF{\205al\321u\361\21\14\330VS\224\322\334\214mB\357(-.\324\266o|7\234A\2653cU\226N\25\31\6\226\330.\250\24\332\322\321\307\336\246XY78{f\225I\177\322\361\252\375 (192, 0, 0, 0, 16480, 0x0, 0, ... {status=0x0, info=16480}, "\246SX\26\30C,\4\361\37b\377B:\33\306\213ya_\220\7\234\316o\21\271\22iKp\360H\6\274\16\207:\3101\274\246vp\3509\207\235\305\13\214\332\220Z\30\316\327\375\233\302}\230\226\344Z@89C\303\6\273Hw\311\301\346\322^\271#\225)L\355V\207\253S\273\259\345\212\335\321&\223\316\214\303\26"#\277\345\300\362\346b\217mn\372\342\360\267:\3350\6+E\1\200\253w\230\11q\231\365]\237o\315\314\206\310Y7\264\360\264O 6rC\253\271\255@|\247\205'\224U\273A\247\243\345f\353\360^\310\321\337o\340\206\234\264D\316r.\262m\370\21[x\350o\233/\343ZLF{\205al\321u\361\21\14\330VS\224\322\334\214mB\357(-.\324\266o|7\234A\2653cU\226N\25\31\6\226\330.\250\24\332\322\321\307\336\246XY78{f\225I\177\322\361\252\375"\377\34\254\345\264<\276\230Q~\230:\266\2702\263\343<8rv\232\247haTgMkl&\257\271[\331mL\3515^\2\252\235f\253Vs\202\254\367\271\206\373\307\234\3\227\255X\341\232\307\343\250\255Y\277y\240=@\241%Q\277\300\20ben)\2611\27\256\235\2323\23u\233\26\275K\242\305$Mw\221\204K\333\207\274\222\250E\33_\24B\213\21j\314\337~\265\344G\313\2\237\226{\2\244?\337\15\274k\313\346\31\357\211\24\310^ZA=1\334wr\243`\351\316\331\17\200|\20\211\16\321\24\354S\211\210\377cD\276\373\0\277\306\252\213\35\351\334\267m\344\15\23\227\362\372D\356+l\21t:\223\225\230+\344Zt\323\244g\372\0\316Or\32\325\227\347\364\3\371\374\310\353\262\216\251m\2650\35\230\220Y\377J4\20\200\372\344%\335Z\16\232!"", ) ", ) == 0x0
 03458   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\213M\274w\10;\317\17\206\4\2\0\0\213\327\3U\334\211U\14\213\326\23U\340;\302\211U\20\17\207\354\1\0\0r\11;M\14\17\203\341\1\0\0\3M\334\213U\14\23E\340\211U\314\213U\20\307E\354\1\0\0\0\211U\320\211M\304\211E\310\203}\340\0w\12\203}\334\0\17\206E\1\0\0\213M\3503\3009E\340w\12r\59M\334s\3\213M\3349E\354\211M\20t=)M\314\31E\320)M\304\213M\370\31E\310\350o\303\377\377\213M\314j\0j\0\377u\310\211\10\213M\320\377u\304\211H\4\213E\10\213\10P\377Q\24\205\300\211E\374\17\214#\1\0\0\203e\360\0\213s4\215{0\213\317\3505\303\377\377\213N\10\211H\14\213N\14\211H\20\213N\20\211H\24\213M\370\350\33\303\377\377\213\10\213@\4\215U\360R\377u\20\377u\364PQ\215K,\350\2\303\377\377\213\310\350<\362\377\377\213\317\211E\374\350\361\302\377\377\213M\370\350\351\302\377\377\213u\360\213M\3703\377\30\23x\4\350\327\302\377\377\203}\374\0\2110\211x\4\17\214\245\0\0\0\213u\20;u\360\17\205\330\0\0\0\213M\34\350\241@\365\377\213E\10\213\10\215U\344RV\377u\364P\377Q\20\213M\34\213\370\350Z\247\377\377\205\300\211E\374|o\205\377\211}\374|h;u\344\17\205\247\0\0\03\300)u\334\31E\340\1u\324\21E\3309E\340\17\207\314\376\377\377r\119E\334\17\207\301\376\377\377\213}\264\213u\270\203}\354\0t1\213M\370\350L\302\377\377\3}\324\213U\10\23u\330\2118\211p\4\213E\274\3E\324\213M\300\23M\330\2132j\0j\0QPR\377V\24\211E\374\377u\364\350\372R\365\377\213E\24\205\300_^[t\13\213M\324\211\10\213M", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03459   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "_\2642\337\212?\0\200", ) , ) == 0x0
 03460   896   NtReadFile  (192, 0, 0, 0, 16266, 0x0, 0, ... {status=0x0, info=16266},  (192, 0, 0, 0, 16266, 0x0, 0, ... {status=0x0, info=16266}, "p\356sY\340\332\362\16X\336\322\243\177\231\310\206.\275]\305\316\363\356e\327"\373\364\301\12\25\233\233\270\2\266\237\324\202+y]f?\234\326PH\177\210\33\202M\234<\2660+\303"\304Y\222\356\13\205+Y\341\214\374,\215<5\306\254\375\12Q\25\364\2\314S\343M\210\214\350\257\22\322\205_7\0\6\344\16\351\264\225\232\355U\236H;\377i\3678_\241\2323b}\215~\220\372\6\200\270\353BU\227Yo\305\372\321>\204\20o\300E\223\360\233\317\306\276\225\270&%}\270\272\240$v\4 J\245\3560\5\302\232%\327\354-4\223\230\324\232x\237\243\375\330\367\226\220\17\320\251\211\305\306\370y\350u\272\201\332\375\205\223\364B\351J\354\264\357p\13\314\15\331\233\224\242%\207\2023Wf\354\314\3238\203\300\14\272\237z\267\352\263ay\216'O\263|\30:\322\337q\346\16\31\6\35\226\240s\327M~\373]\21\260\245\3"o\327D\35\30\261\257i\245N'M\257]B\256T\342O\220\265#\21\375\256\207\17\215`B\361\241\2027\361\313W\274\226\252\362Q\34\27\323\312uL\16\261\310\2\35\307\257\13_\201\253Qx\20\376\331\214\26\34`\6r\263Sou\2550\347\312^\272\210\256\12\365$\247\267\337\307d\4\325\212\27#\247[\252\362\207x\322\14\244S\213m/>\10q\272\25\351\307n\364\245\3744`p\306\346t\356\271&\360cd\214\364\326\215\364\212~\274\235\273r\236Qc\211g9)\30\336\250\360F\330]5\253\25\242Y\341Gf\315\376m\337\214\212\341\230J\\3772\205\207q\16v\\323M\1\377\327\272~\305\22\106\12\22\235\25\375\211\221\211s\247\216\227\333\5\340\275\4h\36\224\6\360d)r\32\361\256P\243t\247>\14\372\37\351\246j\362\31_", ) \373\364\301\12\25\233\233\270\2\266\237\324\202+y]f?\234\326PH\177\210\33\202M\234<\2660+\303 (192, 0, 0, 0, 16266, 0x0, 0, ... {status=0x0, info=16266}, "p\356sY\340\332\362\16X\336\322\243\177\231\310\206.\275]\305\316\363\356e\327"\373\364\301\12\25\233\233\270\2\266\237\324\202+y]f?\234\326PH\177\210\33\202M\234<\2660+\303"\304Y\222\356\13\205+Y\341\214\374,\215<5\306\254\375\12Q\25\364\2\314S\343M\210\214\350\257\22\322\205_7\0\6\344\16\351\264\225\232\355U\236H;\377i\3678_\241\2323b}\215~\220\372\6\200\270\353BU\227Yo\305\372\321>\204\20o\300E\223\360\233\317\306\276\225\270&%}\270\272\240$v\4 J\245\3560\5\302\232%\327\354-4\223\230\324\232x\237\243\375\330\367\226\220\17\320\251\211\305\306\370y\350u\272\201\332\375\205\223\364B\351J\354\264\357p\13\314\15\331\233\224\242%\207\2023Wf\354\314\3238\203\300\14\272\237z\267\352\263ay\216'O\263|\30:\322\337q\346\16\31\6\35\226\240s\327M~\373]\21\260\245\3"o\327D\35\30\261\257i\245N'M\257]B\256T\342O\220\265#\21\375\256\207\17\215`B\361\241\2027\361\313W\274\226\252\362Q\34\27\323\312uL\16\261\310\2\35\307\257\13_\201\253Qx\20\376\331\214\26\34`\6r\263Sou\2550\347\312^\272\210\256\12\365$\247\267\337\307d\4\325\212\27#\247[\252\362\207x\322\14\244S\213m/>\10q\272\25\351\307n\364\245\3744`p\306\346t\356\271&\360cd\214\364\326\215\364\212~\274\235\273r\236Qc\211g9)\30\336\250\360F\330]5\253\25\242Y\341Gf\315\376m\337\214\212\341\230J\\3772\205\207q\16v\\323M\1\377\327\272~\305\22\106\12\22\235\25\375\211\221\211s\247\216\227\333\5\340\275\4h\36\224\6\360d)r\32\361\256P\243t\247>\14\372\37\351\246j\362\31_", ) o\327D\35\30\261\257i\245N'M\257]B\256T\342O\220\265#\21\375\256\207\17\215`B\361\241\2027\361\313W\274\226\252\362Q\34\27\323\312uL\16\261\310\2\35\307\257\13_\201\253Qx\20\376\331\214\26\34`\6r\263Sou\2550\347\312^\272\210\256\12\365$\247\267\337\307d\4\325\212\27#\247[\252\362\207x\322\14\244S\213m/>\10q\272\25\351\307n\364\245\3744`p\306\346t\356\271&\360cd\214\364\326\215\364\212~\274\235\273r\236Qc\211g9)\30\336\250\360F\330]5\253\25\242Y\341Gf\315\376m\337\214\212\341\230J\\3772\205\207q\16v\\323M\1\377\327\272~\305\22\106\12\22\235\25\375\211\221\211s\247\216\227\333\5\340\275\4h\36\224\6\360d)r\32\361\256P\243t\247>\14\372\37\351\246j\362\31_", ) == 0x0
 03461   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\302\4\0U\213\354QQS\213]\10VW3\377S\211}\374\211}\370\350\323\316\364\377\205\300\17\204\26\1\0\09}\14\17\204\24\1\0\0\350\25J\373\377\205\300\2135P\24\33wt\17j\20\377u\14\377\326\205\300\17\205\366\0\0\09}\20t\30\350\362I\373\377\205\300t\17j\20\377u\20\377\326\205\300\17\205\322\0\0\0\213u\34;\367\17\204\307\0\0\0\350\344I\373\377\205\300t\21j\4V\377\25L\24\33w\205\300\17\205\255\0\0\0\366E\24\1\211>\213\3tS\215M\370Qh\344\330\33wS\377\20\213\360;\367\17\214\235\0\0\0jT\350N\324\364\377;\307Yt\12W\213\310\350\306\376\377\377\353\23\300;\307\213M\34\211\1tOW\377u\24\213\310\377u\20\377u\14\377u\370\350\\232\0\0\213\360;\367|b\353\\215M\374Qh\304\330\33wS\377\20\213\360;\367|NjT\350\377\323\364\377;\307Yt\12W\213\310\350w\376\377\377\353\23\300;\307\213M\34\211\1u\7\276\16\0\7\200\353.W\377u\24\213\310\377u\20\377u\14\377u\374\350\200\231\0\0\353\250\276W\0\7\200\353#\276W\0\7\200;\367}\32\201\376W\0\7\200t\22\213]\34\213\3;\307t\11P\350\216\323\364\377Y\211;\213E\374;\307t\6\213\10P\377Q\10\213E\370;\307t\6\213\10P\377Q\10_\213\306^[\311\302\30\0U\213\354QQV\213u\10W3\377V\211}\374\211}\370\350P\315\364\377\205\300u\12\276W\0\7\200\351\25\1\0\09}\14S\213]\30\17\204\347\0\0\0\350\210H\373\377\205\300t\23j\20\377u\14\377\25P\24\33w\205\300\17\205\313\0\0\0;\337\17\204\274\0\0\0\350yH\373\377\205\300t\21j\4S\377\25L\24\33w\205\300\17\205", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03462   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\352\302i\227\6@\0\200", ) , ) == 0x0
 03463   896   NtReadFile  (192, 0, 0, 0, 16390, 0x0, 0, ... {status=0x0, info=16390},  (192, 0, 0, 0, 16390, 0x0, 0, ... {status=0x0, info=16390}, "u\37R\15\304\232\311\265v\32m\237\205\350C#\257\261\13Z\324\317!A\1\1\364\265\235\3\3^\301\353\226nY\210K7\237H\370/gz-XT\33\227\207,*\360\32\326voN'\224\251Y\325W\203e\6\17p5\331\235c\6v\217\324\321P\205\242\201\234`jKk\26L\364\221\252\264\254O1\247\321\204\343m\362\216aM\302.Q\352hQ\351\323\27\374\33\16\373z\305U3\26\252\212\255\231\247r3q\274\16\225\202\363\11\33\320\332/~\240X\263\301.\12@A\272\265\277\0\360\370\370\375\264=\12I\32\366P\311\246\11\306\374R\23613\342F\302\235z\265\215\356\340\302\12\233\313\243O\351\17P\2715\237Ns\241\320\13\260\367\322\310$\317]M\344\23\311\360\275\5D(n\232\33\361'Y9\357\257\344@\301y\234\332\322\271\235\204\235W\#2\337\6\333U\277w.N\2255\341\11|o\320\322\256\315\260\0\234\366\364\316\242\262\313\341w)\206\264\244\336"\22\261DqC\0\252\217\15\10\257\300v\31\347\360)\346>\36\315#v\206\2630\312\316\377\6\356I\351\3735zg\205X\340\304\227Y\353x\200\243\376X\273\2145\240F\26\255\332!\233\223\220\345\277P&S&#\211\313\302f\17\1T\256B\375G\24\332\313\30\215\261\27\201\356\255qu\354\207-\374\36\345\244\246Y\376u\375\310xJ\223bP\24\340-\234\270V\211\2079D9\200\31\30\26\223\305X_\0\311\271\10]p&t\26\367\13s$\366\333\322-\356\34\241AQ\217\315\30\274\333\347^\22\224Ez\233\361\327HW\275\230h\372\375\12\212-\261\235\3325\247\1\257\3352\376\200\356\314\14x\316/\24\307\376\321\224<\361\371\213G\214>\262\33-\325\14^14n\11?\11\20^\224SO\221", ) \22\261DqC\0\252\217\15\10\257\300v\31\347\360)\346>\36\315#v\206\2630\312\316\377\6\356I\351\3735zg\205X\340\304\227Y\353x\200\243\376X\273\2145\240F\26\255\332!\233\223\220\345\277P&S&#\211\313\302f\17\1T\256B\375G\24\332\313\30\215\261\27\201\356\255qu\354\207-\374\36\345\244\246Y\376u\375\310xJ\223bP\24\340-\234\270V\211\2079D9\200\31\30\26\223\305X_\0\311\271\10]p&t\26\367\13s$\366\333\322-\356\34\241AQ\217\315\30\274\333\347^\22\224Ez\233\361\327HW\275\230h\372\375\12\212-\261\235\3325\247\1\257\3352\376\200\356\314\14x\316/\24\307\376\321\224<\361\371\213G\214>\262\33-\325\14^14n\11?\11\20^\224SO\221", ) == 0x0
 03464   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\205\363\0\0\0j\1\213\313\350\25\363\377\377\213\360\205\366\17\214\340\0\0\0\213\307\301\340\3P\350\252>\364\377\205\300\211E\374u\12\276\16\0\7\200\351\266\0\0\03\311\205\377\211M\370vv3\333\353\3\213M\370\213U\374\213u\20\213\301\301\340\3\203$\20\0\213\14\216\211L\20\4\213E\24\2154\3\213\205\344\373\377\377\215<\3\245\213M\10\245\245\245\213\205\344\373\377\377\215<\33\300f\213\7P\350.\362\377\377\205\300t\27\203\177\10\0\17\204\214\0\0\03\300\253\253\253\307E\364\1\0\0\0\253\377E\370\213E\370\203\303\20;E\14r\224\213]\10\213}\14\213C\24\213\10j\2\377\265\344\373\377\377\377u\374WP\377Q\20\213\360\205\366|\34\203}\364\0t\24\377u\24\213\313\377u\374W\350\31\374\377\377\213\360\205\366|\23\366\203}\374\0t\10\377u\374\350\345S\364\377\213[\30\213\3S\377P\20\213\205\344\373\377\377;\205\354\373\377\377t\6P\350\310S\364\377_\213\306^[\311\302\20\0\213]\10\276W\0\7\200\353\302V\213t$\10W\215F\4P\377\25d\24\33w\213\370\205\377u\17\205\366t\21j\1\213\316\350r\375\377\377\205\377}\43\300\353\2\213\307_^\302\4\0\203l$\4\4\351\317\375\377\377\203a<\374\203ID\3773\300\307A\4PRPS\307A\10\1\0\0\0\211A\14\211A\20\211A\24\211A\30f\307A@\260\4\211AH\211AL\303V\213\361W\213~\10\205\377\307\6\14\227\34wt\35\353\15\3777\350.S\364\377\377N\14\203\307\14\203~\14\0u\355\377v\10\350\32S\364\377_^\303\270\2@\0\200\302\14\0V\213\361\350\277\377\377\377\366D$\10\1t\7V\350\14S\364\377Y\213\306^\302\4\0U\213\354\213U\10S\215\14R", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03465   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\204\5+\15\2266\0\200", ) , ) == 0x0
 03466   896   NtReadFile  (192, 0, 0, 0, 13974, 0x0, 0, ... {status=0x0, info=13974},  (192, 0, 0, 0, 13974, 0x0, 0, ... {status=0x0, info=13974}, "\27Iz\21=\21d[n\256\342\201\315\3354\300\335\376L\266\200Us2=vP\11\327*\366\310\346\323\355\341\37~\337a\273\311.\235\362\322\11\200\330|\304pNn`3\346[ai!DO\350\20\257\203V\230?\371n\27\251\25\246Q\25&\371\156\12\300\15x\365\\6C\5>\177\344rK\21b\304\2671\37\255\351\232~\376y\305\340\215=>\263-\327\11]\13\313\333\16T\211d\211\26\241\276`\11\3465+T\228.\224\277\334\347\33\250\272\37Qc\23K\333\242\203R\337W\12Vs{\204\205\234J\3R\17@\306\374\254\36\375k}\252#;\374\204D\235\326\276,\320[\263\225\232yNY\266]1\221ec\334\250\373q\207\12\241\21\270\346@\0\314\205\16(\357\213\3O\253\365mFZk\12\216\230]\337\226\5\270\370\0\357\312C\352\h\332\334\355\274\373\301\243\252\0\303\7:\312\6\214\13t\306\204vl\343\263\361)\273A\346\222\235]3\233=d\247c\230\321\17A\336t\326q\242O\240O\26\373\354J\224\250\201_"\35\350\2469@\213\245{\267\232\225\37\350\2014A\265\211\17T\200\267\30\344^\25\337\342\36t\6\346\367@\346\242\317\260\277\265\312\241\262\255\216\344\350\201\274X\251C\271dc\323\310x\35&,\343\272\251\236\232\37L(\17\245\346\216\262\217{\216\325U\205\251\33\240\340\301\301D\261\222\3154\277\15lx\200.\257\235\7nx:7\372\321\377\373\255\222Dd\250\216\307\264X\301u\256Y\21\2561\301\344+bI/'\353\274\206Ia\200p\220\323F\307p7n\27\273\5D\274\375\1778\326`\256"\12\353\345\21=\221\366\362\35\265#\263\352@\354\245<\232\330\211\36Z\262\373\336(J\237\230\275\3615`\363\305\302\21\251\361\366U", ) \35\350\2469@\213\245{\267\232\225\37\350\2014A\265\211\17T\200\267\30\344^\25\337\342\36t\6\346\367@\346\242\317\260\277\265\312\241\262\255\216\344\350\201\274X\251C\271dc\323\310x\35&,\343\272\251\236\232\37L(\17\245\346\216\262\217{\216\325U\205\251\33\240\340\301\301D\261\222\3154\277\15lx\200.\257\235\7nx:7\372\321\377\373\255\222Dd\250\216\307\264X\301u\256Y\21\2561\301\344+bI/'\353\274\206Ia\200p\220\323F\307p7n\27\273\5D\274\375\1778\326`\256 (192, 0, 0, 0, 13974, 0x0, 0, ... {status=0x0, info=13974}, "\27Iz\21=\21d[n\256\342\201\315\3354\300\335\376L\266\200Us2=vP\11\327*\366\310\346\323\355\341\37~\337a\273\311.\235\362\322\11\200\330|\304pNn`3\346[ai!DO\350\20\257\203V\230?\371n\27\251\25\246Q\25&\371\156\12\300\15x\365\\6C\5>\177\344rK\21b\304\2671\37\255\351\232~\376y\305\340\215=>\263-\327\11]\13\313\333\16T\211d\211\26\241\276`\11\3465+T\228.\224\277\334\347\33\250\272\37Qc\23K\333\242\203R\337W\12Vs{\204\205\234J\3R\17@\306\374\254\36\375k}\252#;\374\204D\235\326\276,\320[\263\225\232yNY\266]1\221ec\334\250\373q\207\12\241\21\270\346@\0\314\205\16(\357\213\3O\253\365mFZk\12\216\230]\337\226\5\270\370\0\357\312C\352\h\332\334\355\274\373\301\243\252\0\303\7:\312\6\214\13t\306\204vl\343\263\361)\273A\346\222\235]3\233=d\247c\230\321\17A\336t\326q\242O\240O\26\373\354J\224\250\201_"\35\350\2469@\213\245{\267\232\225\37\350\2014A\265\211\17T\200\267\30\344^\25\337\342\36t\6\346\367@\346\242\317\260\277\265\312\241\262\255\216\344\350\201\274X\251C\271dc\323\310x\35&,\343\272\251\236\232\37L(\17\245\346\216\262\217{\216\325U\205\251\33\240\340\301\301D\261\222\3154\277\15lx\200.\257\235\7nx:7\372\321\377\373\255\222Dd\250\216\307\264X\301u\256Y\21\2561\301\344+bI/'\353\274\206Ia\200p\220\323F\307p7n\27\273\5D\274\375\1778\326`\256"\12\353\345\21=\221\366\362\35\265#\263\352@\354\245<\232\330\211\36Z\262\373\336(J\237\230\275\3615`\363\305\302\21\251\361\366U", ) , ) == 0x0
 03467   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\377t+\203'\0V\215E\300P3\300f\213C\14W\213\313P\213E\304j\377\37748\350A\334\377\377\203>\0\17\214\241\6\0\0\213u\24\377E\364\213E\364\203\307\4;E\10r\2723\3779}\10\211}\330\211}\320\211}\364\17\206)\1\0\0\213u\350\213E\14+\306\211E\360\203}\350\0u\35\203<\6\0\17\205\367\0\0\0\203}\10\1\17\205\232\1\0\0\306E\377\1\351\344\0\0\0\203<\6\377\17\204\332\0\0\0\215E\334P\3776\213\313\350\227\334\377\377f\213K\14f\201\371\260\4u\17\203}\334\2\17\204s\1\0\0f;\311t\12\203}\334\1\17\204d\1\0\0\213\133\322f\213Q\2f;\320v\2\213\302f\211A\2\213E\364@;E\10\211E\370s^\215~\4\213E\360\213\14\7;\14\6tF\215E\300P\3777\213\313\3509\334\377\377\213E\334;E\300u\25\377u\24\213\313Pj\1\3777\3776\350d\334\377\377\204\300u"\213E\24\2038\0\17\214\260\5\0\0\377E\370\213E\370\203\307\4;E\10r\261\353\12\306E\375\1\353\4\306E\374\1\213E\370;E\10u!\213E\330\213M\334\377E\320f\201{\14\260\4\215D\10\10\211E\330u\11\203\300\3\203\340\374\211E\330\213E\360\377E\364\213M\364\203\306\4;M\10\17\202\347\376\377\377\213u\243\377\213C$\213\10VP\377QL9>\17\214A\5\0\0\213u\24V\215E\340Pj\0\213\313\350\20\354\377\377\203>\0\211E\354\17\214$\5\0\03\366\213E\354;\306uz9u\10\17\204\22\5\0\03\3669u\350\17\2041\5\0\0\213}\24WV\215E\250P\215E\230PVj\1\213\313\307E\254\4\0\0\0\211u\250f\307E\230\377\37\350w\364\377\37797\17\214\330\4\0\0", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \213E\24\2038\0\17\214\260\5\0\0\377E\370\213E\370\203\307\4;E\10r\261\353\12\306E\375\1\353\4\306E\374\1\213E\370;E\10u!\213E\330\213M\334\377E\320f\201{\14\260\4\215D\10\10\211E\330u\11\203\300\3\203\340\374\211E\330\213E\360\377E\364\213M\364\203\306\4;M\10\17\202\347\376\377\377\213u\243\377\213C$\213\10VP\377QL9>\17\214A\5\0\0\213u\24V\215E\340Pj\0\213\313\350\20\354\377\377\203>\0\211E\354\17\214$\5\0\03\366\213E\354;\306uz9u\10\17\204\22\5\0\03\3669u\350\17\2041\5\0\0\213}\24WV\215E\250P\215E\230PVj\1\213\313\307E\254\4\0\0\0\211u\250f\307E\230\377\37\350w\364\377\37797\17\214\330\4\0\0", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03468   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\351\317\365\231>3\0\200", ) , ) == 0x0
 03469   896   NtReadFile  (192, 0, 0, 0, 13118, 0x0, 0, ... {status=0x0, info=13118},  (192, 0, 0, 0, 13118, 0x0, 0, ... {status=0x0, info=13118}, "\342*\212\211\341\270)\263\227\275\361d\340\266t\233\20*\372\340\270\272\236rr9\352<\34\227\344\204\242\37\265\350\226\306\247\30374"\342\311\16\21\4\15}[&\331\321\5\336\221\334)4\220\276\336\315I\37\3124`\220M\241\246\270T\243{\31\314\331\23?\365\314\347\331\10[1\265\236\205xT=3#\260P\301i\25\267\247\214 \236E\17\257\6?\361]\202\357\204o\300%\223\353))\300\30#\331\354\211\342\204t\22\3371\255\314^\201\344 \262\15@bYx\267*\32\255\10w\351/\16\316\336\234\315\351\302\207s\345+s\263L\240q\266C\336Kjj\365\277rj\342\23k\206\341\20\242\16\336\316\303G\303\326\302\256\222\31X%\35\351\236\202\372\373\75s\323T\350\342\265\352|\\304\17\266\265\254&\233t\261D\224R0:\17t$\264p\\250P\324j\362w\343\350*%\374_\377\262u\333+\275~\21\367`'\360\37\223D\10y\31aM\217w2\4z\205a\3573\233fz\255\346d\251\302Z\217nN\11\253\361G=\202p\330\236!(\7\307C\267\337\357\373f\333N\356j\17W\347\316}ycZ\216k\343\230\263\266\376.\305\301\373\11YT\2715f\220\34\247c\323\3253`B.\211R\307U\262\3436\340=\13\307\337\223@\0n\371sV\244\357\206\254\273/\275\206>\2348\307R\17\324\277\343R\271A"\325?\13\277\246/\261\245\270|\334\37\301~\246\314\204\2568\301Q\6R\31S\311\213F\3750\201\273\216\20+_\315s\255\233\271\242\231\223\336q\321im\173\224\301\5\266g\275\32p\252#\375\14\20\357\33\236\33\354T\227\20\333\357\310\355\265\314\3602\233^X\335\3114\14\343E\276j\3523\5\337\27\177\226\275P(K\311\252\317\306\370\267\23\272", ) \342\311\16\21\4\15}[&\331\321\5\336\221\334)4\220\276\336\315I\37\3124`\220M\241\246\270T\243{\31\314\331\23?\365\314\347\331\10[1\265\236\205xT=3#\260P\301i\25\267\247\214 \236E\17\257\6?\361]\202\357\204o\300%\223\353))\300\30#\331\354\211\342\204t\22\3371\255\314^\201\344 \262\15@bYx\267*\32\255\10w\351/\16\316\336\234\315\351\302\207s\345+s\263L\240q\266C\336Kjj\365\277rj\342\23k\206\341\20\242\16\336\316\303G\303\326\302\256\222\31X%\35\351\236\202\372\373\75s\323T\350\342\265\352|\\304\17\266\265\254&\233t\261D\224R0:\17t$\264p\\250P\324j\362w\343\350*%\374_\377\262u\333+\275~\21\367`'\360\37\223D\10y\31aM\217w2\4z\205a\3573\233fz\255\346d\251\302Z\217nN\11\253\361G=\202p\330\236!(\7\307C\267\337\357\373f\333N\356j\17W\347\316}ycZ\216k\343\230\263\266\376.\305\301\373\11YT\2715f\220\34\247c\323\3253`B.\211R\307U\262\3436\340=\13\307\337\223@\0n\371sV\244\357\206\254\273/\275\206>\2348\307R\17\324\277\343R\271A (192, 0, 0, 0, 13118, 0x0, 0, ... {status=0x0, info=13118}, "\342*\212\211\341\270)\263\227\275\361d\340\266t\233\20*\372\340\270\272\236rr9\352<\34\227\344\204\242\37\265\350\226\306\247\30374"\342\311\16\21\4\15}[&\331\321\5\336\221\334)4\220\276\336\315I\37\3124`\220M\241\246\270T\243{\31\314\331\23?\365\314\347\331\10[1\265\236\205xT=3#\260P\301i\25\267\247\214 \236E\17\257\6?\361]\202\357\204o\300%\223\353))\300\30#\331\354\211\342\204t\22\3371\255\314^\201\344 \262\15@bYx\267*\32\255\10w\351/\16\316\336\234\315\351\302\207s\345+s\263L\240q\266C\336Kjj\365\277rj\342\23k\206\341\20\242\16\336\316\303G\303\326\302\256\222\31X%\35\351\236\202\372\373\75s\323T\350\342\265\352|\\304\17\266\265\254&\233t\261D\224R0:\17t$\264p\\250P\324j\362w\343\350*%\374_\377\262u\333+\275~\21\367`'\360\37\223D\10y\31aM\217w2\4z\205a\3573\233fz\255\346d\251\302Z\217nN\11\253\361G=\202p\330\236!(\7\307C\267\337\357\373f\333N\356j\17W\347\316}ycZ\216k\343\230\263\266\376.\305\301\373\11YT\2715f\220\34\247c\323\3253`B.\211R\307U\262\3436\340=\13\307\337\223@\0n\371sV\244\357\206\254\273/\275\206>\2348\307R\17\324\277\343R\271A"\325?\13\277\246/\261\245\270|\334\37\301~\246\314\204\2568\301Q\6R\31S\311\213F\3750\201\273\216\20+_\315s\255\233\271\242\231\223\336q\321im\173\224\301\5\266g\275\32p\252#\375\14\20\357\33\236\33\354T\227\20\333\357\310\355\265\314\3602\233^X\335\3114\14\343E\276j\3523\5\337\27\177\226\275P(K\311\252\317\306\370\267\23\272", ) , ) == 0x0
 03470   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\6^]\302\4\0U\213\354VW\213}\10\213\361W\215M\10\350\222\334\375\377\213\0\201\307(\3\0\0W\215\216<\2\0\0\211\206\230\4\0\0\350\203\377\377\377_^]\302\4\0SVW\213\371\213_\10\200\343 \366\333\33\333\201\343\2\1\3\200|j\215Ox\350\246\303\375\377\377t$\24\213@\24\213t$\24\213\10VP\377Q$\213\330\205\333|J\377w\10\350\314N\363\377\211F(\215F0\203\307\P\213\317\350u\303\375\377\213\310\350u\14\0\0\213\330\205\333|\30\215F@P\213\317\350]\303\375\377\213\310\350\241\14\0\0\213\330\205\333}\20\2136\205\366t\6V\350#T\363\377\213\303\353\23\300_^[\302\10\0U\213\354\203\354\24SV\213\361\366F\10\2Wu6\366Fh\1t0j\0\215Nl\350\27\303\375\377\213\310\350\252p\363\377\213\330\205\333\17\214\300\0\0\0\213}\14\213\7W\377P\24\213\330\205\333\17\214\255\0\0\0\353\3\213}\14\215E\354P\213\316\350\233\364\377\377\213\330\205\333\17\214\223\0\0\0\213\7\215M\374Qh4\272\34wW\377\20\205\300}\7\270\7\1\3\200\353|\213}\20\213\7\205\300t\14P\377v\10\377u\14\350E\340\363\377\215E\364P\215E\370Ph\0\0\1\0h\0\2\0\0\350B\31\376\377\377u\370\213E\374\377u\364\213\10\377u\360\377u\354\377u\10P\377Q\14\213\330\213E\374\213\10P\377Q\10\377u\370\350\225\200\363\377\200Nh\2\203?\0t\32\215E\14Pj\0\377v\10\377u\14\350h\327\363\377\205\300|\5\213E\14\211\7\213\303_^[\311\302\14\0U\213\354\213E\14SVW\213\3613\377h\307h\35w\211>\211~\4\211F\10j\4j\4\215F0\211~$\215^(P\211;\350[\224\371\377\213M\20\213", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03471   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "q\244\245\222\3544\0\200", ) , ) == 0x0
 03472   896   NtReadFile  (192, 0, 0, 0, 13548, 0x0, 0, ... {status=0x0, info=13548},  (192, 0, 0, 0, 13548, 0x0, 0, ... {status=0x0, info=13548}, "\351J\302\351\4\225\365=)_\241m\6\271\34\372r0\316!D\7\330\20\21\371\216@\350\201\4%5\350\241@\324\206\210\33\201p\205\312!D\6\362\245\362()\204!(\340\361A\214\2@\34Ar\3P\11\311\250\31\1h\15.\23$PCh\15`6A\371\205\302>8B\240M\344\312\376\320R\6\236\32\236l\310\267\301[\6\216\3432s\332\3051\370O\314\207\230C\353\22\273\350\301\364\207D \247U\371c\323\370\232\27\316\6'q\235\341\236\215Tb0\22w\316\232\255\216\22\231zG\241\342\355\37S4\247\374P\251\250\314\322\315bD\273i\306\220'D\306\340\305%\16\365\317\214\2034f`\302H\323\24m\30m\37m\315\326i.\261O2m\344\305\246\16{\243\356A\276\211\3170:mi\306\23\265\360Y\321\305'\0\304\336\341\305\367E(\264\304\30\226S6\232\322\234\245!\306\263\250\35s\372\352\324\210mY?\35`\7W\265A\265a\335w\241\316\2404\235i'\211s-\265\22\1\337\300\261\353\332\201g\341\265\361\265\14\266\270\36q\330a-~\261\245\264\30\333 \333+\333LLP\35\6\332\202\3646\12\364\3266\10\241\327\361\275\370\206\7\357\3763\23\234<\344\224 \33\\334\242#\233\354`\311\347t\33u\338l\346\365o\267\322L8\352\303\333\336\356/o\255\266\215\275\15\276\275\276\212\23\320C\337\304\24\336\1\356\252\367!81\270G\270>\321\355\371\6\222\3\372\34}\15J\317p\343Gz\207\24:\243\267\305\321L\15\351\33\301>5E\30\366\330\251Q8\15\307\215\307`\310\267\300\361$r/r\203r\243r\303\246\357\314I]b\231\263\352\33\23<\320\334\333\334\206\320=\250/\137\254\33\327\32\2367\242\360>Th\373\206\246\17\320]\321\215\206a", ) , ) == 0x0
 03473   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "W/\17\0h/\17\0x/\17\0\205/\17\0\222/\17\0\245/\17\0\260/\17\0\301/\17\0\322/\17\0\343/\17\0\362/\17\0\377/\17\0\170\17\0\340\17\0.0\17\0A0\17\0W0\17\0j0\17\0\2020\17\0\2200\17\0\2420\17\0\2570\17\0\3130\17\0\3470\17\0\3700\17\0\251\17\0)1\17\0:1\17\0M1\17\0h1\17\0\2111\17\0\2321\17\0\2611\17\0\3251\17\0\3441\17\0\3631\17\0\42\17\0\332\17\062\17\0Q2\17\0]2\17\0m2\17\0}2\17\0\2132\17\0\2362\17\0\2662\17\0\3162\17\0\3362\17\0\3562\17\0\143\17\0-3\17\0K3\17\0n3\17\0|3\17\0\2123\17\0\2363\17\0\2523\17\0\1\0\2\0\3\0\4\0\5\0\6\0\7\0\10\0\11\0\12\0\13\0\14\0\15\0\16\0\17\0\20\0\21\0\22\0\23\0\24\0\25\0\26\0\27\0\30\0\31\0\32\0\33\0\34\0\35\0\36\0\37\0 \0!\0"\0#\0$\0%\0&\0'\0(\0)\0*\0+\0,\0-\0.\0/\00\01\02\03\04\05\06\07\08\09\0:\0;\0<\0=\0>\0?\0@\0A\0B\0C\0D\0E\0F\0G\0H\0I\0J\0K\0L\0M\0N\0O\0P\0Q\0R\0S\0T\0U\0V\0W\0X\0Y\0Z\0[\0\\0]\0^\0_\0`\0a\0b\0c\0d\0e\0f\0g\0h\0i\0j\0k\0l\0m\0n\0o\0p\0q\0r\0s\0t\0u\0v\0w\0x\0y\0z\0{\0|\0}\0~\0\177\0\200\0\201\0\202\0\203\0\204\0\205\0\206\0\207\0\210\0", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \0#\0$\0%\0&\0'\0(\0)\0*\0+\0,\0-\0.\0/\00\01\02\03\04\05\06\07\08\09\0:\0;\0<\0=\0>\0?\0@\0A\0B\0C\0D\0E\0F\0G\0H\0I\0J\0K\0L\0M\0N\0O\0P\0Q\0R\0S\0T\0U\0V\0W\0X\0Y\0Z\0[\0\\0]\0^\0_\0`\0a\0b\0c\0d\0e\0f\0g\0h\0i\0j\0k\0l\0m\0n\0o\0p\0q\0r\0s\0t\0u\0v\0w\0x\0y\0z\0{\0|\0}\0~\0\177\0\200\0\201\0\202\0\203\0\204\0\205\0\206\0\207\0\210\0", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03474   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\366C\225\216\10\30\0\200", ) , ) == 0x0
 03475   896   NtReadFile  (192, 0, 0, 0, 6152, 0x0, 0, ... {status=0x0, info=6152},  (192, 0, 0, 0, 6152, 0x0, 0, ... {status=0x0, info=6152}, "\264\226\0JFP[\177j\177\37\377F\357_\335uK\370\263\353\276\262\250oLSW\321fq\237\315\370\34\36{\273\251\323\223I\352\256\200\370\231\242\20\363\15\262YP\240\205\205Z[\260\300\205qJ\262\231.\301\1\23\232\20A\5#T8H\5\5UaX\314\3736\26\213\322\240)\7.\267\247[\353\373;)jzR\241\211^=m\375\244\2541Y\376(\264v|\6%\340{>X6\302%&`hB\4"\247`\200\12\12\251\253\240\300\12\6\315+p\270B\3744{\303_\12\244\260\360\20\13\15\262YP\240\205\205Z[\260\300\205/J\226\315p\11\11\230\232\220\201\10)\30\240\302\342\2143\222\202\212\177\343\326\326\245U\262\273\203\3317%\337\216p\325w\303\357\345\202\220\276M\316o\336w\236\335\335)f\312\313\24\31\24\336W\367Xc[\240\242\17\215u`\200\2667\270|\07\220\30\20d\7\210\407\7\31\365f\177\342\354]5\343R\14\36\2741\242\335m\243\275\320j\37\300Quh\201@&\323\251\327>\31o\304=\220\254s\13k2\35\346\247\305\231\246\331Zvp/x<\347;`\302o\233\232)\360\274b\370\277\273\335\356<~\237\325\177E\21\202\317H\337\336\355\217 \337\236N\264\374\357\36q\270+\362\221\201\334\227\34#x\344+\314\310\21SU\340\273\21\344q\177D\219;>G.s\316O\205y\347\366{3\216\271\301", ) \247`\200\12\12\251\253\240\300\12\6\315+p\270B\3744{\303_\12\244\260\360\20\13\15\262YP\240\205\205Z[\260\300\205/J\226\315p\11\11\230\232\220\201\10)\30\240\302\342\2143\222\202\212\177\343\326\326\245U\262\273\203\3317%\337\216p\325w\303\357\345\202\220\276M\316o\336w\236\335\335)f\312\313\24\31\24\336W\367Xc[\240\242\17\215u`\200\2667\270|\07\220\30\20d\7\210\407\7\31\365f\177\342\354]5\343R\14\36\2741\242\335m\243\275\320j\37\300Quh\201@&\323\251\327>\31o\304=\220\254s\13k2\35\346\247\305\231\246\331Zvp/x<\347;`\302o\233\232)\360\274b\370\277\273\335\356<~\237\325\177E\21\202\317H\337\336\355\217 \337\236N\264\374\357\36q\270+\362\221\201\334\227\34#x\344+\314\310\21SU\340\273\21\344q35\21\306\217{\220\221\277H\306\273p\3\217\221\272w\343<\262\206\37M#\237\352G\215!eu\342\330\203\12@\367\253|\4!\32s\367\352\317<\344\177,wa\317<\37\363\344E\262\362\365\226Y%\272\253\256]\331\231\255x,.fX\321\371\371\213+\275\326\226\3422%\231\234/\34S\255\263\357\277>\177D\219;>G.s\316O\205y\347\366{3\216\271\301", ) == 0x0
 03476   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "TL\33wDL\33w4L\33w\1@\0\0\0\0\0\0\5@\0\0\0\0\0\0\0\0\0\0\3@\0\0\0@\0\0\0\0\0\0\5@\0\0\0\0\0\0\0\0\0\0\5@\0\0\0\0\0\0\4]\210\212\353\34\311\21\237\350\10\0+\20H`\2\0\0\0 N\33w\30Q\33w\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\1\0\0\0\0\0\1\0\0\0\0\4]\210\212\353\34\311\21\237\350\10\0+\20H`\2\0\0\0\210R\33wTP 3\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\260\242*w\260\242*w\270\242*w\270\242*w\300\242*w\300\242*w\310\242*w\310\242*w\320\242*w\320\242*w\330\242*w\330\242*w\340\242*w\340\242*w\350\242*w\350\242*w\360\242*w\360\242*w\370\242*w\370\242*w\0\243*w\0\243*w\10\243*w\10\243*w\20\243*w\20\243*w\30\243*w\30\243*w \243*w \243*w(\243*w(\243*w0\243*w0\243*w8\243*w8\243*w@\243*w@\243*wH\243*wH\243*wP\243*wP\243*wX\243*wX\243*w`\243*w`\243*w\244U\33w\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\270U\33wHU\33wpU\33w\210U\33w\0\0\0\0\270V\33w\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03477   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\206-\212\341\24T\0\200", ) , ) == 0x0
 03478   896   NtReadFile  (192, 0, 0, 0, 21524, 0x0, 0, ... {status=0x0, info=21524},  (192, 0, 0, 0, 21524, 0x0, 0, ... {status=0x0, info=21524}, "\240$Dq-|{\35\341\375\200\2328\302ea\177z\300-`\374\341\373\243\357\346\361\2\377s\215\347\346\374\304\237smrL\32\327\15g\273a\343\271\366\220\356\31\330s\317\344\37>\313{\311\371\221\3370\307L\3\21\271\350\266\302\203m[dY\360S\330~\224\223\13\5\20\34\6S\373W%\323(\212\241I\3\14\277CGo\32\3a\376\204\37\200\176\375j\270KXn\20N{\3\324`R\267B\327\11\333\0\202l_\337\26\245\353J8\1h`C\267\234+\11\32\11E\0C\303\237`\237`\216\260\1\320\31\306\14{\267\225\26\262\24\301\4\200b\330\350>a\25\300\4\330\0\270`j \17\354\337\363\343\247\367\345\7\306\357\253\357K\343\27\367\271\7N\3069\260\221\3217@\36\326\300{\237\373\242\373B\3705\277\312\21\302\312\355\13\314\3323\342\347\376\266\\255\234\372\214\366P\374\316_>L{\230\374(\237I\257G\270\242\343i\24\5{\306-\331\16\201\4{@\374~\276\370z\30\273\212\371\206y\330\16R\307\313\206\33\343\312\327\301P\30\247=\321d\2120\305\5CN\367\206Z\214E\266bR))\30\211\261\301\260\214-\377I\121\220\31q:(\366\30\362\261\35\217\206V\347\251\277C}\211\323k}S\372>\30\15\305\1C`\234\226\271M(\17\212\0C\365\313_!='~Jo\22\251\321\240\236\374\301~l\207\260\367\311'\16)\275\226\234\346\203\336\204\221^\17\32\23\203\10\271\330vOj\311\272\11\366\310\271\315My\351\357\224^\223B\2457\34\330IB\3652\371\333\20\355>\353\300Q=5\204-\233xQl:\24M\241!\240\203\275\367\16\346\23b\317e)\363\270t\267\211\330\312\10\230\376B}\203b\277\312\177\304\306\272\261\351Z\314wW/\12a", ) , ) == 0x0
 03479   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "H1L1P1T1X1\1\2443\2503\2543\2603\2643\2703\2743\3003\3043\3103\3143\3203\3243\3303\3343\3403\3443\3503\3543\3603\3643\3703\3743\04\44\104\144\204\244\304\0\360\0\0\320\0\0\0\106\146\206\246\306\346 6$6(6,6L6P6`6h6\2006\2306\2346\2406\2606\2706\2746\3206\3246\3406\3446\3506\3546\3606\3646\3706\3746\07\47\207\247\307(70747H7L7X7\7`7d7h7l7p7t7x7|7\2107\2147\2207\2407\2607\2707\2747\3007\3207\3247\3407\3447\3507\3547\3607\3647\3707\3747\08\48\208\248\308(888@8D8H8X8\8h8l8p8t8x8|8\2008\2048\2108\2148\2208\2248\2308\2348\2448\2508\2548\2648\0\0\0@\1\0 \3\0\0\105\145\205\245\305\345 5$5(5,5054585<5@5D5H5L5P5T5X5\5`5d5h5l5p5t5x5|5\2005\2045\2105\2145\2205\2245\2305\2345\2405\2445\2505\2545\2605\2645\2705\2745\3005\3045\3105\3245\3305\3505\3605\106 6$6(686<6@6H6L6P6`6d6p6t6x6|6\2006\2046\2106\2146\2206\2246\2406\2446\2506\2706\3106\3206\3246\3306\3506\3546\3706\3746\07\47\107\147\207\247\307\3474787<7X7\7t7|7\2007\2047\2247\2307", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03480   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\207@\277-F'\0\200", ) , ) == 0x0
 03481   896   NtReadFile  (192, 0, 0, 0, 10054, 0x0, 0, ... {status=0x0, info=10054},  (192, 0, 0, 0, 10054, 0x0, 0, ... {status=0x0, info=10054}, "!\307h\223\236\355\224\377\261\213\257N\316\377?=D\343.\322\371\375\203r \307\347x2\2204\274t\205\204\364\276{d\306:m=v8\226\232\335\230~"\255L|Tm\276\204\264\216\270\303!\310\264\17\217\34i\267%G\2\317\210\367u\34\359\354\210\216\206\310\21\243\351C\231H3z\263\241g\24\326\20\265V\33n{9K|\34cvVB\224b;\205\247\255\341N\344B;\216\2372\200\351^_\244\262\216\343=s\6\13\215X\203\310v\26\204\316\270\326l4\237&rD\260\307\365\336\35:\231\366\201\204y\13^XXj\371\240{\263\316\265\15\253\207\22#w\363E\27\7\231l#\364\262\230e\227E\325ya.\22\303\0\363\24o]\27o&\314\357\330\5CQ\250\256Q\204\21_\201\323\242 \30\364j?\356[\360[\322{oR|\10D\216 \304HRl\262\363@\10\277\20\203C,V"\216X:\353\226\12r\235\360mw\274F8!d\316\325AG\271\264[\223\31tk\136c\273I\337\10:A@\234\337\226\220\201$\377\255\225\255\2728\237v\204\330\237\254\321m\240$\265\304h\206x(\312\254\33U\214\245f\305\266\14\265\13\236\337 \317\201D~\250\235\216\320\375\227\16\217\246\11\20:\313\352C*\2676s\217!\351\204\362\235\34\241D`\256\312\354\254\331\375\201\3\337\364\235\251\36\354:9v\235c\273\20\3vw{\335d\242:hQqr\4V\302,0\341\35\36\327\322y\210+\204\270\3432s\5\23\20T#n\231d\30\227\372\306\357O\2044\237}\253y\31\3\17\337\324\332\227\27\313]\7\310\254c .Lf\14\2\233@\241m\322\323\212P\366\321\373\16\4\316\32\33)\311\261\327\343n\205\2\12\4x\246~E\17\244\263\205\320\220E\351", ) \255L|Tm\276\204\264\216\270\303!\310\264\17\217\34i\267%G\2\317\210\367u\34\359\354\210\216\206\310\21\243\351C\231H3z\263\241g\24\326\20\265V\33n{9K|\34cvVB\224b;\205\247\255\341N\344B;\216\2372\200\351^_\244\262\216\343=s\6\13\215X\203\310v\26\204\316\270\326l4\237&rD\260\307\365\336\35:\231\366\201\204y\13^XXj\371\240{\263\316\265\15\253\207\22#w\363E\27\7\231l#\364\262\230e\227E\325ya.\22\303\0\363\24o]\27o&\314\357\330\5CQ\250\256Q\204\21_\201\323\242 \30\364j?\356[\360[\322{oR|\10D\216 \304HRl\262\363@\10\277\20\203C,V (192, 0, 0, 0, 10054, 0x0, 0, ... {status=0x0, info=10054}, "!\307h\223\236\355\224\377\261\213\257N\316\377?=D\343.\322\371\375\203r \307\347x2\2204\274t\205\204\364\276{d\306:m=v8\226\232\335\230~"\255L|Tm\276\204\264\216\270\303!\310\264\17\217\34i\267%G\2\317\210\367u\34\359\354\210\216\206\310\21\243\351C\231H3z\263\241g\24\326\20\265V\33n{9K|\34cvVB\224b;\205\247\255\341N\344B;\216\2372\200\351^_\244\262\216\343=s\6\13\215X\203\310v\26\204\316\270\326l4\237&rD\260\307\365\336\35:\231\366\201\204y\13^XXj\371\240{\263\316\265\15\253\207\22#w\363E\27\7\231l#\364\262\230e\227E\325ya.\22\303\0\363\24o]\27o&\314\357\330\5CQ\250\256Q\204\21_\201\323\242 \30\364j?\356[\360[\322{oR|\10D\216 \304HRl\262\363@\10\277\20\203C,V"\216X:\353\226\12r\235\360mw\274F8!d\316\325AG\271\264[\223\31tk\136c\273I\337\10:A@\234\337\226\220\201$\377\255\225\255\2728\237v\204\330\237\254\321m\240$\265\304h\206x(\312\254\33U\214\245f\305\266\14\265\13\236\337 \317\201D~\250\235\216\320\375\227\16\217\246\11\20:\313\352C*\2676s\217!\351\204\362\235\34\241D`\256\312\354\254\331\375\201\3\337\364\235\251\36\354:9v\235c\273\20\3vw{\335d\242:hQqr\4V\302,0\341\35\36\327\322y\210+\204\270\3432s\5\23\20T#n\231d\30\227\372\306\357O\2044\237}\253y\31\3\17\337\324\332\227\27\313]\7\310\254c .Lf\14\2\233@\241m\322\323\212P\366\321\373\16\4\316\32\33)\311\261\327\343n\205\2\12\4x\246~E\17\244\263\205\320\220E\351", ) , ) == 0x0
 03482   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\2546\2617\0\300\16\0\20\0\0\0\36:\263:z;\0\0\0\320\16\0\204\0\0\0\3076\3236\3306\3446\3606\3656\3736\77\147\217\267\337 7&7+70757:7?7E7J7R7W7c7o7y7\2037\2157\2317\2437\2577\2737\3077\3217\3357\3477\3557\3617\3757\178\258\338 8%82868<8@8H8S8Y8`8j8t8~8\2118\2218\2278\2368\2428\2518\2558\0@\17\0\240\0\0\0\140X0\2120\2620\3310\11%1H1p1\12#2)2J2\2532\3032\3214\3274\3654w5\3015\3225M7^7s7\3527\3607\348K9\9\3009\24:\351:\22;k;i\246>\266>\302>\316>\333>\353>\366>\5?\33?!?.???I?S?_?e?k?p?z?\223?\235?\247?\274?\302?\315?\337?\351?\373?\0P\17\0\210\0\0\0\320I0c0r0}0\2070\2210\2330\2450\2530\2570\2650\2730\2770\3050\3130\3250\3440\3650\3720\121\171\371$1S1\2171\3221\3761\232\2072\263?3T3\3654-545@5\3465\3655\46h6v6\2476\2706\3676i7 :@:J:c:\37;%;\346;\33<\0=+=\270=\315>\326>]?\230?\256?\350?\0\0\0`\17\0\200\0\0\0\360F0f0m0t0{0\2750\3560\3750\141#1<1\2301\2072]3\2713\04F4t4\3634\2675\2755", 8188, 0x0, 0, ... {status=0x0, info=8188}, ) , 8188, 0x0, 0, ... {status=0x0, info=8188}, ) == 0x0
 03483   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 03484   896   NtClose  (200, ... ) == 0x0
 03485   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03486   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03487   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 03393  2016   NtUserWaitMessage  ... ) == 0x1
 03488  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03489  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 03490  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010051
 03491  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 03489  2016   NtUserRedrawWindow  ... ) == 0x1
 03488  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 03492  2016   NtUserWaitMessage  (...
 03487   896   NtUserMessageCall  ... ) == 0x6
 03493   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "\0\264\6\0\374\37\31\0\0\0\345.\325a \0", ) , ) == 0x0
 03494   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03495   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03496   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256},  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "sp1\rpcrt4.dll\0\0\32\3\0\374\323\37\0\0\0\345.\326a \0sp1\rpcss.dll\0> \0\0\374\355"\0\0\0\345.\213c \0sp1\update\kb823980.cat\0\243\21\0\0:\16#\0\0\0\345.\323a \0sp1\update\update.inf\0\340\0\0\0\335\37#\0\0\0\345.\326a \0sp1\update\update.ver\0\0\30\21\0\275 #\0\0\0\345.\214a \0sp2\ole32.dll\0\0\262\7\0\27584\0\0\0\345.\214a \0sp2\rpcrt4.dll\0\0\30\3\0\275\352;\0\0\0\345.\215a \0sp2\rpcss.dll\0> \0\0", ) \0\0\0\345.\213c \0sp1\update\kb823980.cat\0\243\21\0\0:\16#\0\0\0\345.\323a \0sp1\update\update.inf\0\340\0\0\0\335\37#\0\0\0\345.\326a \0sp1\update\update.ver\0\0\30\21\0\275 #\0\0\0\345.\214a \0sp2\ole32.dll\0\0\262\7\0\27584\0\0\0\345.\214a \0sp2\rpcrt4.dll\0\0\30\3\0\275\352;\0\0\0\345.\215a \0sp2\rpcss.dll\0> \0\0", ) == 0x0
 03497   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03498   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03499   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03500   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8aa64, 0, 688, 1, ...
 03492  2016   NtUserWaitMessage  ... ) == 0x1
 03501  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03502  2016   NtUserDefSetText  (655682, 8387704, ... ) == 0x1
 03503  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 03504  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03505  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03506  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03507  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03508  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03500   896   NtUserMessageCall  ... ) == 0x1
 03509   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\e5d4274d2caaef1b878fb5d282a5\sp1\rpcrt4.dll"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 03510   896   NtClose  (-2147481368, ... ) == 0x0
 03501  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 03511  2016   NtUserWaitMessage  (...
 03509   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 03512   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "MZ\220\0\3\0\0\0\4\0\0\0\377\377\0\0\270\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\0\16\37\272\16\0\264\11\315!\270\1L\315!This program cannot be run in DOS mode.\15\15\12$\0\0\0\0\0\0\0S3V>\27R8m\27R8m\27R8m\336p\22m\26R8m\27R9m\333R8m\355q!m\20R8m\27R8m\25R8m\355qxm\24R8m\315q$m\32R8m\315q%mjR8m\355q\7m\26R8m\200q}m\26R8m\355q\5m\26R8mRich\27R8m\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0PE\0\0L\1\5\0\241#\7?\0\0\0\0\0\0\0\0\340\0\16!\13\1\7\0\0h\6\0\0P\0\0\0\0\0\0\272r\0\0\0\20\0\0\0\200\6\0\0\0\0x\0\20\0\0\0\2\0\0\5\0\1\0\5\0\1\0\4\0\12\0\0\0\0\0\0\340\6\0\0\4\0\0\277\266\6\0\3\0\0\0\0\0\4\0\0\20\0\0\0\0\20\0\0\20\0\0\0\0\0\0\20\0\0\0 \330\5\0\263B\0\0t\305\5\0P\0\0\0\0\220\6\0\0\4\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\240\6\006\0\0@\23\0\0\34\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\04\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 24580, 0x0, 0, ... , 24580, 0x0, 0, ...
 03513   896   NtContinue  (-135750188, 0, ...
 03512   896   NtWriteFile  ... {status=0x0, info=24580}, ) == 0x0
 03514   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\323\260\310\15\370E\0\200", ) , ) == 0x0
 03515   896   NtReadFile  (192, 0, 0, 0, 17912, 0x0, 0, ... {status=0x0, info=17912},  (192, 0, 0, 0, 17912, 0x0, 0, ... {status=0x0, info=17912}, " \12w\11\24V,\225,\257\206\357\16\345.\271\17\216z\364\2k\301\226\256B\24Z\372\361\273\4P\226\2158\277\334\351*I\277\251\2313H\177\337Q\313\346F7d\376-\356\200\217c\21\30\340b~2\315\375\32*\302\277\336L\177\3422\370\324,w\277\343\231B\341\245z\217\313\201\322\177#ED]\33\2\262\303\32\304'\224\271\332\274\263r\312G\310\7\365yeD\177\360\\373Z\203\210\216\36\11,7h\200g!\251(\17~\21\307\223|\6\362M\201HY\2551\274\365\305\200\214"\357~\334\241m\267\221\343\260\10;S\317n\262\310c\324\232\233H\352\276+\221\2\331\200\227\252\224B\377\213_\327\274\360\32\215\373I\250\366\247\225i\245Z\251VJ\225\216J\34%\215\322E)\242\344P\4\244\300\243\201\25\12\354oSlpf\224b\224T\2247\224h\325"\36d\337\344\353\341\325\277\22\247\311i%\360 \374\35\204W\363\7\360\270,\362\20/w\9\367A\324\2746\224\23\356\327\363\7\324\367\302T\341\377\263w{\265\232\225^\207\270\3\377|~\217\371\274{\272\242^\177\25\336Ml\352\240\376\263t\33\12\212R4;\266\303\377:o\33\356(\10\231\376\366\225\244\314\177\37\225\330\240Q\202\234f\312\373\36\317\235O\360\353J8\247\204g\13W\3369M\264\274OD,QP\363?$\272\270\253\2\177\245r\255\4\270\271\15|\226\360~\351\273\265\204\317\272K:\367\35\340#\301\321\372\361N\3:]\5\350\367|\313\264\2\330\371\353ey\306y}\242\313|i*\246\345M\277a\236\265u=.\367\32\253?\12z\240\32\357\240w9\27\21`\375\345\222TDY\373\213jRL\305\304\317J\313\226\241\234\34\301k(\246\305oP\251\334\336/;sq\261V\237\240\220\324", ) \357~\334\241m\267\221\343\260\10;S\317n\262\310c\324\232\233H\352\276+\221\2\331\200\227\252\224B\377\213_\327\274\360\32\215\373I\250\366\247\225i\245Z\251VJ\225\216J\34%\215\322E)\242\344P\4\244\300\243\201\25\12\354oSlpf\224b\224T\2247\224h\325 (192, 0, 0, 0, 17912, 0x0, 0, ... {status=0x0, info=17912}, " \12w\11\24V,\225,\257\206\357\16\345.\271\17\216z\364\2k\301\226\256B\24Z\372\361\273\4P\226\2158\277\334\351*I\277\251\2313H\177\337Q\313\346F7d\376-\356\200\217c\21\30\340b~2\315\375\32*\302\277\336L\177\3422\370\324,w\277\343\231B\341\245z\217\313\201\322\177#ED]\33\2\262\303\32\304'\224\271\332\274\263r\312G\310\7\365yeD\177\360\\373Z\203\210\216\36\11,7h\200g!\251(\17~\21\307\223|\6\362M\201HY\2551\274\365\305\200\214"\357~\334\241m\267\221\343\260\10;S\317n\262\310c\324\232\233H\352\276+\221\2\331\200\227\252\224B\377\213_\327\274\360\32\215\373I\250\366\247\225i\245Z\251VJ\225\216J\34%\215\322E)\242\344P\4\244\300\243\201\25\12\354oSlpf\224b\224T\2247\224h\325"\36d\337\344\353\341\325\277\22\247\311i%\360 \374\35\204W\363\7\360\270,\362\20/w\9\367A\324\2746\224\23\356\327\363\7\324\367\302T\341\377\263w{\265\232\225^\207\270\3\377|~\217\371\274{\272\242^\177\25\336Ml\352\240\376\263t\33\12\212R4;\266\303\377:o\33\356(\10\231\376\366\225\244\314\177\37\225\330\240Q\202\234f\312\373\36\317\235O\360\353J8\247\204g\13W\3369M\264\274OD,QP\363?$\272\270\253\2\177\245r\255\4\270\271\15|\226\360~\351\273\265\204\317\272K:\367\35\340#\301\321\372\361N\3:]\5\350\367|\313\264\2\330\371\353ey\306y}\242\313|i*\246\345M\277a\236\265u=.\367\32\253?\12z\240\32\357\240w9\27\21`\375\345\222TDY\373\213jRL\305\304\317J\313\226\241\234\34\301k(\246\305oP\251\334\336/;sq\261V\237\240\220\324", ) , ) == 0x0
 03516   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "i\0l\0e\0\\0P\0a\0r\0a\0m\0e\0t\0e\0r\0s\0\0\0\0\0ncacn_http/1.0\0\0Bind\0\0\0\0System\CurrentControlSet\Services\Rpc\Linkage\0\0\0GetIpAddrTable\0\0i\0p\0h\0l\0p\0a\0p\0i\0.\0d\0l\0l\0\0\0\0\0(\262\2x:k\5xIk\5x8\231\5x\2a\5x(\262\2x(\262\2x\241`\5x\252`\5x8\231\5x\2a\5x(\262\2xFm\5xUm\5x8\231\5x\2a\5x(\262\2x$o\5x3o\5x8\231\5x\2a\5xDynEpt \0\0\0\0\0\1\1\0\0\0\0\0\1\0\0\0\0\1\1\0\0\0\0\0\5\7\0\0\0\4 \0\0\17\0\21\0\264\24\0xL#\0x\215@\5x~@\5x\212?\5x\216\234\5x\5\237\5x\374>\5x\0\0\0\0p\0\0\0T\0\0\0T\0\0\0$\0\0\0\0\0\0\0\270\20\0\0\370\212\5x\0\0\0\0G\204\5xa\211\5xm\233\5x\352\212\5xX\202\5xu\227\5x\365\230\5xh\210\5x\0\0\0\0\237\213\5xm~\5xX@\5x\305\202\5x\0\0\0\0\233\203\5xz\202\5x\373\177\5x\\0p\0i\0p\0e\0\\0\0\0\0\0.\0\0\0(\262\2x\241`\5x\252`\5x8\231\5xO\202\5x\\0\\0\0\0\0\0\0\0\0\0\320o\0x\0\0\0\0\310o\0x\0\0\0\0\274o\0x\0\0\0\0\260o\0x\0\0\0\0\250o\0x", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03517   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\254D\325:,?\0\200", ) , ) == 0x0
 03518   896   NtReadFile  (192, 0, 0, 0, 16172, 0x0, 0, ... {status=0x0, info=16172},  (192, 0, 0, 0, 16172, 0x0, 0, ... {status=0x0, info=16172}, "\221\276\32~\12\26\256Dd\262\257\35\332\357\316\270\276\227\3MG\254hVw(q\227\323\277\2557\356\225\31\306\13\14\202\313\342Q\304\251\16$\36\365\35\240j\212\344_p`s\24\21F!P\252Z\255\316\252x\300ll3C&\234\225\216\6\370C\302\243\30\306\2463c\332\220\345\325\301\357\177=\325uD-\2405N\312\353\2044AVd>\266\331\352\254\312\374\223\311Bd\220\275\333\27\355\302'I\22\227C\332W\23~\12\203\333b\341\372\366f@Az6\266\320\335\261\277\265\321\303\374\201#\356)u\266\33\216\2576\242r^s\0w\303\324\353k\351e_<\310\332\36410\276*\2778\211\340\347\214\215\342Q,\323\256\216 \265\3662\2119=x\257\234\341\342\204P\10\13}\222*x\350\363^UFZ\24\364\333s\210\303l\216\\211j \21\33\20\263\261\305\211\6\267\4L\366\262\240\321\270m\206\254\223\246\4n\206\347\260\313\310\12\362F\31=\254y\302Vw\352\26\227\266#9L,\265\341\343/1\221f{\227\272\335\177\310\315\14\332\326\270\317\235;\305\233\314\346\334,A\231\221\254\322G\275i\334\221\351[6\312\27o\355elG}\223U"\356\361\207T\2601.W_C\1\377\257\260\354&\256SZCV\271>8\325h\276Uw&gM\235j\313\2421\210\216\316\356\231\351\264\263 \223\217\253s\204\310\346\310^\24\311\217`\1771\177\315<\371\262\355}\327\3654\221\27el\376\4\244=5\354hD\10\313\354\36\316(\303\13\213B`QE_\10v\350\3$\376\235\32\305\200\3235\306A\30\330\205\23596*\340&\343\216\310\231\267Y\246x7&\327\", ) ~\12\26\256Dd\262\257\35\332\357\316\270\276\227\3MG\254hVw(q\227\323\277\2557\356\225\31\306\13\14\202\313\342Q\304\251\16$\36\365\35\240j\212\344_p`s\24\21F!P\252Z\255\316\252x\300ll3C&\234\225\216\6\370C\302\243\30\306\2463c\332\220\345\325\301\357\177=\325uD-\2405N\312\353\2044AVd>\266\331\352\254\312\374\223\311Bd\220\275\333\27\355\302'I\22\227C\332W\23~\12\203\333b\341\372\366f@Az6\266\320\335\261\277\265\321\303\374\201#\356)u\266\33\216\2576\242r^s\0w\303\324370\13\363\206B\315B\17\351\363>\353k\351e_<\310\332\36410\276*\2778\211\340\347\214\215\342Q,\323\256\216 \265\3662\2119=x\257\234\341\342\204P\10\13}\222*x\350\363^UFZ\24\364\333s\210\303l\216\\211j \21\33\20\263\261\305\211\6\267\4L\366\262\240\321\270m\206\254\223\246\4n\206\347\260\313\310\12\362F\31=\254y\302Vw\352\26\227\266#9L,\265\341\343/1\221f{\227\272\335\177\310\315\14\332\326\270\317\235;\305\233\314\346\334,A\231\221\254\322G\275i\334\221\351[6\312\27o\355elG}\223U (192, 0, 0, 0, 16172, 0x0, 0, ... {status=0x0, info=16172}, "\221\276\32~\12\26\256Dd\262\257\35\332\357\316\270\276\227\3MG\254hVw(q\227\323\277\2557\356\225\31\306\13\14\202\313\342Q\304\251\16$\36\365\35\240j\212\344_p`s\24\21F!P\252Z\255\316\252x\300ll3C&\234\225\216\6\370C\302\243\30\306\2463c\332\220\345\325\301\357\177=\325uD-\2405N\312\353\2044AVd>\266\331\352\254\312\374\223\311Bd\220\275\333\27\355\302'I\22\227C\332W\23~\12\203\333b\341\372\366f@Az6\266\320\335\261\277\265\321\303\374\201#\356)u\266\33\216\2576\242r^s\0w\303\324\353k\351e_<\310\332\36410\276*\2778\211\340\347\214\215\342Q,\323\256\216 \265\3662\2119=x\257\234\341\342\204P\10\13}\222*x\350\363^UFZ\24\364\333s\210\303l\216\\211j \21\33\20\263\261\305\211\6\267\4L\366\262\240\321\270m\206\254\223\246\4n\206\347\260\313\310\12\362F\31=\254y\302Vw\352\26\227\266#9L,\265\341\343/1\221f{\227\272\335\177\310\315\14\332\326\270\317\235;\305\233\314\346\334,A\231\221\254\322G\275i\334\221\351[6\312\27o\355elG}\223U"\356\361\207T\2601.W_C\1\377\257\260\354&\256SZCV\271>8\325h\276Uw&gM\235j\313\2421\210\216\316\356\231\351\264\263 \223\217\253s\204\310\346\310^\24\311\217`\1771\177\315<\371\262\355}\327\3654\221\27el\376\4\244=5\354hD\10\313\354\36\316(\303\13\213B`QE_\10v\350\3$\376\235\32\305\200\3235\306A\30\330\205\23596*\340&\343\216\310\231\267Y\246x7&\327\", ) , ) == 0x0
 03519   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\300^\311\302\10\0U\213\354\203=\374\206\6x\0u\11\350C\207\377\377\205\300uP\203}\14\15u\13\203}\20\0u\5jWX\353?\213M\10h\20\0\23\0\350\230\302\1\0\205\300t\35\215E\10P\377u\10\350\362\267\2\0\205\300t\7\270\246\6\0\0\353\27]\351\254\377\377\377\377u\20\213M\10\377u\14\213\1\377\220\204\0\0\0]\302\14\0\203=\374\206\6x\0u\11\350\335\206\377\377\205\300u;V\213t$\10h\20\0\23\0\213\316\350?\302\1\0\205\300t\7\270\246\6\0\0\353\36\203|$\14\16v\5jWX\353\22\377t$\20\213\6\377t$\20\213\316\377\220\210\0\0\0^\302\14\0V\213t$\10hH  \0\213\316\350\1\302\1\0\205\300t\7\270\246\6\0\0\353\22\377t$\20\213\6\377t$\20\213\316\377\220\230\0\0\0^\302\14\0\213D$\43\3119L$\14v\26\213T$\109\4\312t\11A;L$\14r\364\353\4\213D\312\4\302\14\0j\31h\30\26\0x\377t$\14\350\313\377\377\377\302\4\0j&h\340\26\0x\377t$\14\350\270\377\377\377\302\4\0\203=\374\206\6x\0u\11\350\20\206\377\377\205\300uUV\213t$\10\205\366u\27\350\300\211\377\377\205\300t\7\213p\20\205\366u\7\270\275\6\0\0\3534hX 3\0\213\316\350W\301\1\0\205\300t\7\270\246\6\0\0\353\35\367F\10\20\0\23\0\377t$\14\213\316t\7\350%\306\1\0\353\5\213\6\377Pp3\300^\302\10\0\203=\374\206\6x\0u\11\350\246\205\377\377\205\300u9V\213t$\10hX 3\0\213\316\350\10\301\1\0\205\300t\7\270\246\6\0\0\353\34\367F\10\20\0\23\0\377t$\14\213\6\213\316t\5\377PX\353\6\377\220\210\0\0\0^\302\10\0", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03520   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "L/Ph~B\0\200", ) , ) == 0x0
 03521   896   NtReadFile  (192, 0, 0, 0, 17022, 0x0, 0, ... {status=0x0, info=17022},  (192, 0, 0, 0, 17022, 0x0, 0, ... {status=0x0, info=17022}, "\342\177\217\374@\376\237\335X \213\302\203\354\37\305]\331k\330%\327\354\242\203s\304\275\332<\233\215>\205\234\272\231\364\330\210\215\30\307\336\220e\210T\236\346\37\25\354\266\311\260H\341\25\256XJ\323$\232\247\360t\275\30\344_\254'\6\241C\324\274uI\232\241\276\201\304X_\24\347^\344\30\352&}z\206~)~V\23s\312\24\22t\200\362\315\201;^\255\204\346Oa2\226W\4\344\217w\21"N\261U\370\206\30\12\201\177\252?{M\244\230,\37\213\3420\27\3\2263\262\350\351\4le\344&s\6\306\3349\373TW\201\222\331\\241k\253U0O\264\250J&\332\26v\334g\22\27\243d\2433\365\335S\265\246\370\16\341S?\20?y\210\340\321{\201\314L\1sc\315\204u\272\205Y/\245Up\314\332\304A\203N\272\251\200\355K~\327\246pdc`6E\10Y\366ryc\\224\24\323p\20,\263.\14\274a\34\1\362!l!\251|\352m\364\2331\267\33|\220i\252\305\21\30VD\6\25\266#?\223\251H\30\241R\301q\203\264\347\30\223\243\227\243\236\2\261#a\266\233\36\250\345t\227\221\267}\373\7", ) N\261U\370\206\30\12\201\177\252?{M\244\230,\37\213\3420\27\3\2263\262\350\351\4le\344&s\6\306\3349\373TW\201\222\331\\241k\253U0O\264\250J&\332\26v\334g\22\27\243d\2433\365\335S\265\246\370\16\341S?\20?y\210\340\321{\201\314L\1sc\315\204u\272\205Y/\245Up\314\332\304A\203N\272\251\200\355K~\327\246pdc`6E\10Y\366ryc\\224\24\323p\20,\263.\14\274a\34\1\362!l!\251|\352m\364\2331\267\33|\220i\252\305\21\30VD\6\25\266#?\223\251H\30\241R\301q\203\264\347\30\223\243\227\243\236\2\261#a\266\233\36\250\345t\227\221\267}\373\7", ) == 0x0
 03522   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "F\24\377u\10P\350\231\260\0\0;\303u~9\236\334\0\0\0ttWh\344\206\6x\377\25 \23\0x\215E\374\215\216\324\0\0\0P\211]\374\211M\370\350\263Y\1\0\213\370;\373tA\203\306\24\213G\10\213O\4SVP\241\340\206\6xQ\377\220\260\0\0\0\205\300u\23\241\340\206\6xS\377u\10V\377w\10\377w\4\377P\30\213M\370\215E\374P\350rY\1\0\213\370;\373u\302h\344\206\6x\377\25\34\23\0x_3\300^[\311\302\4\0SVWh\344\206\6x\213\331\377\25 \23\0x\213Ct\213t$\203\377;\307t\16;\306t\12P\350.\336\0\0Y\211{t;\367tW9sttU\213\6\215\4\200\215\4\205\4\0\0\0P\350\5\336\0\0;\307Y\211Ctu\5j\16^\353t\213\16\211\10\215T\210\4\213Kt3\30099v%\215N\4\2131\213\372\245\245\245\245\213st\211T\206\4\213st@\203\302\20\203\301\4;\6r\343\353\3\211{t3\3669t$\24t\36j?\377t$\30\215\203\224\0\0\0P\350\212R\4\0\203\304\14\200\243\323\0\0\0\0\353\7\200\243\224\0\0\0\0\213D$\30\211Cp\307\203\364\0\0\0\1\0\0\0h\344\206\6x\377\25\34\23\0x_\213\306^[\302\14\0U\213\354Q\203e\374\0VW\215\271\324\0\0\0\353\21\377u\14\213\316\377u\10\350-\373\377\377\205\300u\27\215E\374\213\317P\350PX\1\0\213\360\205\366u\336_^\311\302\10\0\213\306\353\366VW\277\344\206\6xW\213\361\377\25 \23\0x\377t$\20\213\316\377t$\20\350\243\377\377\377\205\300u\7\276\341\6\0\0\353\17\3770\215\216\324\0\0\0\350TW\1\03\366W\377\25\34\23\0x_\213\306^\302\10\0U\213", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03523   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "H\334B\211\336?\0\200", ) , ) == 0x0
 03524   896   NtReadFile  (192, 0, 0, 0, 16350, 0x0, 0, ... {status=0x0, info=16350},  (192, 0, 0, 0, 16350, 0x0, 0, ... {status=0x0, info=16350}, "p\207(\13\177\30\244\36,A\200^gT`\212\266$P\21ZE\221\342\275)IM%\3465L\270e\33\314#\230\330\4s\277\346\377\310\272/\35?\375\251\215\334fz\260c*\336\257\2401\245\337Z\2272eXS\314)\376\36r\8\266\376\342\366\243UTf\331\11x=e\24#B\263\1o+\347\326\304\340\314\332\203\237?\242\317\7\325\330\356\327xgd\211A\237\232`7\20%\226\213\371\333pDd\276G\311\250\205`\2269\13\303O'T\244\334\366\274\23\35>/'\\255\35\33\267,\234\346\350\301\301_P_\372$l\334\256:\327\244\21\324F\243~*~bo\262\370\25\256\256\0)\236%\205+\351\314'\231\265\201\231\251\321\256\361@\272bn\322`\275'w\\270'\16\254\210\271\37.\253\240\3\367\205\2624\330\7\12>\5ZRV$\306 VTR\352\270\311\230T>\207\256\356\270yx\23x\35\270\364\316\357\13WZ\252\331\232\230\223\12\232\210\372\203\2225D\305+\226\26\214\220\312Z\272?QE\2709(\10r\205\244\223!\336=[\5\344\17\270\300\365Y\244\12\276\2452\230\213\310R\267K\261\34X\252'\12\205\224\256r(\6\363\335CN\312\212\330\22E[\345\25\315YZ5H\213f][\*\12\3360\221\210V\303O\323Fmx\374Is\314v/\7qD{G\263\20!h\207\10)r\222Q\247\17\205\3*rM\276w)\0!*\205\207\25\16\276\206\264\254\206\241\26\254\256~+\260j\326\211D\272\240>\304!\246\322\271\2\10%\357\370\"\2157\352\341\N\365\343\4`Q(\320\307\376\345\352e\36.#\340Ik\207\7Q\222\226\221\345\3337Xwr\253V\232C\225IO\237\237\241.D\241\22x^7\225i\306F\15\306\244\255_", ) \2157\352\341\N\365\343\4`Q(\320\307\376\345\352e\36.#\340Ik\207\7Q\222\226\221\345\3337Xwr\253V\232C\225IO\237\237\241.D\241\22x^7\225i\306F\15\306\244\255_", ) == 0x0
 03525   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "d\213\3W\213\313\377P\34\213\360\213\3W\213\313\377P(\205\366t\53\300@\353Z\213\223\244\0\0\0\205\322tN\213C\303\311\203\370\1t \215\14\0\213C\34\203\350\11t\22Ht\12\203\350\6t\12\203\3110\353\10\203\311\20\353\3\203\311 \203{\20\0t\3\203\311\1\213E\300\211B\10\213\203\244\0\0\0\213U\304\211P\14\213\203\244\0\0\0\210H\13\300_^[\203\305p\311\302\10\0U\215l$\220\201\354\364\0\0\0SV3\366\213\331W\215M\234\211u`\211uD\211uH\211ud\211uX\211uT\350\212\226\376\377\213}x\213M|\203\371H\213G\14\211Ehs\34VP3\366FVj\5\213\313\350\340\367\377\377W\213\3\213\313\377P(\351o\5\0\0\17\266G\30\213W\4Hk\300,\203\300H;\310\211Sds\6V\377uh\353\313f\213G\12f;\306\17\204T\1\0\0\17\267\300\213\327+\320\215D\12\370\17\266P\1\213H\4\211U\234\212Sd\211EP\17\266\0\200\342\360\200\372\20\307EX\1\0\0\0\211M\\211E\240t\5\17\311\211M\\203}\234\3u\7\307E\234\4\0\0\0P\377u\234\213\313\377u\\350$\321\377\377;\306\211Eludjh\211uL\350y]\0\0;\306Yt\30\215MLQV\377u\\215M\234Q\213\310\350\25\336\0\0\211El\353\3\211ul9ul\17\2040\1\0\09uL\17\205'\1\0\0\377ul\215\213\364\0\0\0\350\346\330\0\0\203\370\377\17\204\20\1\0\03\300@9sh\211ETt\6\211\203\34\1\0\0\215C\30j\14Y\213\370\215u\234\363\245\213\310\350\37\301\0\0\213E\\211\203\30\1\0\0\213El3\366\211CX\213C\30F\203\370\2\211sht\17\203\370\4t", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03526   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "fSR\21NB\0\200", ) , ) == 0x0
 03527   896   NtReadFile  (192, 0, 0, 0, 16974, 0x0, 0, ... {status=0x0, info=16974},  (192, 0, 0, 0, 16974, 0x0, 0, ... {status=0x0, info=16974}, "\213\2\12jT\23*;\232\230OJ@\221\362a\252\343\224\263,\321\314iqK\337X\3710\322U\25\352F`\215k\217\236I\363\225#g\256\234\235\220\340gl\227\266:\302\210\204\343\21\3301J\3432\203\243\207\352Tj\315\314\346\215Y\274wk\336\211\2351K\227i\362\240p+|\325\303l\4[\267_\323KT(\320\305m\235\256?\330hc\315\210n\314\255I=\275\32\2\2420H\261\354\33\236\320)\274\306\24\27\227\17w\347=Vi\15\27\337\362*\242\5\250,\5\247\31\247e|e\23\204\353\313y\227f\34\313i\226,\235vI\7n"\265\345\25P\201s\272\246\247n\374eRL\327hy\23\310\326\361\203\345\300i|?\372C\364\266\230h\253=\320I>\242\372\7\32.5b\214:?\34\216\203\212\301q\323\323\334){u\340\260\320a\232C\342\304\371tr\264\177\247\305\226\274\6\346i\315\17\307\317\241hb\351\376L\311\272\375\177DAJ\3255\322'Q\331\15\2653\347\20\316\371]\311z\17{\362\314\341\213\371\254\303\34\370\367\337\35\350\352\275)lj\342\233\275w\255\332\3\245\244|\326h+s\363\233\230\335v|\\355\236,.\330C\343\335s\35\247\273N]\355\302\250\22\345\332\245W\325\222\375\d\27a\265\306\305#"\33v\353$\326\365\2068\212?\310HA\372i;\333\313R\215R/9\235\2\336\346\244\346\276\366\340B\374\236.d\207&\220\225\306\230\331j_\4 \231\10\313\16\332\366\306P\221\224l\21\325\263\5y\\264\215\230}\275\304\214\3524\350iD\321B~\345K\375R\232\271\272\12\344\260\333\354\223\0\324\3772\222\375\5eL\26r\214\365i26\375\7\236,\3154\244\374]\341\252&\27a \345\222\312\241\203\345y~X\12%\200", ) \265\345\25P\201s\272\246\247n\374eRL\327hy\23\310\326\361\203\345\300i|?\372C\364\266\230h\253=\320I>\242\372\7\32.5b\214:?\34\216\203\212\301q\323\323\334){u\340\260\320a\232C\342\304\371tr\264\177\247\305\226\274\6\346i\315\17\307\317\241hb\351\376L\311\272\375\177DAJ\3255\322'Q\331\15\2653\347\20\316\371]\311z\17{\362\314\341\213\371\254\303\34\370\367\337\35\350\352\275)lj\342\233\275w\255\332\3\245\244|\326h+s\363\233\230\335v|\\355\236,.\330C\343\335s\35\247\273N]\355\302\250\22\345\332\245W\325\222\375\d\27a\265\306\305# (192, 0, 0, 0, 16974, 0x0, 0, ... {status=0x0, info=16974}, "\213\2\12jT\23*;\232\230OJ@\221\362a\252\343\224\263,\321\314iqK\337X\3710\322U\25\352F`\215k\217\236I\363\225#g\256\234\235\220\340gl\227\266:\302\210\204\343\21\3301J\3432\203\243\207\352Tj\315\314\346\215Y\274wk\336\211\2351K\227i\362\240p+|\325\303l\4[\267_\323KT(\320\305m\235\256?\330hc\315\210n\314\255I=\275\32\2\2420H\261\354\33\236\320)\274\306\24\27\227\17w\347=Vi\15\27\337\362*\242\5\250,\5\247\31\247e|e\23\204\353\313y\227f\34\313i\226,\235vI\7n"\265\345\25P\201s\272\246\247n\374eRL\327hy\23\310\326\361\203\345\300i|?\372C\364\266\230h\253=\320I>\242\372\7\32.5b\214:?\34\216\203\212\301q\323\323\334){u\340\260\320a\232C\342\304\371tr\264\177\247\305\226\274\6\346i\315\17\307\317\241hb\351\376L\311\272\375\177DAJ\3255\322'Q\331\15\2653\347\20\316\371]\311z\17{\362\314\341\213\371\254\303\34\370\367\337\35\350\352\275)lj\342\233\275w\255\332\3\245\244|\326h+s\363\233\230\335v|\\355\236,.\330C\343\335s\35\247\273N]\355\302\250\22\345\332\245W\325\222\375\d\27a\265\306\305#"\33v\353$\326\365\2068\212?\310HA\372i;\333\313R\215R/9\235\2\336\346\244\346\276\366\340B\374\236.d\207&\220\225\306\230\331j_\4 \231\10\313\16\332\366\306P\221\224l\21\325\263\5y\\264\215\230}\275\304\214\3524\350iD\321B~\345K\375R\232\271\272\12\344\260\333\354\223\0\324\3772\222\375\5eL\26r\214\365i26\375\7\236,\3154\244\374]\341\252&\27a \345\222\312\241\203\345y~X\12%\200", ) , ) == 0x0
 03528   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\0\0\0\211M\264f\307E\274@\0f\307E\240@\0f\307E\242X\0\306E\270\10\211M\360\377px\377\25\250\22\0x\213\310\270\0\0\0\300#\310;\310t\12\203}\354\0\17\204\342\0\0\0\377v\10\350\241\336\377\377Y\213\307\351\325\0\0\0\204\300\213}\14\211M\24y9\201\303\320\0\0\0S\307E\24\1\0\0\0\377\25 \23\0x\213E\370\201\270\220\0\0\0\0x\0\0r\12\307\200\224\0\0\0\1\0\0\0S\377\25\34\23\0x\213]\370\353\4\200O)\20\213F@P\211G\14\350<\336\377\377\205\300Y\211G\10t!\215M\14Q\377w\14Pj\0V\377u\20\377\25\244\22\0x\213\310\270\0\0\0\300#\310;\310u\7\307E\374\16\0\0\0\213E\303\311;\301t\259M\24t\209M\374u\13\307\0\1\0\0\0\211H\4\3531\377u\374\213\313V\377u\20\350&\356\377\377V\213\330\350\363\11\376\377\203}\374\0u\7\205\333t\21\211]\374\213\177\10\205\377t\7W\350\310\335\377\377Y\213E\374_^[\311\302\24\0U\213\354QQS3\3339\35\14\207\6x\17\204\316\0\0\0\350\16\360\377\377\205\300u\339\35\234\212\6x\17\205\271\0\0\0\307\5\234\212\6x\1\0\0\0\351\252\0\0\0VW3\377\377\25p\21\0x\211E\370\211]\374\353]\215\210\4\1\0\09\31tS\213\220\10\1\0\0\213u\370+\362\205\366~"\215\260\310\0\0\0\3776\2119\213\15P\212\6x\213\370\350\221W\0\0\203\16\377\377\15T\212\6x\353"\213\302+\5\240\212\6xy\6\211\25\240\212\6x9\35\234\212\6xu\12\307\5\234\212\6x\1\0\0\0\213\15P\212\6x\215E\374P\350\12X\0\0;\303u\220\241\14\207\6x\203\300\14P\377\25\34\23\0x", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \215\260\310\0\0\0\3776\2119\213\15P\212\6x\213\370\350\221W\0\0\203\16\377\377\15T\212\6x\353 (200, 0, 0, 0, "\0\0\0\211M\264f\307E\274@\0f\307E\240@\0f\307E\242X\0\306E\270\10\211M\360\377px\377\25\250\22\0x\213\310\270\0\0\0\300#\310;\310t\12\203}\354\0\17\204\342\0\0\0\377v\10\350\241\336\377\377Y\213\307\351\325\0\0\0\204\300\213}\14\211M\24y9\201\303\320\0\0\0S\307E\24\1\0\0\0\377\25 \23\0x\213E\370\201\270\220\0\0\0\0x\0\0r\12\307\200\224\0\0\0\1\0\0\0S\377\25\34\23\0x\213]\370\353\4\200O)\20\213F@P\211G\14\350<\336\377\377\205\300Y\211G\10t!\215M\14Q\377w\14Pj\0V\377u\20\377\25\244\22\0x\213\310\270\0\0\0\300#\310;\310u\7\307E\374\16\0\0\0\213E\303\311;\301t\259M\24t\209M\374u\13\307\0\1\0\0\0\211H\4\3531\377u\374\213\313V\377u\20\350&\356\377\377V\213\330\350\363\11\376\377\203}\374\0u\7\205\333t\21\211]\374\213\177\10\205\377t\7W\350\310\335\377\377Y\213E\374_^[\311\302\24\0U\213\354QQS3\3339\35\14\207\6x\17\204\316\0\0\0\350\16\360\377\377\205\300u\339\35\234\212\6x\17\205\271\0\0\0\307\5\234\212\6x\1\0\0\0\351\252\0\0\0VW3\377\377\25p\21\0x\211E\370\211]\374\353]\215\210\4\1\0\09\31tS\213\220\10\1\0\0\213u\370+\362\205\366~"\215\260\310\0\0\0\3776\2119\213\15P\212\6x\213\370\350\221W\0\0\203\16\377\377\15T\212\6x\353"\213\302+\5\240\212\6xy\6\211\25\240\212\6x9\35\234\212\6xu\12\307\5\234\212\6x\1\0\0\0\213\15P\212\6x\215E\374P\350\12X\0\0;\303u\220\241\14\207\6x\203\300\14P\377\25\34\23\0x", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03529   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\355W\310%&D\0\200", ) , ) == 0x0
 03530   896   NtReadFile  (192, 0, 0, 0, 17446, 0x0, 0, ... {status=0x0, info=17446},  (192, 0, 0, 0, 17446, 0x0, 0, ... {status=0x0, info=17446}, "\250Ns\320d\15\237sa\136\3>\4\354*\37\370\277\312\316\316K\377\16\26\347/\333\257\27\237o/\201\260~\237\274\360]\22!d\262d>5\331\10V\211\311\214\4\326_z\326\362\317\205\312-\22\254\324O\223S\13\206?\374\232\225\230\246\201\21\243\11\342\4h \21e\374\367\236\237\227\272q\4\351\356\364\367'\227\303\266\15\215Fd\322G\370\341\257\5!\207\237\357\225^\305\246V#\235\374(2L\374\321\363X\24\246\221/\253\337\149\332~\31\331\376$\335\213\31Jd 3f\366F\210\266Y\266I\277\377\351D\65yX\274nw\317FQ\16>C\20\22s\207\33\270!\221i\261>\316\223\21\264i\216\17,N\14\303KJ\34\277\267Q\21\261\266X\275\21\33A\16\252\352\211\276\314\244\25\370\2674<\336\310\227\331B\224/sU\217\16'\322\265nC\227\3\251\257\332t\345\330\223D\200'q\324\247\357\5\326p\201,\372N\247e{\254'\255\210\5\232Sy\361v\211k(rw\263\277L\14\333'\222\260RC[\23\362\351/\320\333\23\313\206\313Me\214\250S\10\\212H\314\317\344\6\314 o\222\1\221\356_&3\203>\335\5\201]\23fe\21\14\215\2329_\360-&\263\17\217\334_]\6v\277\37J\7J/\224\14\262X\303yd3z\35\362 \270?\307~YK\231\206\211\342\362\367_l\365\364\251\266k\21G\23r\17\333.\37^\272\342"\210\353(~ob\275\205\245", ) \362\317\205\312-\22\254\324O\223S\13\206?\374\232\225\230\246\201\21\243\11\342\4h \21e\374\367\236\237\227\272q\4\351\356\364\367'\227\303\266\15\215Fd\322G\370\341\257\5!\207\237\357\225^\305\246V#\235\374(2L\374\321\363X\24\246\221/\253\337\149\332~\31\331\376$\335\213\31Jd 3f\366F\210\266Y\266I\277\377\351D\65yX\274nw\317FQ\16>C\20\22s\207\33\270!\221i\261>\316\223\21\264i\216\17,N\14\303KJ\34\277\267Q\21\261\266X\275\21\33A\16\252\352\211\276\314\244\25\370\2674<\336\310\227\331B\224/sU\217\16'\322\265nC\227\3\251\257\332t\345\330\223D\200'q\324\247\357\5\326p\201,\372N\247e{\254'\255\210\5\232Sy\361v\211k(rw\263\277L\14\333'\222\260RC[\23\362\351/\320\333\23\313\206\313Me\214\250S\10\\212H\314\317\344\6\314 o\222\1\221\356_&3\203>\335\5\201]\23fe\21\14\215\2329_\360-&\263\17\217\334_]\6v\277\37J\7J/\224\14\262X\303yd3z\35\362 \270?\307~YK\231\206\211\342\362\367_l\365\364\251\266k\21G\23r\17\333.\37^\272\342 (192, 0, 0, 0, 17446, 0x0, 0, ... {status=0x0, info=17446}, "\250Ns\320d\15\237sa\136\3>\4\354*\37\370\277\312\316\316K\377\16\26\347/\333\257\27\237o/\201\260~\237\274\360]\22!d\262d>5\331\10V\211\311\214\4\326_z\326\362\317\205\312-\22\254\324O\223S\13\206?\374\232\225\230\246\201\21\243\11\342\4h \21e\374\367\236\237\227\272q\4\351\356\364\367'\227\303\266\15\215Fd\322G\370\341\257\5!\207\237\357\225^\305\246V#\235\374(2L\374\321\363X\24\246\221/\253\337\149\332~\31\331\376$\335\213\31Jd 3f\366F\210\266Y\266I\277\377\351D\65yX\274nw\317FQ\16>C\20\22s\207\33\270!\221i\261>\316\223\21\264i\216\17,N\14\303KJ\34\277\267Q\21\261\266X\275\21\33A\16\252\352\211\276\314\244\25\370\2674<\336\310\227\331B\224/sU\217\16'\322\265nC\227\3\251\257\332t\345\330\223D\200'q\324\247\357\5\326p\201,\372N\247e{\254'\255\210\5\232Sy\361v\211k(rw\263\277L\14\333'\222\260RC[\23\362\351/\320\333\23\313\206\313Me\214\250S\10\\212H\314\317\344\6\314 o\222\1\221\356_&3\203>\335\5\201]\23fe\21\14\215\2329_\360-&\263\17\217\334_]\6v\277\37J\7J/\224\14\262X\303yd3z\35\362 \270?\307~YK\231\206\211\342\362\367_l\365\364\251\266k\21G\23r\17\333.\37^\272\342"\210\353(~ob\275\205\245", ) , ) == 0x0
 03531   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\342\4\215T\12\311\353\23f\203\371ar f\203\371fw\32\301\342\4\215T\12\251F@@\203\376\4|\265\213L$\10f\211\21^\302\4\03\300\353\370V3\3223\3663\311f\213\10f\203\3710r\20f\203\3719w\12\203\302\375\301\342\4\3\321\353(f\203\371Ar\17f\203\371Fw\11\301\342\4\215T\12\311\353\23f\203\371ar\37f\203\371fw\31\301\342\4\215T\12\251F@@\203\376\2|\265\213L$\10\210\21^\302\4\03\300\353\370\213D$\4V\213\361W3\3113\377f\213\20f\203\3720r\23f\203\3729w\15\203\301\375\17\267\322\301\341\4\3\312\353.f\203\372Ar\22f\203\372Fw\14\17\267\322\301\341\4\215L\21\311\353\26f\203\372ar\36f\203\372fw\30\17\267\322\301\341\4\215L\21\251G@@\203\377\10|\256\205\300\211\16u\103\300@\351\277\0\0\0j-_f98u\360\215N\4Q\203\300\2\350\303\376\377\377\205\300t\340f98u\333\215N\6Q\203\300\2\350\256\376\377\377\205\300t\313f98u\306\215N\10Q\203\300\2\350\370\376\377\377\205\300t\266\215N\11Q\350\353\376\377\377\205\300t\251f98u\244\215N\12Q\203\300\2\350\326\376\377\377\205\300t\224\215N\13Q\350\311\376\377\377\205\300t\207\215N\14Q\350\274\376\377\377\205\300\17\204v\377\377\377\215N\15Q\350\253\376\377\377\205\300\17\204e\377\377\377\215N\16Q\350\232\376\377\377\205\300\17\204T\377\377\377\203\306\17V\350\211\376\377\377\205\300\17\204C\377\377\3773\311f9\10\17\225\301\213\301_^\302\4\0W3\300\213\371\253\253\253\253_\303\213L$\10VW\213\301\301\350\34f\213\24E\230\201\6x\213D$\14f\211\20j\2^\3\306\213\371\301\357\30j\17Z#\372", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03532   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\300\234&\363\246?\0\200", ) , ) == 0x0
 03533   896   NtReadFile  (192, 0, 0, 0, 16294, 0x0, 0, ... {status=0x0, info=16294},  (192, 0, 0, 0, 16294, 0x0, 0, ... {status=0x0, info=16294}, "\1s\234\333ja\234c\15`\1AN\21\233\225\275\372Q \21\314\235\232/G\342x\353=\337YU\353\334\355\3076\263\3\317\13\1\27\243\22\2226\261C\216\267\206}\206\211(\316\352\333j\34:\22\15\230\274\273\276\327\302\15\255\3752%Ok\337\200\340\3631B\265\251\264\261\32e\2443\244Y\351\312v\230Vm\364\323\203\255\350\334(\200f#>\200\21577\351\257\226]\240\364j\301\2139\255p\17\362\330\231\244"\272\266\244"uY\247\323Z\36\271P\0\7\27n\212\32\276C\347zz9\302'W$\235%J\265\230$\271\226\310\317\272\253Zg\303\22!\251\231M\217h\255&v\337+\366L\303["2@yO\277^\237!l\302<\362\270\240\322\2p\331\203\2577Q\363\271;\372{6\210\203\27M\253h\323\350\337Z\373G\256\277\246\360\355\357\236d\311\246m\356\243J\267\206i\255;\354\322j\354\17\344\321\237J\266\233\251\336\370\313\373Y\34-`\5\251\314\347\320\2\213\226\355;z\313\202%\353\332\224v\320\274\346)Q\216\26\10\270O}S\215\317z>\353(\260\351U\216\343\317\256\34\215\331\271\344\225\234\342\302\240r\212;\16\331O\377\245\356d\324\3\331\26\344\255\243\304u\207\16\270#U\254Q\256d\337\2359\251SS\226\344v=\215\356\320j\322\251\304\221>\323\361\34I\331\214\343\346U\303R\2235\265!\260\304\233\261\200\31\243\366\331#\230]\251b\213D\252X\276n\262\22!\244iH\277\355\277$\149\356\210\244\235\264\202y\26 \2270\320\352\213\3525\36\264KW\210\276>\222\374\241\17 \212\364i\35cltb\306\275D\257\243\2\15\257\357\217\315\1\300\17w\323=\11\376DT\301\203p\11\375O\202\223\325\34="F\37\234py\353\2242\304\13\252\332", ) \272\266\244 (192, 0, 0, 0, 16294, 0x0, 0, ... {status=0x0, info=16294}, "\1s\234\333ja\234c\15`\1AN\21\233\225\275\372Q \21\314\235\232/G\342x\353=\337YU\353\334\355\3076\263\3\317\13\1\27\243\22\2226\261C\216\267\206}\206\211(\316\352\333j\34:\22\15\230\274\273\276\327\302\15\255\3752%Ok\337\200\340\3631B\265\251\264\261\32e\2443\244Y\351\312v\230Vm\364\323\203\255\350\334(\200f#>\200\21577\351\257\226]\240\364j\301\2139\255p\17\362\330\231\244"\272\266\244"uY\247\323Z\36\271P\0\7\27n\212\32\276C\347zz9\302'W$\235%J\265\230$\271\226\310\317\272\253Zg\303\22!\251\231M\217h\255&v\337+\366L\303["2@yO\277^\237!l\302<\362\270\240\322\2p\331\203\2577Q\363\271;\372{6\210\203\27M\253h\323\350\337Z\373G\256\277\246\360\355\357\236d\311\246m\356\243J\267\206i\255;\354\322j\354\17\344\321\237J\266\233\251\336\370\313\373Y\34-`\5\251\314\347\320\2\213\226\355;z\313\202%\353\332\224v\320\274\346)Q\216\26\10\270O}S\215\317z>\353(\260\351U\216\343\317\256\34\215\331\271\344\225\234\342\302\240r\212;\16\331O\377\245\356d\324\3\331\26\344\255\243\304u\207\16\270#U\254Q\256d\337\2359\251SS\226\344v=\215\356\320j\322\251\304\221>\323\361\34I\331\214\343\346U\303R\2235\265!\260\304\233\261\200\31\243\366\331#\230]\251b\213D\252X\276n\262\22!\244iH\277\355\277$\149\356\210\244\235\264\202y\26 \2270\320\352\213\3525\36\264KW\210\276>\222\374\241\17 \212\364i\35cltb\306\275D\257\243\2\15\257\357\217\315\1\300\17w\323=\11\376DT\301\203p\11\375O\202\223\325\34="F\37\234py\353\2242\304\13\252\332", ) 2@yO\277^\237!l\302<\362\270\240\322\2p\331\203\2577Q\363\271;\372{6\210\203\27M\253h\323\350\337Z\373G\256\277\246\360\355\357\236d\311\246m\356\243J\267\206i\255;\354\322j\354\17\344\321\237J\266\233\251\336\370\313\373Y\34-`\5\251\314\347\320\2\213\226\355;z\313\202%\353\332\224v\320\274\346)Q\216\26\10\270O}S\215\317z>\353(\260\351U\216\343\317\256\34\215\331\271\344\225\234\342\302\240r\212;\16\331O\377\245\356d\324\3\331\26\344\255\243\304u\207\16\270#U\254Q\256d\337\2359\251SS\226\344v=\215\356\320j\322\251\304\221>\323\361\34I\331\214\343\346U\303R\2235\265!\260\304\233\261\200\31\243\366\331#\230]\251b\213D\252X\276n\262\22!\244iH\277\355\277$\149\356\210\244\235\264\202y\26 \2270\320\352\213\3525\36\264KW\210\276>\222\374\241\17 \212\364i\35cltb\306\275D\257\243\2\15\257\357\217\315\1\300\17w\323=\11\376DT\301\203p\11\375O\202\223\325\34= (192, 0, 0, 0, 16294, 0x0, 0, ... {status=0x0, info=16294}, "\1s\234\333ja\234c\15`\1AN\21\233\225\275\372Q \21\314\235\232/G\342x\353=\337YU\353\334\355\3076\263\3\317\13\1\27\243\22\2226\261C\216\267\206}\206\211(\316\352\333j\34:\22\15\230\274\273\276\327\302\15\255\3752%Ok\337\200\340\3631B\265\251\264\261\32e\2443\244Y\351\312v\230Vm\364\323\203\255\350\334(\200f#>\200\21577\351\257\226]\240\364j\301\2139\255p\17\362\330\231\244"\272\266\244"uY\247\323Z\36\271P\0\7\27n\212\32\276C\347zz9\302'W$\235%J\265\230$\271\226\310\317\272\253Zg\303\22!\251\231M\217h\255&v\337+\366L\303["2@yO\277^\237!l\302<\362\270\240\322\2p\331\203\2577Q\363\271;\372{6\210\203\27M\253h\323\350\337Z\373G\256\277\246\360\355\357\236d\311\246m\356\243J\267\206i\255;\354\322j\354\17\344\321\237J\266\233\251\336\370\313\373Y\34-`\5\251\314\347\320\2\213\226\355;z\313\202%\353\332\224v\320\274\346)Q\216\26\10\270O}S\215\317z>\353(\260\351U\216\343\317\256\34\215\331\271\344\225\234\342\302\240r\212;\16\331O\377\245\356d\324\3\331\26\344\255\243\304u\207\16\270#U\254Q\256d\337\2359\251SS\226\344v=\215\356\320j\322\251\304\221>\323\361\34I\331\214\343\346U\303R\2235\265!\260\304\233\261\200\31\243\366\331#\230]\251b\213D\252X\276n\262\22!\244iH\277\355\277$\149\356\210\244\235\264\202y\26 \2270\320\352\213\3525\36\264KW\210\276>\222\374\241\17 \212\364i\35cltb\306\275D\257\243\2\15\257\357\217\315\1\300\17w\323=\11\376DT\301\203p\11\375O\202\223\325\34="F\37\234py\353\2242\304\13\252\332", ) , ) == 0x0
 03534   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\377\377\2113[_3\300^\302\4\0W\213\371\350\355\341\377\377=\345\3\0\0u\43\300_\303\213\207\204\0\0\0\205\300Vt.\213\260d\2\0\0\205\366t$j\0\213\317\350\201\371\377\377\215NL\211\267\204\0\0\0\213\1\377\20=#\20\2\300t\11=$\20\2\300t\23\300^_\303S\213\$\10\213C\10\205\300W\213\371t\34V\215p\230\205\366t\6V\350\177\12\375\377;w\20^u\4\203g\20\0\203c\10\0_[\302\4\0V\213\361\213\206|\2\0\0\203\300,P\377\25 \23\0x\377\216\264\2\0\0uB\201\276p\2\0\0\5\11\0\0t6\203~|\0u\12\307\206\234\2\0\0\364\1\0\0\213\316\3507\332\377\377\213\316\350C\375\377\377\205\300t\24P\213\316\350\325\330\377\377\211F\34\213\6j\0\213\316\377Ph\213\206|\2\0\0\203\300,P\377\25\34\23\0x^\303\213L$\4\350\210\377\377\377\302\4\0U\213\354QVW\213\361\215~(W\377\25 \23\0x\203e\374\0\203\306T\353\11j\1\213\310\350\222\370\377\377\215E\374\213\316P\350\264X\377\377\205\300u\350W\377\25\34\23\0x_^\311\303U\213\354Q\203e\374\0SV\213\361W\307\6<-\0x\215^p\353\34\377w|\213\313\350\316W\377\377j\0\213\317\350M\370\377\377j\1\213\317\350=\352\377\377\215E\374\213\313P\350fX\377\377\213\370\205\377u\323\213NH\205\311t\7j\1\350\267\14\375\377\377\266\304\0\0\0\350D\335\376\377Y\213\216\320\0\0\0\205\311t\7\213\1j\1\377P\4\215\216\214\0\0\0\350\362\336\377\377\213\313\350\34Y\377\377\215NT\350\24Y\377\377\215N(\350@t\377\377_\307F\4\231\255\336\231^[\311\303\213L$\4\350\221\367\377\377\302\4\0U\213\354\213", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03535   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, " (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, ""T\2102T=\0\200", ) , ) == 0x0
 03536   896   NtReadFile  (192, 0, 0, 0, 15700, 0x0, 0, ... {status=0x0, info=15700},  (192, 0, 0, 0, 15700, 0x0, 0, ... {status=0x0, info=15700}, "#\243\261h\354m\326\227\351F\261\355\367\341\21\311e{I\2443\17\24\35<\361L;\323\222O\3061Rh\346\237s\314\306\37\322xY\320\314N"\267\352>vp\370{\241K\327\360\232\346\217\3034\235xs\330\261~c\315`\245\210;\216\354=\370\202\221n\30\257\26\306\306\310\304|\240\204db;\335\23\220\206\271m\270\3523}\364\27~x\326\366\6\374\264 \371\31\230\254b\206\334\236\36\210\272w1(\237\236\275\336d\366\232\7\7)\376\0\340\11\314\223UU\266\237\315\322\15XN9OR%0ZK\263\261h\11u\233]g\2442\245\14}[\246\3644U\247\220\177[)\215\37\343\332\336\21`}\241s\302\230\256\200t[\263zF%{?L\325\253\362\2043\202\272\317D\350\323\213<\266\350\17\320\200\222r\313\335\353\330\35c\254\326\322\273#>l\315\353\12\376N\257\232xu\332+\314\232\267\252y\354L\257U\\337\217pa\300\337f\313V\33GL\305=\274\305(&j.\254x\265\265\355D\233\5\325Ei\223p\254\341\316hM\213\273\267h7#\240I\243\253\351\304xG\10\271\23\10Y\7\240\14\204\214\3004\315\17\200\205fh\300d\4\226\325a\351cN\327\223\30rX\2\231(\202\262\6(\2O\311J\214\224\355\225\351S\^J\323q\360\5k\\21$\360!\21\230\202\367\20%gH\263\255\306\3261\22\223\331L\255%\216)\260KY\3\357>\226\217]\231\216)\2400\246&H\246\266)\32\221\177\209\361Y\27\245-O\246\211tH\205\341\244\354\351\13\\24536\275ix6\351\\355\245.\261V5\30\265\321!*:\345\324\31k\346{\17\327x\33C\365C\222}A\255\2\324\217P\313}\355\267Wy^\360\317Kh\343\374\271R\234Jr", ) \267\352>vp\370{\241K\327\360\232\346\217\3034\235xs\330\261~c\315`\245\210;\216\354=\370\202\221n\30\257\26\306\306\310\304|\240\204db;\335\23\220\206\271m\270\3523}\364\27~x\326\366\6\374\264 \371\31\230\254b\206\334\236\36\210\272w1(\237\236\275\336d\366\232\7\7)\376\0\340\11\314\223UU\266\237\315\322\15XN9OR%0ZK\263\261h\11u\233]g\2442\245\14}[\246\3644U\247\220\177[)\215\37\343\332\336\21`}\241s\302\230\256\200t[\263zF%{?L\325\253\362\2043\202\272\317D\350\323\213<\266\350\17\320\200\222r\313\335\353\330\35c\254\326\322\273#>l\315\353\12\376N\257\232xu\332+\314\232\267\252y\354L\257U\\337\217pa\300\337f\313V\33GL\305=\274\305(&j.\254x\265\265\355D\233\5\325Ei\223p\254\341\316hM\213\273\267h7#\240I\243\253\351\304xG\10\271\23\10Y\7\240\14\204\214\3004\315\17\200\205fh\300d\4\226\325a\351cN\327\223\30rX\2\231(\202\262\6(\2O\311J\214\224\355\225\351S\^J\323q\360\5k\\21$\360!\21\230\202\367\20%gH\263\255\306\3261\22\223\331L\255%\216)\260KY\3\357>\226\217]\231\216)\2400\246&H\246\266)\32\221\177\209\361Y\27\245-O\246\211tH\205\341\244\354\351\13\\24536\275ix6\351\\355\245.\261V5\30\265\321!*:\345\324\31k\346{\17\327x\33C\365C\222}A\255\2\324\217P\313}\355\267Wy^\360\317Kh\343\374\271R\234Jr", ) == 0x0
 03537   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\306\203\300\3\203\340\374\211]0\350\237\323\1\0\203eD\0\213\324\213\316\301\351\23\300\213\372\363\253\213\316\203\341\3\363\252\213E8\211U@)]@\211U<\211EX\211]\\213ET\17\267@.9ED\17\215\34\3\0\0\213E@\213M\\215<\10\213EL\213\10W\377uDP\377Q\30\205\300\211Ed\17\214)\3\0\0\2137\213^ \215M\0\350\353\314\377\377\213ETf\213@4fH\205\333f\211E\20t\14\307Ed\10\0\2\200\351\264\2\0\0\213Ut\213\2\211E\0f\213F\20\17\267\310\201\341\377\277\377\377\203\371\35f\211E\4\17\217c\1\0\0\17\204\12\1\0\0\203\371\16\177[t)\203\371\10\17\214\306\1\0\0\203\371\11\17\216b\1\0\0\203\371\13\17\216\264\1\0\0\203\371\15\17\216P\1\0\0\351\246\1\0\0\366\304@\213EXt\12f\307\0\276\3\351{\1\0\0f\307\0\262\3\213EH\203\370\7r\3j\7X\17\267\300\301\340\20\203\310\20\351q\1\0\0\203\371\32\17\214m\1\0\0\203\371\33~O\203\371\34\17\205_\1\0\0\213F\14\211E\34\213B\10\211E\10\213\10P\377Q\4\213\7\377u\f\213@\20\377uX\213MPf\211E\4\215E\0P\350\266\340\377\377\205\300\211Ed\17\215&\1\0\0\215M\0\350\21\314\377\377\351\32\2\0\0\215M\324\350\341\313\377\377\215E\324P\203\306\14V\377uL\350e\10\1\0\205\300\211Ed\17\214o\2\0\0\377u\\213MP\377uX\215E\324P\350(\350\377\377\205\300\211Ed\17\214R\2\0\0\215M\324\350\304\313\377\377\351\314\0\0\0\213EL\213\10\215U,R\377v\14P\377Q8\205\300\211Ed|\217\213E,\377u\\213uX\213MP\211E\10V\215E\0P\350\350\353", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03538   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\257\15\3\262t=\0\200", ) , ) == 0x0
 03539   896   NtReadFile  (192, 0, 0, 0, 15732, 0x0, 0, ... {status=0x0, info=15732},  (192, 0, 0, 0, 15732, 0x0, 0, ... {status=0x0, info=15732}, "\340\3600\371\240e \373\245[b\251\2732\371\253*:\256\366\15\272G\272\246\33/\237cs\336X\240\305\252\303m\217\204\303\365|R\252G\211P\31_N\227\2157An$TK*\224\323\332\207m\266\246\16\351\24\250\356U\22wf^(\206\275A`\235p\255*\214\6\237=\271|\260\337\306\212/$\251\317\244\332\363\236_\12\244\3539\257\0\5\17\20\364\254\243\373\3211\341\36\17-\236\36\346$\373\243\353\205\206\5Otti\36\232f\240\243~\0\243l'K\263>\234+y\355\224Z\3767\314v\227\230\36k\216q\210\343\6\210\300\204\31\3\276u\313\223\334\02f\242\214\362\264\247k\5L\356\31f=0z\354}u$\313\213\313\206z\314\2705\227+\323p\2141\221\224)\3\17\22j\4\2051\34\312\347t\271\216\322\33\245g\367\267\210\205\32\253\347\306P>F\200;\363 \230\341f\304\5v\271\223\216[\346\223h\334\204\342\34(h\377n\17\22\367\355\313\313\227Fg\271[\307\346c\332u{\335\370b\35\25\334J\263\276\25\32\226\272\177\356\253,\335\274{\303x\325\255/88]%3\311\35\236q\234+\23\315c\3564\264\12\233M\226\205\266\355\314o\221\346\22a\220\256s\22\361\331-H\207A\32\223`y\314\345\320\316\237\274\335\357\10\244\345\240\213\330p\212\350\232cg\313\302\364\322IT#!\240\210\227\206o\351\366K\213\333\326\263^(tF\350/\372\362"\2553~\340\21\223\352V\350V\26\302\333\324\350yV\24Y\352p\341\2\32\265\10qrS\109)\271^\201u\272k@\32\214\235W\332\211\312\7W\337\327\305%\267\253hp\365U\3\334\276C[F\341D[rs\233\331\32\244\216p\200#\265\210\237\317\352\21\3611\325\30\244|p\261\213\360d", ) \2553~\340\21\223\352V\350V\26\302\333\324\350yV\24Y\352p\341\2\32\265\10qrS\109)\271^\201u\272k@\32\214\235W\332\211\312\7W\337\327\305%\267\253hp\365U\3\334\276C[F\341D[rs\233\331\32\244\216p\200#\265\210\237\317\352\21\3611\325\30\244|p\261\213\360d", ) == 0x0
 03540   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\217k\4x\253k\4xrk\4x\356k\4x\0\0\1\0\2\3\2\4\4\6\6\6\5\4\6\4j\14hHS\0x\350\330R\1\0\213u\10\213F,\205\300t\12\213H\4\211M\344\203`\4\0\203e\374\0\377u\20\377u\14V\350\202\335\377\377\203M\374\377\350\13\0\0\0\350\337R\1\0\302\14\0\213u\10\213F,\205\300t\6\213M\344\211H\4\303j\20hXS\0x\350\206R\1\0\213u\10\213F\4\211E\3443\311\211N\30\213F,;\301t\11\213P\4\211U\340\211H\4\211M\374\213E\143\311\212\10\203\341?PV\241h\204\6x\377\24\210\203M\374\377\3505\0\0\0\213E\344\211F\4\213F\30\203f\30\0\215x\3\203\347\374\215G\14PV\350\4\276\377\377\213\310\215\49\211\10\211H\4\211@\10\350RR\1\0\302\10\0\213u\10\213F,\205\300t\6\213M\340\211H\4\303U\213\354\213\301\213M\14\211H\10\213M\20\211H\14\213M\24\211H\20\213M\30\211H\24\213M\10\307\0dS\0x\213Q\34\211P\30\212Q9\210P\34\213Qp\301\342\37\301\372\37\211P \213\221\254\0\0\0\211P$\213I(\211H(]\302\24\0U\213\354\213M\20\17\266A\1S\213]\10\213S\4\3\320\367\320#\320AA\211S\4\17\267\21V\213s\4AA\215\4\26;C\14W\211U\10\211M\20\211s\20v\12h\367\6\0\0\350\251\344\374\377\200}\24\0\213}\14\211C\4t\13RS\3509\275\377\377\211\7\353\15\203{ \0u\7\203?\0u\2\2117\213\203\254\0\0\0\211E\14\213Ch\205\300\211\263\254\0\0\0t\17\3777P\377sd\350\342k\0\0\203ch\0\213E\20\2008Ku\14\377u\24P\3777S\350\305\300\0\0\213?;\376t\21", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03541   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, ";n\350\220R@\0\200", ) , ) == 0x0
 03542   896   NtReadFile  (192, 0, 0, 0, 16466, 0x0, 0, ... {status=0x0, info=16466},  (192, 0, 0, 0, 16466, 0x0, 0, ... {status=0x0, info=16466}, "\245)Q\355\225.\2\13 n\356\16\210\11\0)`\352@\372\234]\210@\\20r[\362<\331\353\17\245\312F\274\253Gt\3\212l\2477\2341\2448\10\256o\315\365"<\11\325\\236\337\213\355/\12\274Z.\346j\\352\322Zk\306\242\221\271\34\36\264\4s\276\24t\354\253\311\243\277\331"\370\341\27\270\367\3065G\177\22^4#\15\276\251\201\347m\262\346\250\253\333\304[ \16U\257\235\30{e\267\357\236\316\237\222\367\376\2123\25\256\335\250\242(\215\312"z":\345\33\242\372/\371\260uP#\36\222\253d/\242\316\301\2222g\222\301\306\3467$8\350(zC=-\306\10\204\357\272\227\337\377\12NU\210.x\302GZ\177L|,\3\255\31\313'9\L\203\217\202\343!\360\344\6<\344\21p\225?}\316\30\s\376\341\355\304\31Y\206D\213\247`$\215W\241\312}A3R\364FUH\315\356\327\246d/\34\341\306\4 \272\357\37\37\260`c\2756+#\254h&d"T\250\3323\232\252N\23\314p\207\244 \364\316\317\310\206\320\10\6rr\346\354\361\263\346\307\270\272\203W\13\3311e\361\231\307w\370\21@\222\30\227T\305i\322\230JK\275AB\247U&\17\102v'\212\31\1495\373\24\314\361\243ulQ\360\370\1h\345\364\247\275\320\26\264\354\355\247\30\314\363\234\270\24\343\264\303(\2420Jx\335af\356\317y\223\213\342\264{\3317z\7\264\24\211B\274\242\232i\207pk[\^\13x\323\311\36\372\22\204\270\305\3620\340\225\267q\6\260\213\342\236\306\25Kmc\6\246\321mF\311z^\353N\311\337\302L)\2\365\213\13\206\214|\14\364\36\213\3\276\330\211t\320\345Z\232\230Y\366\231q*"u\345 \345`\304MKS\350\203y", ) <\11\325\\236\337\213\355/\12\274Z.\346j\\352\322Zk\306\242\221\271\34\36\264\4s\276\24t\354\253\311\243\277\331 (192, 0, 0, 0, 16466, 0x0, 0, ... {status=0x0, info=16466}, "\245)Q\355\225.\2\13 n\356\16\210\11\0)`\352@\372\234]\210@\\20r[\362<\331\353\17\245\312F\274\253Gt\3\212l\2477\2341\2448\10\256o\315\365"<\11\325\\236\337\213\355/\12\274Z.\346j\\352\322Zk\306\242\221\271\34\36\264\4s\276\24t\354\253\311\243\277\331"\370\341\27\270\367\3065G\177\22^4#\15\276\251\201\347m\262\346\250\253\333\304[ \16U\257\235\30{e\267\357\236\316\237\222\367\376\2123\25\256\335\250\242(\215\312"z":\345\33\242\372/\371\260uP#\36\222\253d/\242\316\301\2222g\222\301\306\3467$8\350(zC=-\306\10\204\357\272\227\337\377\12NU\210.x\302GZ\177L|,\3\255\31\313'9\L\203\217\202\343!\360\344\6<\344\21p\225?}\316\30\s\376\341\355\304\31Y\206D\213\247`$\215W\241\312}A3R\364FUH\315\356\327\246d/\34\341\306\4 \272\357\37\37\260`c\2756+#\254h&d"T\250\3323\232\252N\23\314p\207\244 \364\316\317\310\206\320\10\6rr\346\354\361\263\346\307\270\272\203W\13\3311e\361\231\307w\370\21@\222\30\227T\305i\322\230JK\275AB\247U&\17\102v'\212\31\1495\373\24\314\361\243ulQ\360\370\1h\345\364\247\275\320\26\264\354\355\247\30\314\363\234\270\24\343\264\303(\2420Jx\335af\356\317y\223\213\342\264{\3317z\7\264\24\211B\274\242\232i\207pk[\^\13x\323\311\36\372\22\204\270\305\3620\340\225\267q\6\260\213\342\236\306\25Kmc\6\246\321mF\311z^\353N\311\337\302L)\2\365\213\13\206\214|\14\364\36\213\3\276\330\211t\320\345Z\232\230Y\366\231q*"u\345 \345`\304MKS\350\203y", ) z (192, 0, 0, 0, 16466, 0x0, 0, ... {status=0x0, info=16466}, "\245)Q\355\225.\2\13 n\356\16\210\11\0)`\352@\372\234]\210@\\20r[\362<\331\353\17\245\312F\274\253Gt\3\212l\2477\2341\2448\10\256o\315\365"<\11\325\\236\337\213\355/\12\274Z.\346j\\352\322Zk\306\242\221\271\34\36\264\4s\276\24t\354\253\311\243\277\331"\370\341\27\270\367\3065G\177\22^4#\15\276\251\201\347m\262\346\250\253\333\304[ \16U\257\235\30{e\267\357\236\316\237\222\367\376\2123\25\256\335\250\242(\215\312"z":\345\33\242\372/\371\260uP#\36\222\253d/\242\316\301\2222g\222\301\306\3467$8\350(zC=-\306\10\204\357\272\227\337\377\12NU\210.x\302GZ\177L|,\3\255\31\313'9\L\203\217\202\343!\360\344\6<\344\21p\225?}\316\30\s\376\341\355\304\31Y\206D\213\247`$\215W\241\312}A3R\364FUH\315\356\327\246d/\34\341\306\4 \272\357\37\37\260`c\2756+#\254h&d"T\250\3323\232\252N\23\314p\207\244 \364\316\317\310\206\320\10\6rr\346\354\361\263\346\307\270\272\203W\13\3311e\361\231\307w\370\21@\222\30\227T\305i\322\230JK\275AB\247U&\17\102v'\212\31\1495\373\24\314\361\243ulQ\360\370\1h\345\364\247\275\320\26\264\354\355\247\30\314\363\234\270\24\343\264\303(\2420Jx\335af\356\317y\223\213\342\264{\3317z\7\264\24\211B\274\242\232i\207pk[\^\13x\323\311\36\372\22\204\270\305\3620\340\225\267q\6\260\213\342\236\306\25Kmc\6\246\321mF\311z^\353N\311\337\302L)\2\365\213\13\206\214|\14\364\36\213\3\276\330\211t\320\345Z\232\230Y\366\231q*"u\345 \345`\304MKS\350\203y", ) T\250\3323\232\252N\23\314p\207\244 \364\316\317\310\206\320\10\6rr\346\354\361\263\346\307\270\272\203W\13\3311e\361\231\307w\370\21@\222\30\227T\305i\322\230JK\275AB\247U&\17\102v'\212\31\1495\373\24\314\361\243ulQ\360\370\1h\345\364\247\275\320\26\264\354\355\247\30\314\363\234\270\24\343\264\303(\2420Jx\335af\356\317y\223\213\342\264{\3317z\7\264\24\211B\274\242\232i\207pk[\^\13x\323\311\36\372\22\204\270\305\3620\340\225\267q\6\260\213\342\236\306\25Kmc\6\246\321mF\311z^\353N\311\337\302L)\2\365\213\13\206\214|\14\364\36\213\3\276\330\211t\320\345Z\232\230Y\366\231q* (192, 0, 0, 0, 16466, 0x0, 0, ... {status=0x0, info=16466}, "\245)Q\355\225.\2\13 n\356\16\210\11\0)`\352@\372\234]\210@\\20r[\362<\331\353\17\245\312F\274\253Gt\3\212l\2477\2341\2448\10\256o\315\365"<\11\325\\236\337\213\355/\12\274Z.\346j\\352\322Zk\306\242\221\271\34\36\264\4s\276\24t\354\253\311\243\277\331"\370\341\27\270\367\3065G\177\22^4#\15\276\251\201\347m\262\346\250\253\333\304[ \16U\257\235\30{e\267\357\236\316\237\222\367\376\2123\25\256\335\250\242(\215\312"z":\345\33\242\372/\371\260uP#\36\222\253d/\242\316\301\2222g\222\301\306\3467$8\350(zC=-\306\10\204\357\272\227\337\377\12NU\210.x\302GZ\177L|,\3\255\31\313'9\L\203\217\202\343!\360\344\6<\344\21p\225?}\316\30\s\376\341\355\304\31Y\206D\213\247`$\215W\241\312}A3R\364FUH\315\356\327\246d/\34\341\306\4 \272\357\37\37\260`c\2756+#\254h&d"T\250\3323\232\252N\23\314p\207\244 \364\316\317\310\206\320\10\6rr\346\354\361\263\346\307\270\272\203W\13\3311e\361\231\307w\370\21@\222\30\227T\305i\322\230JK\275AB\247U&\17\102v'\212\31\1495\373\24\314\361\243ulQ\360\370\1h\345\364\247\275\320\26\264\354\355\247\30\314\363\234\270\24\343\264\303(\2420Jx\335af\356\317y\223\213\342\264{\3317z\7\264\24\211B\274\242\232i\207pk[\^\13x\323\311\36\372\22\204\270\305\3620\340\225\267q\6\260\213\342\236\306\25Kmc\6\246\321mF\311z^\353N\311\337\302L)\2\365\213\13\206\214|\14\364\36\213\3\276\330\211t\320\345Z\232\230Y\366\231q*"u\345 \345`\304MKS\350\203y", ) , ) == 0x0
 03543   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "@\303\213e\350h\367\6\0\0\350+f\374\377P\353\4x`\353\4xx\353\4x\215\353\4x\260\353\4x\325\353\4x\0\0\0\5\1\1\5\2\5\5\3\5\1\2\4\2U\213\354SV\213u\20\213\236\230\0\0\0\203f\34\0\213\3\205\300W\213{\4tS\211E\20f\213G\16\250\10t@\250\1t&\250\2t\6\203F\24\20\3532\213G\10\213\0\213\17\211G\4\20090u\15\17\277O\14\213V|\213\14\212\211A\10\213\73\311\212\10P\377w\4\241X\204\6xV\203\341?\377\24\210\203\307\20\377M\20u\260\203}\14\0u\15j\0\377v\24V\350&<\377\377\353\14V\377u\14\377u\10\350J:\1\0\213\3\205\300\213{\4tC\213\330f\213G\16\250\10t3\250\2\213\7t\17\17\266\0P\377w\4V\350Xd\377\377\353\36\17\277O\14\211\216\200\0\0\03\311\212\10P\377w\4\241`\204\6xV\203\341?\377\24\210\203\307\20Ku\277\213\6\213v\4+p\109p\14s\12h\367\6\0\0\350\22e\374\377_\211p\14^[]\302\20\0U\213\354QSVW\213}\10\213\237\230\0\0\0\213\3\205\300\213s\4\17\204\202\0\0\0\211E\374\366F\16\2uq\213\6\211E\10\17\266\0P\350h\360\377\377\366\304\2\213E\10t\14\366@\1\10t\6\200N\16 \353O3\311f\213N\16f\301\341\11P\301\371\163Op\203\341\21Op\377v\43\311\212\10\241\\204\6xW\203\341?\377\24\210\213E\10\17\266\0P\350\36\360\377\377\250\30t\25\213F\4\205\300t\16;G\10r\5;G\14v\4P\377WL\203\306\20\377M\374u\201\213\3\205\300\213[\4t\31\213\360\366C\16 t\13\3773\377s\4W\350\345[\377\377\203\303\20Nu\351\213", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03544   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\335\365z\352\26?\0\200", ) , ) == 0x0
 03545   896   NtReadFile  (192, 0, 0, 0, 16150, 0x0, 0, ... {status=0x0, info=16150},  (192, 0, 0, 0, 16150, 0x0, 0, ... {status=0x0, info=16150}, "/\3\1\314\247\2150\321\260\263\1\16\213\227\354\0\253(.\317lns\244h\352\200\304\12<\4\202(h|:\11|O\37Vap\31D\251e\327\330D6\313\234+\37\320o\227\33\211\333\366\227\361\5$\224b\213\237w&P\307\213C\212.d\360qf\362\15\256&}\317iaq\330\15\3\256\374\277\375\276\27\327j'\204/\264.cv\357Xl\374\12\323\366?y{\5$ZH\223\\251\26,\353\17^\312\261\204?I\317\312)\226\221\233\363.\3475\53\225_>\324\212\217\30x\316>\274\247\16\16?\204)\371\253\335\277\375M\346>\270n\236&\237c\213\252\3M\272m\237q\24h\177/\354\202\374\272-\267\360\260\340\216gE\3468\324\345\223A\222\26\322gVE+8\362\207fG\314PtF\360\205\24\203\224\225\264\20Y\345\26\224\360\275\330Y5c$\215\315\11\245\324\14\247\2\346Zsl\261\274A\213\224]|M\271\327\203\341.\221\25\364H\266\233\312\354\375Tq|j\261\3113]"\12\307\303\26\234\372\245U\27\326\242&\357\36X\27\217\35I\203\306fd=|\7\12\252\7\222gK{\254z\\261\267\321\305\31\26\214\3448c\6\201$\377\317\254\333\345\20~O~(`N\232"~#\322M"\264\15\326\211\15,\377h\24\355M\241\37\272\1\226\263@\373\177][\211\16=\242\347\372\26\340\23091", ) \12\307\303\26\234\372\245U\27\326\242&\357\36X\27\217\35I\203\306fd=|\7\12\252\7\222gK{\254z\\261\267\321\305\31\26\214\3448c\6\201$\377\317212%\202%\33X[\303+D\302\4\33?\342\2266\12D\366j\231\11\\322,\272\257\223x\215\373\16\255\310\16\372\313\247\377\377\234\3015\207kWj;\201\35>\254\333\345\20~O~(`N\232324-\2674\17^\234b\356\243Pki\3111\256U\365\202\37{\14u\305\230\33mP.\321{<\17\340/\322\33\15\225Y\213E-\366\26a\4\321\26\33\33'\23S\213 (192, 0, 0, 0, 16150, 0x0, 0, ... {status=0x0, info=16150}, "/\3\1\314\247\2150\321\260\263\1\16\213\227\354\0\253(.\317lns\244h\352\200\304\12<\4\202(h|:\11|O\37Vap\31D\251e\327\330D6\313\234+\37\320o\227\33\211\333\366\227\361\5$\224b\213\237w&P\307\213C\212.d\360qf\362\15\256&}\317iaq\330\15\3\256\374\277\375\276\27\327j'\204/\264.cv\357Xl\374\12\323\366?y{\5$ZH\223\\251\26,\353\17^\312\261\204?I\317\312)\226\221\233\363.\3475\53\225_>\324\212\217\30x\316>\274\247\16\16?\204)\371\253\335\277\375M\346>\270n\236&\237c\213\252\3M\272m\237q\24h\177/\354\202\374\272-\267\360\260\340\216gE\3468\324\345\223A\222\26\322gVE+8\362\207fG\314PtF\360\205\24\203\224\225\264\20Y\345\26\224\360\275\330Y5c$\215\315\11\245\324\14\247\2\346Zsl\261\274A\213\224]|M\271\327\203\341.\221\25\364H\266\233\312\354\375Tq|j\261\3113]"\12\307\303\26\234\372\245U\27\326\242&\357\36X\27\217\35I\203\306fd=|\7\12\252\7\222gK{\254z\\261\267\321\305\31\26\214\3448c\6\201$\377\317\254\333\345\20~O~(`N\232"~#\322M"\264\15\326\211\15,\377h\24\355M\241\37\272\1\226\263@\373\177][\211\16=\242\347\372\26\340\23091", ) \264\15\326\211\15,\377h\24\355M\241\37\272\1\226\263@\373\177][\211\16=\242\347\372\26\340\23091", ) == 0x0
 03546   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\201\376&'\0\0tD\201\376('\0\0t7\201\3768'\0\0v\10\201\376<'\0\0v,\276\271\6\0\0\3531\201\376?'\0\0t$\201\376@'\0\0v\351\201\376B'\0\0v\15\201\376G'\0\0u\331j\16^\353\14\276\247\6\0\0\353\5\276(\20\2\300j\0j\0h.\1\0\0Vj\2\350W\305\374\377\351\266\0\0\0j\0j\1W\377\25\324\20\0x\205\300t+j\1W\350\251\350\377\377W\213\316\350I\364\377\377\205\300u,\377\25t\21\0x-\36'\0\0t\30\203\350\10t\23\203\350\27t\7\276\271\6\0\0\353n\276\247\6\0\0\353g\276\346\6\0\0\353`f\213\13\377u\10\215\206\0\1\0\0f\211\103\311\203~\10\1\17\224\301QPW\350\364\373\377\377\205\300u:\377vhW\377\25\\214\6x\203\370\377u!\377vhj\0W\377\25t\21\0xPh-\1\0\0\276\271\6\0\0Vj\10\350\310\312\374\377\353\14W\350*\322\377\377\205\300t\15\213\360W\377\25P\214\6x\213\306\353\23V\211~\\350K#\0\0\377v\10\350H\334\377\3773\300_^[]\302\4\0U\213\354]\201\301\10\1\0\0\351\320\362\377\377U\213\354]\201\301\10\1\0\0\351\0\363\377\377V\213t$\10\213F\10Ht5Ht"\203\350\5t@HHt\11\203\350\5t$3\300\353o\203~8\0t-f\203\246\2\1\0\0\0\353#\203~8\0t\35f\203\246\14\1\0\0\0\353\23\203~8\0t\15V\350\246\363\377\377f\211\206\2\1\0\0S\213^\24UW\213~\20V\350\222\375\377\377\213\350\205\355u\17\377v\!F\14\213\316\350\1\363\377\377\353\15\201\375(\20\2\300u\5\275\247\6\0\0\211~\20_\213\305]\211^\24[^\302\4\0U", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \203\350\5t@HHt\11\203\350\5t$3\300\353o\203~8\0t-f\203\246\2\1\0\0\0\353#\203~8\0t\35f\203\246\14\1\0\0\0\353\23\203~8\0t\15V\350\246\363\377\377f\211\206\2\1\0\0S\213^\24UW\213~\20V\350\222\375\377\377\213\350\205\355u\17\377v\!F\14\213\316\350\1\363\377\377\353\15\201\375(\20\2\300u\5\275\247\6\0\0\211~\20_\213\305]\211^\24[^\302\4\0U", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03547   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, ";\371\215,\360\0\200", ) , ) == 0x0
 03548   896   NtReadFile  (192, 0, 0, 0, 12318, 0x0, 0, ... {status=0x0, info=12318},  (192, 0, 0, 0, 12318, 0x0, 0, ... {status=0x0, info=12318}, "I\347\22\317K\320-I\265D\237\223@'aK\244-\22\267K\336.\201\271$\241\23D'\231K\204.\3423\214\245\332\370E\23\270\344\33\303y\226\254&\321d\351\252nb\225n\373f)\335\364M\361\306\234\233\11k\33\253n&\221\256\216\267\27\244\211\227\301fs\327@{\260s\231\321y\7\215\34\35\303\254hiS\352h7\316RE^/\17!\277\35\2730:\332P\207O\215b\224)\266\205\375\315\233\370\347\347|\31\366\30\2\226\17\2748O>\272\201\233\312~\237q\216}\211\343\207\202\274\2713\332\254\204xO\2Oe\363c1\355\2402\256-\214\246\347\245^\253\33\316w\263,\277_\323:\3442\353\3\235\7\335\305w\206\14\343\5V\203P~R\333\377\361\3\240%\216\311\177\27nl\354\252k3\14&\34\307\234\301Y\7e\377\2452\32\246\310Y\336\4S\0\363;\25\354:Ki\230n\37\346{\36\356\231\260\361\205A\333\231\324\214\344h\251\346W0f\23\227m\13\16\312\360\24ys\177\353\315C\225\273\355Z5N=\244\243\3140\346\6\33y\341\235\306\314\24\212\2106\367\324\324\3\217\313\237\322g@\206\17\316=\266|UL\3553wso\31Ms\255\177\314%C\6o\277\366\22\363\226\235\203N\373\277\364e\277\c\215INg\204\231\370-\27\371\31\300\2630\235\367\363\0\16\36\345w\231\355\371\301g\310@h\307{]\214\254\37\10\224\245\275c\243A/^\342\262D)\264\200U\352\262\343\245]Ny\355\372|\322H\300\360", ) , ) == 0x0
 03549   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\352\1\353\1\354\1\355\1\356\1\357\1\360\1\361\1\362\1\363\1\364\1\365\1\366\1\367\1\370\1\371\1\372\1\373\1\374\1RPCRT4.dll\0CreateProxyFromTypeInfo\0CreateStubFromTypeInfo\0CStdStubBuffer_AddRef\0CStdStubBuffer_Connect\0CStdStubBuffer_CountRefs\0CStdStubBuffer_DebugServerQueryInterface\0CStdStubBuffer_DebugServerRelease\0CStdStubBuffer_Disconnect\0CStdStubBuffer_Invoke\0CStdStubBuffer_IsIIDSupported\0CStdStubBuffer_QueryInterface\0DceErrorInqTextA\0DceErrorInqTextW\0DllGetClassObject\0DllRegisterServer\0GlobalMutexClearExternal\0GlobalMutexRequestExternal\0IUnknown_AddRef_Proxy\0IUnknow", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03550   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "k \223]\3343\0\200", ) , ) == 0x0
 03551   896   NtReadFile  (192, 0, 0, 0, 13276, 0x0, 0, ... {status=0x0, info=13276},  (192, 0, 0, 0, 13276, 0x0, 0, ... {status=0x0, info=13276}, "\177\5\322\252\313M\7\5\27> \377\355\2534\374;\305:\356\363\366\340\202\24\363\200\210t\364\337m\206\27\270\243(@\320B[\260\27751<\376\201G\265\262mu\24>ex\344\255eG\364&\363\340\251\214\16\11\315\320\306\32*\1\220=\260\260\346\26\312\227\\2\32C\241\316)\347\372\37\214\241\25\6\265y\215\202\316,\242\301}7\346\247\30\4@\205`\204\226\227\11\26\6z+O\265<\317z\252\331\343\22\303J\226\13\307\237H\304\272\367\7\365[\367\350|\22\221I*\352\235\12:.s\245\356XZ\230\34%\240t\340\373\311G'\330\366\346v\357p"\31b\232 \355\321\362K\355@W\13\246\372\361\13#\305w\343\21\330>up\365\210\267b\17\271E\324k?\217\242\263\203\3\276\202g\271\6)\23\344\3539]\231\26I\330\304\322\319P\257\214\10\375\22\353h\342"\31\357[`B\364\35\366l$\272[\275O\260\22\303\331\20\255pL*\@\266\6).\2702\341gT\30<\342\32\227\16\24-\266\204\212\243\213nD]\255R7?q\315\364\235\305W\24Hu\337vi:\303\353\236l\343y\207\325\331:\261\365g\327\24\234\245\240(\276\2356Mk\334V\340\31f/\15\2010Z\244ay\357\276\246j\37747\342\360\261\255\2111\27#\236_\232\351\11\337\355p\231\206\340G\214g\347\260\332?B\221\246l\302l\374:\252\213\206DL\272\5M\345\327\5\146':\223\6\340\224\233\270\302\5e\321\261+g\325\206\1\363\255\362]\225\355\325\177\211\6i\26'\321\255]\3563\374\266\20\22K\227\303\123T\301!2Z\324k_\21+\2737\32\345\2459\306\273\351<\35@\236\266\376\245\35`\300l\342aH\243\376V\301\200\3176\32\2076m\201\342v\271\10t", ) \31b\232 \355\321\362K\355@W\13\246\372\361\13#\305w\343\21\330>up\365\210\267b\17\271E\324k?\217\242\263\203\3\276\202g\271\6)\23\344\3539]\231\26I\330\304\322\319P\257\214\10\375\22\353h\342 (192, 0, 0, 0, 13276, 0x0, 0, ... {status=0x0, info=13276}, "\177\5\322\252\313M\7\5\27> \377\355\2534\374;\305:\356\363\366\340\202\24\363\200\210t\364\337m\206\27\270\243(@\320B[\260\27751<\376\201G\265\262mu\24>ex\344\255eG\364&\363\340\251\214\16\11\315\320\306\32*\1\220=\260\260\346\26\312\227\\2\32C\241\316)\347\372\37\214\241\25\6\265y\215\202\316,\242\301}7\346\247\30\4@\205`\204\226\227\11\26\6z+O\265<\317z\252\331\343\22\303J\226\13\307\237H\304\272\367\7\365[\367\350|\22\221I*\352\235\12:.s\245\356XZ\230\34%\240t\340\373\311G'\330\366\346v\357p"\31b\232 \355\321\362K\355@W\13\246\372\361\13#\305w\343\21\330>up\365\210\267b\17\271E\324k?\217\242\263\203\3\276\202g\271\6)\23\344\3539]\231\26I\330\304\322\319P\257\214\10\375\22\353h\342"\31\357[`B\364\35\366l$\272[\275O\260\22\303\331\20\255pL*\@\266\6).\2702\341gT\30<\342\32\227\16\24-\266\204\212\243\213nD]\255R7?q\315\364\235\305W\24Hu\337vi:\303\353\236l\343y\207\325\331:\261\365g\327\24\234\245\240(\276\2356Mk\334V\340\31f/\15\2010Z\244ay\357\276\246j\37747\342\360\261\255\2111\27#\236_\232\351\11\337\355p\231\206\340G\214g\347\260\332?B\221\246l\302l\374:\252\213\206DL\272\5M\345\327\5\146':\223\6\340\224\233\270\302\5e\321\261+g\325\206\1\363\255\362]\225\355\325\177\211\6i\26'\321\255]\3563\374\266\20\22K\227\303\123T\301!2Z\324k_\21+\2737\32\345\2459\306\273\351<\35@\236\266\376\245\35`\300l\342aH\243\376V\301\200\3176\32\2076m\201\342v\271\10t", ) , ) == 0x0
 03552   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\375\377\3773\300\211\205h\376\377\377\211E\3749E\344\17\204\31\1\0\0\213\275H\375\377\377;\370\17\204\13\1\0\0\17\267\215\360\375\377\377\211\215D\375\377\377\213\321\301\351\2\363\253\213\312\203\341\3\363\252\213E\10\205\300t\13\213@\10\213\215H\375\377\377\211\1\203\245t\376\377\377\367\377\265H\375\377\377V\377\265\370\375\377\377\215\205\4\376\377\377P\377u\20\377u\14\350\223w\376\377\211\205@\375\377\377\17\266F\1\203\340\20\203\310\10\301\350\3\213}\24\211\7\213[\20\213\205\0\376\377\377\205\333t\22\213\34\203\205\333t\13\215\205\4\376\377\377P\377\323\353U\213M\20\213I \205\311u\6\213\215\374\375\377\377\213\4\201\211\205<\375\377\377\213\215D\375\377\377\301\351\2\211\2158\375\377\377t\14\213\215@\375\377\377\1\2158\375\377\377\213\215t\376\377\377\301\341\34\301\371\37Q\377\2658\375\377\377\377\265H\375\377\377P\350&\375\377\377\307\7\2\0\0\0V\215\205\4\376\377\377P\377u\14\377u\10\350\32{\376\377\203M\374\377\350\27\0\0\03\300\350\20N\377\377\302\20\0j\16\350\3\341\372\377\213\265\364\375\377\377\212F\1$\10\366\330\33\300\203\340\4\203\300\6\3\360\212\6\17\266\310\366\4\215\211\\0x\1t\153\311<2\17\225\301\215L\11\4\3\361\377u\10V\215\205\4\376\377\377P\350\270{\376\3773\3669\265\354\375\377\377t\14\215\205\4\376\377\377P\350\336t\376\377\213\205\360\375\377\377f%\374\377f=@\0v\159u\344t\10\377u\344\350\31\5\372\377f\201\275\360\375\377\377\200\0v\239\265H\375\377\377t\13\377\265H\375\377\377\350\373\4\372\377\303h\250\3\0\0h8`\0x\350)M\377\3773\377\211}\344\211}\340\200e\334\0\213E\20f\213P\20\213M\10;\317t", 21500, 0x0, 0, ... {status=0x0, info=21500}, ) , 21500, 0x0, 0, ... {status=0x0, info=21500}, ) == 0x0
 03553   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 03554   896   NtClose  (200, ... ) == 0x0
 03555   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03556   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03557   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 03511  2016   NtUserWaitMessage  ... ) == 0x1
 03558  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03559  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 03560  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010051
 03561  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 03559  2016   NtUserRedrawWindow  ... ) == 0x1
 03558  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 03562  2016   NtUserWaitMessage  (...
 03557   896   NtUserMessageCall  ... ) == 0x7
 03563   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "\0\32\3\0\374\323\37\0\0\0\345.\326a \0", ) , ) == 0x0
 03564   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03565   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03566   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256},  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "sp1\rpcss.dll\0> \0\0\374\355"\0\0\0\345.\213c \0sp1\update\kb823980.cat\0\243\21\0\0:\16#\0\0\0\345.\323a \0sp1\update\update.inf\0\340\0\0\0\335\37#\0\0\0\345.\326a \0sp1\update\update.ver\0\0\30\21\0\275 #\0\0\0\345.\214a \0sp2\ole32.dll\0\0\262\7\0\27584\0\0\0\345.\214a \0sp2\rpcrt4.dll\0\0\30\3\0\275\352;\0\0\0\345.\215a \0sp2\rpcss.dll\0> \0\0\275\2?\0\0\0\345.oc \0sp2\update\kb823980", ) \0\0\0\345.\213c \0sp1\update\kb823980.cat\0\243\21\0\0:\16#\0\0\0\345.\323a \0sp1\update\update.inf\0\340\0\0\0\335\37#\0\0\0\345.\326a \0sp1\update\update.ver\0\0\30\21\0\275 #\0\0\0\345.\214a \0sp2\ole32.dll\0\0\262\7\0\27584\0\0\0\345.\214a \0sp2\rpcrt4.dll\0\0\30\3\0\275\352;\0\0\0\345.\215a \0sp2\rpcss.dll\0> \0\0\275\2?\0\0\0\345.oc \0sp2\update\kb823980", ) == 0x0
 03567   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03568   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03569   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03570   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8aa64, 0, 688, 1, ...
 03562  2016   NtUserWaitMessage  ... ) == 0x1
 03571  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03572  2016   NtUserDefSetText  (655682, 8387704, ... ) == 0x1
 03573  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 03574  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03575  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03576  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03577  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03578  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03570   896   NtUserMessageCall  ... ) == 0x1
 03579   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\e5d4274d2caaef1b878fb5d282a5\sp1\rpcss.dll"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 03580   896   NtClose  (-2147481368, ... ) == 0x0
 03579   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 03581   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "MZ\220\0\3\0\0\0\4\0\0\0\377\377\0\0\270\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\340\0\0\0\16\37\272\16\0\264\11\315!\270\1L\315!This program cannot be run in DOS mode.\15\15\12$\0\0\0\0\0\0\0&\306E\245b\247+\366b\247+\366b\247+\366\230\204k\366a\247+\366b\247*\366F\246+\366\230\2042\366s\247+\366\230\204\24\366c\247+\366\365\204n\366c\247+\366\270\2047\366G\247+\366\270\2046\3661\247+\366\230\204\26\366c\247+\366Richb\247+\366\0\0\0\0\0\0\0\0PE\0\0L\1\4\0\242#\7?\0\0\0\0\0\0\0\0\340\0\16!\13\1\7\0\0\336\2\0\0\372\0\0\0\0\0\0\336\201\0\0\0\20\0\0\0\360\2\0\0\0\205u\0\20\0\0\0\2\0\0\5\0\1\0\5\0\1\0\4\0\0\0\0\0\0\0\0\0\4\0\0\4\0\0\257{\3\0\3\0\0\0\0\0\4\0\0\20\0\0\0\0\20\0\0\20\0\0\0\0\0\0\20\0\0\0\0\354\2\0y\0\0\0\364\320\2\0\264\0\0\0\0\300\3\0\360\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\320\3\0\324$\0\0\320\24\0\0\34\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\0\224\4\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0.text\0\0\0y\334\2\0\0\20\0\0\0\336\2\0\0\4\0\0\0\0\0\0", 11268, 0x0, 0, ... , 11268, 0x0, 0, ...
 03582   896   NtContinue  (-135750188, 0, ...
 03581   896   NtWriteFile  ... {status=0x0, info=11268}, ) == 0x0
 03583   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ...
 03571  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 03584  2016   NtUserWaitMessage  (...
 03583   896   NtReadFile  ... {status=0x0, info=8},  ... {status=0x0, info=8}, "H\360\331P\340\0\200", ) , ) == 0x0
 03585   896   NtReadFile  (192, 0, 0, 0, 12316, 0x0, 0, ... {status=0x0, info=12316},  (192, 0, 0, 0, 12316, 0x0, 0, ... {status=0x0, info=12316}, "/\36\202\375\267](s\10i4\20\252\312\14\204\223N\350\374\3\304\37\256\330\2279_2S-\306\377\213J\365\262oD\271\326\267)\306\331\35/\\377\212\200s\271\320\23\327\371\373\277N\272\306\343?f\170G\350Qt\30|\233\327\260\227^\261\374\223,h\2718,\226V(\367\6NO\36!{\305\306\377\316\301\202l\177=\225\357\357\7\11\371\337\257\0\243=\346\371b%\245\326\327\364\214\327\340\315\323\346\246\301~?/$\6\276\37\332\23\203:\177\332\373pK\305\247\346M47\0_\331\212\376\371\313\365\344\377\3\15y\336;\227`\240\363\34\213\357W3\370\31\274g\303\20-\376\375]\15O)\366\357\324\233\6\244\32\12\221\215)y\257\24A}\3415\274$9:\336nv\340p\304\224n\212\12\346=-Zrg\364\36\240\4\236\13\373\10 L\206\22~&\371\376)\223p\342\307\226\26\333\256VC\202\260\230|nvo\26L7\216\37J\332mR\333w\366\241\352_\11n\355;\240\254^\273\263\256\235Jr8@\256\263\303\36K\321\236\264\347x+h\204\201\177\177\213;}\323v\377{F\264\232_\215m\201\375u\266\305\277\216\2447k\\346\252|\25\3465\233\217\350\352G\350\304|\3\17\34y\360\233\347Sz\356\224\263r\12\274(\21\205\327V\332\264\243\333\200\302)\342[1D\344\221\337\12\240\333\13{\205\373\360`3\366G\312U\211\210\376)\321\2\364\313\260\17Y\335\375\200i\372:\277\202\343-\325"\374L\23.\200\334\202w\37\326\202\246?\330n\325W\237R."\361w\372\11\275\360\342\7o45\311\222y\261\7/w\340\335\3538\221\331\307;\3042\332\312\246\217b\276\251~\270zp\216s\242\366\34C\227\322\236\330\345\346\336\277\33:&\361\364\177\260", ) \374L\23.\200\334\202w\37\326\202\246?\330n\325W\237R. (192, 0, 0, 0, 12316, 0x0, 0, ... {status=0x0, info=12316}, "/\36\202\375\267](s\10i4\20\252\312\14\204\223N\350\374\3\304\37\256\330\2279_2S-\306\377\213J\365\262oD\271\326\267)\306\331\35/\\377\212\200s\271\320\23\327\371\373\277N\272\306\343?f\170G\350Qt\30|\233\327\260\227^\261\374\223,h\2718,\226V(\367\6NO\36!{\305\306\377\316\301\202l\177=\225\357\357\7\11\371\337\257\0\243=\346\371b%\245\326\327\364\214\327\340\315\323\346\246\301~?/$\6\276\37\332\23\203:\177\332\373pK\305\247\346M47\0_\331\212\376\371\313\365\344\377\3\15y\336;\227`\240\363\34\213\357W3\370\31\274g\303\20-\376\375]\15O)\366\357\324\233\6\244\32\12\221\215)y\257\24A}\3415\274$9:\336nv\340p\304\224n\212\12\346=-Zrg\364\36\240\4\236\13\373\10 L\206\22~&\371\376)\223p\342\307\226\26\333\256VC\202\260\230|nvo\26L7\216\37J\332mR\333w\366\241\352_\11n\355;\240\254^\273\263\256\235Jr8@\256\263\303\36K\321\236\264\347x+h\204\201\177\177\213;}\323v\377{F\264\232_\215m\201\375u\266\305\277\216\2447k\\346\252|\25\3465\233\217\350\352G\350\304|\3\17\34y\360\233\347Sz\356\224\263r\12\274(\21\205\327V\332\264\243\333\200\302)\342[1D\344\221\337\12\240\333\13{\205\373\360`3\366G\312U\211\210\376)\321\2\364\313\260\17Y\335\375\200i\372:\277\202\343-\325"\374L\23.\200\334\202w\37\326\202\246?\330n\325W\237R."\361w\372\11\275\360\342\7o45\311\222y\261\7/w\340\335\3538\221\331\307;\3042\332\312\246\217b\276\251~\270zp\216s\242\366\34C\227\322\236\330\345\346\336\277\33:&\361\364\177\260", ) , ) == 0x0
 03586   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "u\0-\0\0\0\0\0U\0n\0a\0v\0a\0i\0l\0a\0b\0l\0e\0\0\0.\0\0\0W\0i\0n\0S\0t\0a\00\0\0\0\313\366\206u\276j\207u\25\373\206u\251\366\206uRPCSS: SCMROT: SAFER level did not match.\12\0\0A\0p\0p\0I\0d\0\0\0R\0P\0C\0S\0S\0_\0R\0E\0G\0E\0V\0E\0N\0T\0:\0\0\0R\0P\0C\0S\0S\0_\0I\0N\0I\0T\0E\0V\0E\0N\0T\0:\0\0\0\0\0u\0s\0e\0r\0e\0n\0v\0.\0d\0l\0l\0\0\0DestroyEnvironmentBlock\0CreateEnvironmentBlock\0\0P\0a\0t\0h\0=\0\0\0P\0a\0t\0h\0\0\0\0\0\0\0\0\0S\0O\0F\0T\0W\0A\0R\0E\0\\0M\0i\0c\0r\0o\0s\0o\0f\0t\0\\0W\0i\0n\0d\0o\0w\0s\0\\0C\0u\0r\0r\0e\0n\0t\0V\0e\0r\0s\0i\0o\0n\0\\0A\0p\0p\0 \0P\0a\0t\0h\0s\0\\0\0\0\0\0 \0\0\0 \0-\0E\0m\0b\0e\0d\0d\0i\0n\0g\0\0\0-\0E\0m\0b\0e\0d\0d\0i\0n\0g\0\0\0\0\0WNetGetUniversalNameW\0\0\0m\0p\0r\0.\0d\0l\0l\0\0\0NetShare", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03587   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "Dj\201m|/\0\200", ) , ) == 0x0
 03588   896   NtReadFile  (192, 0, 0, 0, 12156, 0x0, 0, ... {status=0x0, info=12156},  (192, 0, 0, 0, 12156, 0x0, 0, ... {status=0x0, info=12156}, "H{2.\31 \315\200j++\324\305\25\17\324B9\301\264\200\231\332=\3\12\256\347\367\17E\214/\242\363\15=&9\376\233\35\242\337\342\1\216\351\24c\365v\355\31!P\16Wj\1\307#k[3\304J\363\207\213x6d\373\212\240\7G8\220\30\257uO\374UEc\\222\365\305d\223EX\24697\233,[9Do\205\263\325`h\210\362\226\230$VQ0\220\36S\331\241\247\246\320\237\267\362\220u\200\362%\215t\315\265\177p\320e\310\33\24\372\312+\33\275o")\261&)\266\246\353\354\33\337\355]E\235\4\331\377\234\327\264\341\301\254p\320\326*\35\363*\313\312(\362 \335-\30\354\212\332\302\246\323\32-\26\311\24\341\204t4\340u\10\221w\376"cZj \347i\34\263\324\221}\250\36\216g\373\30H\4?8f\336\312p\260\11\316Yc\214$\31I*3hj\254j\3422\276\302\257dV\21%\201\266\205\2312\4\205\20\240\206|\24{\=8;\11\354\2179\345\323\335N!\323\311\36\272\221J\230L\252\253O\303\7\376\271\373\333\323\221\371d\276\275\323?X\343\362h[\311\232[}\375\14\15\246-\310\201&q\234\335\250g\2\277\215\343\21\212\350\5\6\357\177F\331\23\302\374\22\50\271\323\272\346\13Ct\232\332"c\370JsbE\4\314\325i\10\376\350\253\276\372H\312n\225\320&\340\245\363r\211oi\5\177e\17\340^\366\351`\336 \236\233\3158\347\271\32\25\252\312\2451\301\363\4fT\2642\25g)R\247\4\242(Uv\361\355H261&)\266\246\353\354\33\337\355]E\235\4\331\377\234\327\264\341\301\254p\320\326*\35\363*\313\312(\362 \335-\30\354\212\332\302\246\323\32-\26\311\24\341\204t4\340u\10\221w\376 (192, 0, 0, 0, 12156, 0x0, 0, ... {status=0x0, info=12156}, "H{2.\31 \315\200j++\324\305\25\17\324B9\301\264\200\231\332=\3\12\256\347\367\17E\214/\242\363\15=&9\376\233\35\242\337\342\1\216\351\24c\365v\355\31!P\16Wj\1\307#k[3\304J\363\207\213x6d\373\212\240\7G8\220\30\257uO\374UEc\\222\365\305d\223EX\24697\233,[9Do\205\263\325`h\210\362\226\230$VQ0\220\36S\331\241\247\246\320\237\267\362\220u\200\362%\215t\315\265\177p\320e\310\33\24\372\312+\33\275o")\261&)\266\246\353\354\33\337\355]E\235\4\331\377\234\327\264\341\301\254p\320\326*\35\363*\313\312(\362 \335-\30\354\212\332\302\246\323\32-\26\311\24\341\204t4\340u\10\221w\376"cZj \347i\34\263\324\221}\250\36\216g\373\30H\4?8f\336\312p\260\11\316Yc\214$\31I*3hj\254j\3422\276\302\257dV\21%\201\266\205\2312\4\205\20\240\206|\24{\=8;\11\354\2179\345\323\335N!\323\311\36\272\221J\230L\252\253O\303\7\376\271\373\333\323\221\371d\276\275\323?X\343\362h[\311\232[}\375\14\15\246-\310\201&q\234\335\250g\2\277\215\343\21\212\350\5\6\357\177F\331\23\302\374\22\50\271\323\272\346\13Ct\232\332"c\370JsbE\4\314\325i\10\376\350\253\276\372H\312n\225\320&\340\245\363r\211oi\5\177e\17\340^\366\351`\336 \236\233\3158\347\271\32\25\252\312\2451\301\363\4fT\2642\25g)R\247\4\242(Uv\361\355H4\314\325i\10\376\350\253\276\372H\312n\225\320&\340\245\363r\211oi\5\177e\17\340^\366\351`\336 \236\233\3158\347\271\32\25\252\312\2451\301\363\4fT\2642\25g)R\247\4\242(Uv\361\355H211\5(\3375\216^\332", ) == 0x0
 03589   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\5|\367\207u\1\0\0\0W\350h\303\377\377\205\300u7f\203\377\7u\33\271\374\373\207u\307\5\20\374\207u\1\0\0\0\350b\366\0\0\307E\314\1\0\0\0f\203\377\37u\6\211\35|\367\207u\307\5\330\371\207u\1\0\0\0SV\350\341\366\377\377@@\213\360f9\36\17\205v\377\377\377\213\15\200\362\207u\350O\364\0\0;\303t\4\213\360\353|9\35\330\371\207uu\309\35h\367\207u\17\205*\377\377\3779\35l\367\207u\17\205\36\377\377\377\215E\350P\377\25`\23\205u;\303\211E\354uH\213E\350\213\0\301\340\2P\350\37\322\377\377\211E\340\213E\350\213\0\321\340P\350\17\322\377\3779]\340YY\211E\370t\4;\303u1\215E\350P\377\25d\23\205u\377u\340\350\2\322\377\377\377u\370\350\372\321\377\377YYj\16^\213\15\204\367\207u\350W\337\377\377\213\306\351\246\5\0\0\213=p\367\207u\213\35h\23\205u3\366;\376\211}\320\17\204\246\1\0\0f97\211u\364\211u\344\17\204\235\1\0\0\213E\340\211E\334W\350\36\275\377\377f;\306\211E\310\17\204c\1\0\0\213E\3503\36690\17\206J\1\0\0\215M\324Q\377t\260\4\377\25l\23\205u\205\300\211E\354\17\205\317\1\0\0PP\377u\334\215M\374QP\377u\324\377\25\370\22\205u\211E\354\215E\324P\377\323\203}\354\0\17\205\251\1\0\0W\377u\374\377\258\21\205u\205\300t\33\215E\374P\377\323\377u\334\377\323\211E\354\213E\350F;0r\235\351\342\0\0\0\213E\370\213M\344\2154Hf\213E\310f\211\6\215E\374P\377\323\211E\3543\300f\213\6P\350\245\275\377\377\205\300\17\205\254\0\0\0f\213\6f=\17\0\17\204\237\0\0\0f=\10\0\17\204\225", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03590   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "sp\356+\370&\0\200", ) , ) == 0x0
 03591   896   NtReadFile  (192, 0, 0, 0, 9976, 0x0, 0, ... {status=0x0, info=9976},  (192, 0, 0, 0, 9976, 0x0, 0, ... {status=0x0, info=9976}, "B\6L\1\352\201\37H\1'\362\375\200u\1\21W\362\200\376\344:@\335m\377P\363\303i\201\334$\365\214\314HX\212\342\321 \206\4$\10@\24@nd\14\354Z\375\305\230%\372\342\304\354K\322{1C\311\241\370\270^<\334\232\271\1`\0\245\322@\220\200\273i\32\250\3\107\35\2]i$\341E3\13gY`Mt&\6\264\330\372\225y\270\354\223\346\252\336\304\3061\11\342\14\257\221p\36@\E\350\200\335\255\2Ql\363\240\34\271\302\301\217\3229\340\342l-\3\215\32\207\34~\265\7&\204#\14\119~\300\15\336\244\27~\360\313\261R\24\331\3404\235}\222\270.\2450O\331\320Z\370\23\3\320\371\200\371\267\354\300\306\346\27V\320n\374;\37119\230]9\327\302A\364\301\266\200\4\360\354\340L\227\365\2'H\336\340\330(>\324K>\340\357}\6\361w\2576N\17\257\223i\343\370\3\217N\317R\334Hh)\340\251Z\372\203\311+\30\360\360k\200#\335\362\32p\273\311~\301\255\244"\20 o\271]9\350\360\227\302\1\200D\26\353\5\5C\372\32r~\217\3\360\22\203G\341\305\1\260"\311b\246\247\232l\3h\270\372\2328\0\260\235\251%\271}pM>8\168\274\304y\7\300a\257\361\203\345\346\353\201\13W\300\203\12\227\370\1\321\270\304\35\220\202\232?\200|5\33x\12\332\178\311\260\201\271\255\357\17\2\34\242\14\255\37\17d$\364`\236X\114\200\200p\32 jp\355s2\2115~\2030\376Y\37<\225\337\203\373\250\0\251\240\205&\301*\255\1)\230N\265>`\14\244S\364\17\330b\304\1\373\202\178\221\325i1\314\340\300\237\10\35\376\352V\3\261;a\2\2033\217\271\347b{\1\201\305\273\201,\25\14%\374`\2660\244,", ) \20 o\271]9\350\360\227\302\1\200D\26\353\5\5C\372\32r~\217\3\360\22\203G\341\305\1\260 (192, 0, 0, 0, 9976, 0x0, 0, ... {status=0x0, info=9976}, "B\6L\1\352\201\37H\1'\362\375\200u\1\21W\362\200\376\344:@\335m\377P\363\303i\201\334$\365\214\314HX\212\342\321 \206\4$\10@\24@nd\14\354Z\375\305\230%\372\342\304\354K\322{1C\311\241\370\270^<\334\232\271\1`\0\245\322@\220\200\273i\32\250\3\107\35\2]i$\341E3\13gY`Mt&\6\264\330\372\225y\270\354\223\346\252\336\304\3061\11\342\14\257\221p\36@\E\350\200\335\255\2Ql\363\240\34\271\302\301\217\3229\340\342l-\3\215\32\207\34~\265\7&\204#\14\119~\300\15\336\244\27~\360\313\261R\24\331\3404\235}\222\270.\2450O\331\320Z\370\23\3\320\371\200\371\267\354\300\306\346\27V\320n\374;\37119\230]9\327\302A\364\301\266\200\4\360\354\340L\227\365\2'H\336\340\330(>\324K>\340\357}\6\361w\2576N\17\257\223i\343\370\3\217N\317R\334Hh)\340\251Z\372\203\311+\30\360\360k\200#\335\362\32p\273\311~\301\255\244"\20 o\271]9\350\360\227\302\1\200D\26\353\5\5C\372\32r~\217\3\360\22\203G\341\305\1\260"\311b\246\247\232l\3h\270\372\2328\0\260\235\251%\271}pM>8\168\274\304y\7\300a\257\361\203\345\346\353\201\13W\300\203\12\227\370\1\321\270\304\35\220\202\232?\200|5\33x\12\332\178\311\260\201\271\255\357\17\2\34\242\14\255\37\17d$\364`\236X\114\200\200p\32 jp\355s2\2115~\2030\376Y\37<\225\337\203\373\250\0\251\240\205&\301*\255\1)\230N\265>`\14\244S\364\17\330b\304\1\373\202\178\221\325i1\314\340\300\237\10\35\376\352V\3\261;a\2\2033\217\271\347b{\1\201\305\273\201,\25\14%\374`\2660\244,", ) , ) == 0x0
 03592   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\244\0\0\0\213\10\215U\374R\377u\30P\377\21\213\360\205\366t\13\377u\374\350\304R\377\377Y\353q\307E\360\4\0\0\0\241\324\372\207u\205\300te\366E\360\17t_\215M\364Q\377u\374\215M\360Q\215M\340Q\215M\324Q\213M\24j\3\3771P\350u\15\0\0\203\370\1u:\213E\374\205\300t\6\213\10P\377Q\10\213E\364\205\300t\31\213\10\215U\374R\377u\30P\377\21\213\360\213E\364\213\10P\377Q\10\353\5\276T\1\4\200\205\366t\4\213\306\353\22\213E\34\213M\374\211\10\17\266E\360\301\350\2\203\340\1_^[\311\302\34\0U\213\354\203\354$\213E\34SV\213u\10W3\377\2118\203~,\2\211}\374\211}\360\211}\370t\7\213\316\350Q\354\377\377\203~0\2t\7\213\316\350\376\355\377\377\213]\20;\337t\20\213\3\215M\364Q\215M\370QS\377P\24\353\6\211}\370\211}\364\213F(;\307\213}\24t3\213\10\215V\10R\215U\374R\377u\30WSP\377Q\24\205\300u\14\307E\10\20\0\0\0\351\27\1\0\0\271\2@\0\200;\301u\7\213\301\351~\1\0\0\213E\370\211E\340f\213E\364f\211E\352\215E\14\211E\344\241\334\372\207u\205\300\211}\334f\307E\350\20\0f\307E\354\4\0t<\215M\374Q\215M\10Q\215M\350Q\215M\334Qj\3\3777P\350\215\16\0\0\205\300u\36\377u\34\213E\374\377u\30\213\10P\377\21\213\360\213E\374\213\10P\377Q\10\351\366\0\0\0\213F$\205\300t'\213\10\215V\10R\215U\374R\377u\30WSP\377Q\24\205\300u\11\307E\10\2\0\0\0\353x=\2@\0\200t4\213F\30\205\300t7\366E\17 u1\213\10\215V\10R\215U\374R\377u\30WSP\377Q", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03593   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\35\234\16\326\256>\0\200", ) , ) == 0x0
 03594   896   NtReadFile  (192, 0, 0, 0, 16046, 0x0, 0, ... {status=0x0, info=16046},  (192, 0, 0, 0, 16046, 0x0, 0, ... {status=0x0, info=16046}, "!.\204\214\301\355\264F\303\37sykB\356'\271\214\221\3469\3577\276\265h\275\261r\347\203\330\353\3\23\200\367\377\7?\264\340\214\233\267p\251\251yl\210 |\233\332\377\203.s\275p\247h}\34#\322\11L\365[\256z.\352o\27VI(\240\353\257\242\315\345F\274;5%\22\332\312m\374\241Ax\227G\34\367JEl\177\216\233\217E6>D\324**\266\363*\23z\274\4\17\325\254\2435\206\355\220M#*\34#\222\260r\275\377\343\202\252\35;\344]\262B\263-_\223\373Kz;q\356\363drYKZ\353^|\364\330\362\33\254\210\275o\231\307\334\331\331\262}n\17\244:\214\235\37\37\237/\341\306\12;\4\346J\203\11\366uh\254\203$K\24\211#\222#\330\23\275w\215\221\276t\35\254\200>\267\5p%L+\232\245#\317\12:\214\314\355v\362\274s%41LY\334'>\\20;\262\274\325\237e\257\343I\251\261\307\352L2\377\363\347l9\333\374du\303C\202\324\16]\355\354x\222\367\243\341\1}\3778h^\214\356\354\300\22LV\266\362+\3158K~A\21Z\21wX!pf\204\233\277J\247\233\221\261\33cc\233l\220\305Y\324\245@N\357Z\2319\217\264\276\277:\221\30\372g{\365\206\354\215\274\306\34\256\261\324ar\313\216$5;\257\246\335\274\237\234]\356|\22\377`\211b.\277;&\314\362\227\263\2726D\14I\307\356\3544\337\303S\345&\375\202\316\376\311\344s\200\245Q\244\7\307\12\25e\234\322k\330\232\334\243\304\24\307\207A\350\256\357\232\342\275\366\325*\252\362.#\234\223f^e6\12q,\31\275?\337t\13\3645\210\374\363t\230\242\27\241\323\367o\354\317\5\357\371\347\241hK\307\334\273o\207\347h\366Ow\326", ) , ) == 0x0
 03595   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\0\200\351\27\1\0\0j\377\377u\334\377\25\314\21\205u\203?\1t~\215E\320PV\213M\344\350\25\14\0\0\211E\324;\303\17\205\346\0\0\09]\320ta\377u\334\377\25`\22\205u\3516\377\377\377\211\37\211^D\215E\324P\377u\340SSV\213M\344\350\223\22\0\0\351\300\0\0\03\300\205\300\17\204\266\0\0\0\215E\324PQV\350\350\371\377\377\205\300\17\205\243\0\0\0\203~@\20\17\225\300H%\277>\374\377\5T\1\4\200\211E\324\351\211\0\0\0\211]\374h(\374\207u\377\25\244\21\205u\211E\314;\303t\356\215E\314P\377u\340V\213M\344\350\273\23\0\0\211E\324;\303|"\215E\324P\377u\340\377u\314SV\213M\344\350\27\22\0\0\211E\310;\303u\7\307E\324\5\0\10\200\203M\374\377\353,\213E\354\213\0\213\0\211E\3043\300@\303\213e\350\213E\304\205\300~\12%\377\377\0\0\15\0\0\7\200\211E\324\203M\374\377\213u\10\377u\334\377\25`\22\205u\203}\334\0t\11\377u\334\377\25\220\21\205u\213M\340\205\311t\7j\1\350H\367\377\377\213M\344\205\311t\5\213\1\377P\10\213E\324\205\300u\20\213\216\240\0\0\09\1u\6V\350A\367\377\377\215e\270\350\303\261\0\0\302\4\0U\213\354\201\354,\4\0\0S\213]\10VWj\_f9;\307E\360\24\2\0\0u\14\215s\2f9>\17\204\210\0\0\0j\3S\215E\364P\377\25h\22\205uf\203e\372\0j\0f\211}\370\377\25H\23\205u\205\300t\7\270\3\0\10\200\353\30\215E\364P\377\25d\22\205u\203\370\4t\20\377\25\34\23\205u3\300@_^[\311\302\14\0\215E\360P\215\205\324\373\377\377Pj\1S\350MS\0\0\213\360\377\25\34\23", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \215E\324P\377u\340\377u\314SV\213M\344\350\27\22\0\0\211E\310;\303u\7\307E\324\5\0\10\200\203M\374\377\353,\213E\354\213\0\213\0\211E\3043\300@\303\213e\350\213E\304\205\300~\12%\377\377\0\0\15\0\0\7\200\211E\324\203M\374\377\213u\10\377u\334\377\25`\22\205u\203}\334\0t\11\377u\334\377\25\220\21\205u\213M\340\205\311t\7j\1\350H\367\377\377\213M\344\205\311t\5\213\1\377P\10\213E\324\205\300u\20\213\216\240\0\0\09\1u\6V\350A\367\377\377\215e\270\350\303\261\0\0\302\4\0U\213\354\201\354,\4\0\0S\213]\10VWj\_f9;\307E\360\24\2\0\0u\14\215s\2f9>\17\204\210\0\0\0j\3S\215E\364P\377\25h\22\205uf\203e\372\0j\0f\211}\370\377\25H\23\205u\205\300t\7\270\3\0\10\200\353\30\215E\364P\377\25d\22\205u\203\370\4t\20\377\25\34\23\205u3\300@_^[\311\302\14\0\215E\360P\215\205\324\373\377\377Pj\1S\350MS\0\0\213\360\377\25\34\23", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03596   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\230\275t\372\242#\0\200", ) , ) == 0x0
 03597   896   NtReadFile  (192, 0, 0, 0, 9122, 0x0, 0, ... {status=0x0, info=9122},  (192, 0, 0, 0, 9122, 0x0, 0, ... {status=0x0, info=9122}, "\30\306\321\251\266\317\36\2046\35\11jys\245\311\344\275D\33\360a\321\203\365e\357\374\303\10\275\0\251\3761J\206\360\363\333\257\315\260C\230\1\272I\363V$\6\305#i\307Ui\314~\362'r\232)}:\256Z\342\207\333\265\343~\25W\315\263\367\265\260\333\253\230\214\360\303L\217\36M\255\21\325d\316\14\240\226\246?\10R\321!\304\227A\317V\20\343\254\15\214\32\241\237{`\376\237Q\276-r)\275\303\32|B\233W\10 \260\312\223\5\212\305n\34&\326W_o\333\273\315}v\202\344\37\10B\320\32\262W\224\300\346\304Q\340\231\200\203\232\12\21|\2775\327X\265Z\223\37s+\260\356K\260*`\303\221\216_~\255\272\109 \344\320\261\314\275\U\226\326Kg\356\220ec\27\222\32\333\325\270>\\25\3471aFb\272m\225H\205\217\30y6d\255\306\351\377\336'E4\325\335h\354\2744\341e\344\300\254v?\346A\3714\353\247`\316\212\3134\261\12\150\223 \262C\375\25\307G\261vk\237>\241Q\361ag\307\223\336d4\365\276\10.\230\310J\317\12c\303\272m\372\312.\363\246\1\14\336S\367*\301\234\33\365u\102)\306H\375ON\14\306"\237\244\251s\234\241\260\344G\230c\15\377\261\10!\236B/\12$\275\370\323\36\177\345d \200X\306&\205\203.D\202s\255\242\303\22\20\355^\348\31\221\5\275G\352\10\257\323F\235\261y\335Z\315\1\221=\3541\243\266s{\277\310fRX\277`\315\372`\243\334\333\351>\333\333\354u3\243\326u\210\301O|\273\231\330\14\333\320>\34\212\36\277\211\17'\3408I \264\223[\360\22\316\345\241W/^\22\316\2\12;O\372\260\36\246\334\206\375\345\203\342\200b\375\353\37^\332\275\256\205\336\265\236", ) \237\244\251s\234\241\260\344G\230c\15\377\261\10!\236B/\12$\275\370\323\36\177\345d \200X\306&\205\203.D\202s\255\242\303\22\20\355^\348\31\221\5\275G\352\10\257\323F\235\261y\335Z\315\1\221=\3541\243\266s{\277\310fRX\277`\315\372`\243\334\333\351>\333\333\354u3\243\326u\210\301O|\273\231\330\14\333\320>\34\212\36\277\211\17'\3408I \264\223[\360\22\316\345\241W/^\22\316\2\12;O\372\260\36\246\334\206\375\345\203\342\200b\375\353\37^\332\275\256\205\336\265\236", ) == 0x0
 03598   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\269u\34u\213\300\203}$\377\17\225\300\211\205\34\377\377\377\353\12\307\205\34\377\377\377\2\0\0\0h\310\6\0\0V\3775\314\372\207u\211u\370\211uL\211u\360\211u\350\377\25\14\362\207u;\306t\16\213\310\350\214t\0\0\213\370\211}\20\353\5\211u\20\213\376;\376u\13\307\3\16\0\7\200\351q\3\0\0\213\7\215M\360Qh`O\205uW\377\20;\306\211\3\17\214\17\3\0\0\213E\360\213\10VVj\377P\377Q\14\213\317\350\253\340\377\377\215M\370Qh\330q\205u\211E\10\213\7W\377\20;\306\211\3\17\214\340\2\0\0\213}\10\213u\24\213M\10\213E\14\377u,\203\307\24\377u(\245\245\245\245\307A$\4\0\0\0\213\0\211A@\213E\20\5\244\1\0\0\213\10P\377Q\34\205\300\211\3\17\214\236\2\0\0\203\275\34\377\377\377\2\17\205\271\0\0\0\213E\20\213\10\215ULRh\30r\205uP\377\21\205\300\211\3\17\214v\2\0\0\213u\30\205\366t\\215E\30PV\350\321\374\377\377\205\300\211\3\17\214[\2\0\0\377u$\213EL\377u\30\213\10P\377Q\34\205\300\211\3\17\214B\2\0\0\213EL\213\10\215\225h\377\377\377R\215\225p\377\377\377RP\377Q 9u\30t\32\377u\30j\0\3775\314\372\207u\377\25\20\362\207u\353\7\203\245p\377\377\377\0\213u\34\205\366t$V\350\356\274\377\377\205\300t\24\213ML\213\21PQ\377R\24\211\3\211\265t\377\377\377\353\6\307\3\16\0\7\200\203;\0\17\214\330\1\0\0j\14\350\255c\377\377\213\360\205\366t93\300\213\376\253\253\253\213E \211\6f\213E0f\205\300f\211F\4t&\17\267\300\321\340P\350\203c\377\377\205\300\211F\10u\24V\307\3\16\0\7\200\350\214c\377\377\353", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03599   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "x\237\331}N/\0\200", ) , ) == 0x0
 03600   896   NtReadFile  (192, 0, 0, 0, 12110, 0x0, 0, ... {status=0x0, info=12110},  (192, 0, 0, 0, 12110, 0x0, 0, ... {status=0x0, info=12110}, "S\2279\263\370\252\367 jE\12\271\201d\332\375Db\340\201<\310\327\362s\357\7o\361Q\343\335\14\236\322=\236@\226|1\20\317\364\221\330\302\341\345y\362\257\201G1}\2326A\327U\246\37\310\270{X\31H\304\31\6\341SG\321\23"*^\220S\262{m\22vPM=\222W\14\200Kc\201\204\360N\343\310\214\301@\360\220\227\277\202E\237\5@\0y\225"\30\330\304\32?\252S\35\326\314\236\355\353y\273\377\374\12:@\335\317\344$\353>B\20R\15\302\245o\2\301\341\367\242Mp\2105\320\37\352T\10\236\313\337J\3\246\306,\16\222\370m|\232\301E\342\363\201\264\220\364\216\332\37$Zk\34\3H\227\7\32\265\374\274\0vx\3729\270I\354\16l\200\265\301\334X\255\2575\204\266\25Q\1\242\225\376\316ZM\2642%\220\253%*\326\244a|\346Q\36\222\257\345\236\300_ic\300A%X\12d\17\340\305\211[\204H\2\231\24Yj\35\22\357,k\324\245X\30\25&\231=D\322U\342\21j\333'{\5{C\313p\1`sHD\250\33\3\320\227%@\220\20oP@=@\311\1R\322\24\0\253,\205\25\16A\241o4i\2461\374h&%\0\320\33\237v9\272x\310\253Q>\6VM\363\200o\371\211\231\253\374\5\276\244\245\360Y\7\3263\312\226\311\33z\230\14{g3\206\245\362\23\364}\13,\321",\370\333i\247MR^\226\337u1Z\21o]\366\222KK\340#h\335\35\344^\236\274\34\354>\270\300,\2036gP@\340H\220"&\201\34A\2\235 9l\4\2A\202^9\34|A\202\3"\224=\29\202\49A~\367A\16\221 \236\1\34\310\2\201 AX\223r\210\4\11\14\210\303\321H\220@$[`).P\337", ) *^\220S\262{m\22vPM=\222W\14\200Kc\201\204\360N\343\310\214\301@\360\220\227\277\202E\237\5@\0y\225 (192, 0, 0, 0, 12110, 0x0, 0, ... {status=0x0, info=12110}, "S\2279\263\370\252\367 jE\12\271\201d\332\375Db\340\201<\310\327\362s\357\7o\361Q\343\335\14\236\322=\236@\226|1\20\317\364\221\330\302\341\345y\362\257\201G1}\2326A\327U\246\37\310\270{X\31H\304\31\6\341SG\321\23"*^\220S\262{m\22vPM=\222W\14\200Kc\201\204\360N\343\310\214\301@\360\220\227\277\202E\237\5@\0y\225"\30\330\304\32?\252S\35\326\314\236\355\353y\273\377\374\12:@\335\317\344$\353>B\20R\15\302\245o\2\301\341\367\242Mp\2105\320\37\352T\10\236\313\337J\3\246\306,\16\222\370m|\232\301E\342\363\201\264\220\364\216\332\37$Zk\34\3H\227\7\32\265\374\274\0vx\3729\270I\354\16l\200\265\301\334X\255\2575\204\266\25Q\1\242\225\376\316ZM\2642%\220\253%*\326\244a|\346Q\36\222\257\345\236\300_ic\300A%X\12d\17\340\305\211[\204H\2\231\24Yj\35\22\357,k\324\245X\30\25&\231=D\322U\342\21j\333'{\5{C\313p\1`sHD\250\33\3\320\227%@\220\20oP@=@\311\1R\322\24\0\253,\205\25\16A\241o4i\2461\374h&%\0\320\33\237v9\272x\310\253Q>\6VM\363\200o\371\211\231\253\374\5\276\244\245\360Y\7\3263\312\226\311\33z\230\14{g3\206\245\362\23\364}\13,\321",\370\333i\247MR^\226\337u1Z\21o]\366\222KK\340#h\335\35\344^\236\274\34\354>\270\300,\2036gP@\340H\220"&\201\34A\2\235 9l\4\2A\202^9\34|A\202\3"\224=\29\202\49A~\367A\16\221 \236\1\34\310\2\201 AX\223r\210\4\11\14\210\303\321H\220@$[`).P\337", ) ,\370\333i\247MR^\226\337u1Z\21o]\366\222KK\340#h\335\35\344^\236\274\34\354>\270\300,\2036gP@\340H\220 (192, 0, 0, 0, 12110, 0x0, 0, ... {status=0x0, info=12110}, "S\2279\263\370\252\367 jE\12\271\201d\332\375Db\340\201<\310\327\362s\357\7o\361Q\343\335\14\236\322=\236@\226|1\20\317\364\221\330\302\341\345y\362\257\201G1}\2326A\327U\246\37\310\270{X\31H\304\31\6\341SG\321\23"*^\220S\262{m\22vPM=\222W\14\200Kc\201\204\360N\343\310\214\301@\360\220\227\277\202E\237\5@\0y\225"\30\330\304\32?\252S\35\326\314\236\355\353y\273\377\374\12:@\335\317\344$\353>B\20R\15\302\245o\2\301\341\367\242Mp\2105\320\37\352T\10\236\313\337J\3\246\306,\16\222\370m|\232\301E\342\363\201\264\220\364\216\332\37$Zk\34\3H\227\7\32\265\374\274\0vx\3729\270I\354\16l\200\265\301\334X\255\2575\204\266\25Q\1\242\225\376\316ZM\2642%\220\253%*\326\244a|\346Q\36\222\257\345\236\300_ic\300A%X\12d\17\340\305\211[\204H\2\231\24Yj\35\22\357,k\324\245X\30\25&\231=D\322U\342\21j\333'{\5{C\313p\1`sHD\250\33\3\320\227%@\220\20oP@=@\311\1R\322\24\0\253,\205\25\16A\241o4i\2461\374h&%\0\320\33\237v9\272x\310\253Q>\6VM\363\200o\371\211\231\253\374\5\276\244\245\360Y\7\3263\312\226\311\33z\230\14{g3\206\245\362\23\364}\13,\321",\370\333i\247MR^\226\337u1Z\21o]\366\222KK\340#h\335\35\344^\236\274\34\354>\270\300,\2036gP@\340H\220"&\201\34A\2\235 9l\4\2A\202^9\34|A\202\3"\224=\29\202\49A~\367A\16\221 \236\1\34\310\2\201 AX\223r\210\4\11\14\210\303\321H\220@$[`).P\337", ) \224=\29\202\49A~\367A\16\221 \236\1\34\310\2\201 AX\223r\210\4\11\14\210\303\321H\220@$[`).P\337", ) == 0x0
 03601   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\377\205\300u+\213M\14\215E\14P\350>\272\377\377\205\300|#\203\306\20V\377u\14\350\244\16\0\0\213M\20\377u\14\211\1\350\4\30\0\0\353\6\213E\20\203 \03\300^]\302\14\0VW\213|$\20\276xq\205u\245\245\245\245_3\300^\302\10\0U\213\354V\213u\14Wj\4Y\277\330q\205u3\300\363\247tE\213u\14j\4Y\277\200N\205u3\300\363\247t4\213u\14j\4Y\277\330p\205u3\300\363\247u\26\213E\10\213U\20\215H\374\367\331\33\311#\310\211\12\203\300\374\353\30\213E\20\203 \0\270\2@\0\200\353\23\213E\10\213M\20\203\300\374\211\1\213\10P\377Q\43\300_^]\302\14\0\213D$\4\203\300\20P\213D$\14\377p\34\350f\16\0\03\300\302\10\0V\213t$\103\3229V\10u\35\213D$\14\213H\34\215F\20PQ\211\20\211V\24\350^\16\0\0\307F\10\1\0\0\03\300^\302\10\0U\213\354V\213u\10\377u\14\213\316\3508\371\377\377\205\300u+\213M\14\215E\14P\350\37\271\377\377\205\300|#\203\306\20V\377u\14\350\342\15\0\0\213M\20\377u\14\211\1\350\345\26\0\0\353\6\213E\20\203 \03\300^]\302\14\0VW\213|$\20\276\330q\205u\245\245\245\245_3\300^\302\10\0U\213\354\213E\10\213H\10\205\311\377u\20\377u\14t\7\213\1Q\377\20\353\11\203\300\4\213\10P\377Q ]\302\14\0U\213\354V\213u\14Wj\4Y\277\350q\205u3\300\363\247tE\213u\14j\4Y\277\200N\205u3\300\363\247t4\213u\14j\4Y\277\330p\205u3\300\363\247u\26\213E\10\213U\20\215H\374\367\331\33\311#\310\211\12\203\300\374\353\30\213E\20\203 \0\270\2@\0\200\353\23", 28156, 0x0, 0, ... {status=0x0, info=28156}, ) , 28156, 0x0, 0, ... {status=0x0, info=28156}, ) == 0x0
 03602   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 03603   896   NtClose  (200, ... ) == 0x0
 03604   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03605   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03606   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 03584  2016   NtUserWaitMessage  ... ) == 0x1
 03607  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03608  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 03609  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010051
 03610  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 03608  2016   NtUserRedrawWindow  ... ) == 0x1
 03607  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 03611  2016   NtUserWaitMessage  (...
 03606   896   NtUserMessageCall  ... ) == 0x8
 03612   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "> \0\0\374\355"\0\0\0\345.\213c \0", ) \0\0\0\345.\213c \0", ) == 0x0
 03613   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03614   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03615   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256},  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "sp1\update\kb823980.cat\0\243\21\0\0:\16#\0\0\0\345.\323a \0sp1\update\update.inf\0\340\0\0\0\335\37#\0\0\0\345.\326a \0sp1\update\update.ver\0\0\30\21\0\275 #\0\0\0\345.\214a \0sp2\ole32.dll\0\0\262\7\0\27584\0\0\0\345.\214a \0sp2\rpcrt4.dll\0\0\30\3\0\275\352;\0\0\0\345.\215a \0sp2\rpcss.dll\0> \0\0\275\2?\0\0\0\345.oc \0sp2\update\kb823980.cat\0\35\17\0\0\373"?\0\0\0\345.\212a \0sp2\updat", ) ?\0\0\0\345.\212a \0sp2\updat", ) == 0x0
 03616   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03617   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03618   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03619   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8aa64, 0, 688, 1, ...
 03611  2016   NtUserWaitMessage  ... ) == 0x1
 03620  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03621  2016   NtUserDefSetText  (655682, 8387692, ... ) == 0x1
 03622  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 03623  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03624  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03625  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03626  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03627  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03619   896   NtUserMessageCall  ... ) == 0x1
 03628   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\e5d4274d2caaef1b878fb5d282a5\sp1\update\kb823980.cat"}, 0x0, 128, 3, 5, 96, 0, 0, ... ) }, 0x0, 128, 3, 5, 96, 0, 0, ... ) == STATUS_OBJECT_PATH_NOT_FOUND
 03629   896   NtCreateFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\C:\scripts"}, 0x0, 128, 3, 2, 16417, 0, 0, ... ) }, 0x0, 128, 3, 2, 16417, 0, 0, ... ) == STATUS_OBJECT_NAME_COLLISION
 03630   896   NtCreateFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\c:\e5d4274d2caaef1b878fb5d282a5"}, 0x0, 128, 3, 2, 16417, 0, 0, ... ) }, 0x0, 128, 3, 2, 16417, 0, 0, ... ) == STATUS_OBJECT_NAME_COLLISION
 03631   896   NtCreateFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\c:\e5d4274d2caaef1b878fb5d282a5\sp1"}, 0x0, 128, 3, 2, 16417, 0, 0, ... ) }, 0x0, 128, 3, 2, 16417, 0, 0, ... ) == STATUS_OBJECT_NAME_COLLISION
 03632   896   NtCreateFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\c:\e5d4274d2caaef1b878fb5d282a5\sp1\update"}, 0x0, 128, 3, 2, 16417, 0, 0, ... }, 0x0, 128, 3, 2, 16417, 0, 0, ...
 03620  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 03633  2016   NtUserWaitMessage  (...
 03632   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 03634   896   NtClose  (200, ... ) == 0x0
 03635   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\e5d4274d2caaef1b878fb5d282a5\sp1\update\kb823980.cat"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 03636   896   NtClose  (-2147481368, ... ) == 0x0
 03635   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 03637   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "0\202 :\6\11*\206H\206\367\15\1\7\2\240\202 +0\202 '\2\1\11\160\14\6\10*\206H\206\367\15\2\5\5\00\202\5\244\6\11+\6\1\4\1\2027\12\1\240\202\5\2250\202\5\2210\14\6\12+\6\1\4\1\2027\14\1\1\4\20\345\356\26\247\2105=A\240\215\366\212\12\334!\6\27\15030705192357Z0\16\6\12+\6\1\4\1\2027\14\1\2\5\00\202\4\2400\202\1&\4R2\08\05\00\06\0E\03\0A\0C\0A\0B\0D\02\09\0D\0F\0B\0E\07\08\05\08\06\06\08\01\0E\0F\0D\08\02\02\0A\08\06\09\04\0B\0C\0B\0\0\01\201\3170b\6\12+\6\1\4\1\2027\14\2\21T0R\36L\0{\0C\06\08\09\0A\0A\0B\08\0-\08\0E\07\08\0-\01\01\0D\00\0-\08\0C\04\07\0-\00\00\0C\00\04\0F\0C\02\09\05\0E\0E\0}\2\2\2\00i\6\12+\6\1\4\1\2027\2\1\41[0Y04\6\12+\6\1\4\1\2027\2\1\170&\3\2\5\240\240 \242\36\200\34\0<\0<\0<\0O\0b\0s\0o\0l\0e\0t\0e\0>\0>\0>0!0\11\6\5+\16\3\2\32\5\0\4\24(Pn:\312\275)\337\276xXf\201\357\330"\250iK\3130\202\1&\4R6\05\01\0B\0E\03\0C\0D\08\0C\03\0B\0F\0A\07\0B\06\04\00\01\0C\0C\0E\0E\01\08\0F\0E\07\08\08\02\0", 4612, 0x0, 0, ... \250iK\3130\202\1&\4R6\05\01\0B\0E\03\0C\0D\08\0C\03\0B\0F\0A\07\0B\06\04\00\01\0C\0C\0E\0E\01\08\0F\0E\07\08\08\02\0", 4612, 0x0, 0, ...
 03638   896   NtContinue  (-135750188, 0, ...
 03637   896   NtWriteFile  ... {status=0x0, info=4612}, ) == 0x0
 03639   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\334\302\265\346\212(\0\200", ) , ) == 0x0
 03640   896   NtReadFile  (192, 0, 0, 0, 10378, 0x0, 0, ... {status=0x0, info=10378},  (192, 0, 0, 0, 10378, 0x0, 0, ... {status=0x0, info=10378}, "\363\365|\253\325\342\330{s\273\305\337\377?\272\376\17?2\221\350\322\343\23\363\10j/\372\305\354Y\376\225;\323\277\253\2119\267\233\341$\357\336>\\343mZ#S\246V+\13L\27\320\241\277\374e\336\377X}\377\267V\304=\315\33sV\232\330k.[$m\243d}!\245\214\345[(\26j\232\356\323\11\374\214N\233;FN\312U,\343\246^\206\322\221\246Y\353\347\267\375\13w\332\206\234\223\247)\301z\365S\3316\261\362-\3742\244\214\355\312\247V\252\2277\300\\256^E_\347\6\331^\255\357&\3069\346\335\230i\16>\262Y4\225;\272\27$\331x\325\243`\354a\233\232\245\327\207\241\355\360KW\226Y\10\237\3054=n\261\225![\354-J\205\33B\216)\367w\270\274\262\343\206\373T\360^\36#,\261\323\256\346z\62g\267\362\320\202\213\337j\31G\263\227J\254\250'\33\227\221\355G\235\346\353\251\367\207h*\317\353V\366\252\35x\14\203R'\301S\265q\250\315\370V\7\275\262\201\346k]\364\14\260\313s\377\345\240\253U\224q\346\233\21\312|%\5T<\262p\362\350\22W\337\223\337&\1\260\375/\343\300\12\213\337j\27\341O\365\360\265o\371\207\346]\342\11\344\371\233\246\15~?\3722I\5$[\352r\261w\25\22\375>'\244M\312-\200;\177\347\377\371\275TQ?\5\366j3\265\5\307\353q\370\232\326m\4\347\204#\316\331\325\221X\2417\257\351\321<\30g\35\272\15\321\274\324\360\215\34\363m1\31d\245z%\23\204c\235\222\13\3579{\1~\37\317a5Q\352\275\331\3748\307;\23\6\333\332%_\333\303vxe\375\256\353\26L\235\334\255\16\346\231\273E\343\340\332\353\237\305\366\362!\233PtM\347#_-m\275\264\357\314`,'", ) , ) == 0x0
 03641   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "indows Verification Intermediate PCA0\202\1 0\15\6\11*\206H\206\367\15\1\1\1\5\0\3\202\1\15\00\202\1\10\2\202\1\1\0\274\315\220j6\272{?\350\212\211\350\364\207\256`QQ`o\230\2220\212\0\213\301\244\214\360Wj\351\6\270\222\362T-\13f\234q\272?\376\0\255\216\376N|\0m\357R\17\237\3440\7\3025\200-\256\11\360\353\12\211#\0.-9`\272\240c\221\205*\273\307U;\346<\237\23yYmF\20\355\265\355\261\32\205\U=\314\223a\21~7\23\365\221\368`\207$\217\273O\341\270(5\346\264FN!\203\201?7\341F\302\315\324\254O\307\15\312\237\240\331<\24\271qc\305%t\275!m\335\307\10m\331IJ\347\2502\225\7}\224\14\255\335\314\237f\330\376\222\242 \201$d\246\252bt\300\360=\254.\343/M\265t\12\0/3\21ay\376\374\240\215\342\374u\311\275\4be\10t\252\323\33\271\374\7\346gx#E|\366\277\330\325@\364\371\201\223\35+\215\221\375\277\0]\37\322\376\334\267\2\1\3\243\202\1\250\202\1\210\37\6\3U\35%\4\300\26\6\12+\6\1\4\1\2027\12\3\6\6\10+\6\1\5\5\7\3\30\201\242\6\3U\35\1\4\201\2320\201\227\200\20[\320p\357ir\236#Q~\24\262M\216\377\313\241r0p1+0)\6\3U\4\13\23"Copyright (c) 1997 Microsoft Corp.1\360\34\6\3U\4\13\23\25Microsoft Corporation1!0\37\6\3U\4\3\23\30Microso", 3642, 0x0, 0, ... {status=0x0, info=3642}, ) Copyright (c) 1997 Microsoft Corp.1\360\34\6\3U\4\13\23\25Microsoft Corporation1!0\37\6\3U\4\3\23\30Microso", 3642, 0x0, 0, ... {status=0x0, info=3642}, ) == 0x0
 03642   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 03643   896   NtClose  (200, ... ) == 0x0
 03644   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03645   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03646   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 03633  2016   NtUserWaitMessage  ... ) == 0x1
 03647  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03648  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 03649  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010051
 03650  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 03648  2016   NtUserRedrawWindow  ... ) == 0x1
 03647  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 03651  2016   NtUserWaitMessage  (...
 03646   896   NtUserMessageCall  ... ) == 0x9
 03652   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "\243\21\0\0:\16#\0\0\0\345.\323a \0", ) , ) == 0x0
 03653   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03654   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03655   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256},  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "sp1\update\update.inf\0\340\0\0\0\335\37#\0\0\0\345.\326a \0sp1\update\update.ver\0\0\30\21\0\275 #\0\0\0\345.\214a \0sp2\ole32.dll\0\0\262\7\0\27584\0\0\0\345.\214a \0sp2\rpcrt4.dll\0\0\30\3\0\275\352;\0\0\0\345.\215a \0sp2\rpcss.dll\0> \0\0\275\2?\0\0\0\345.oc \0sp2\update\kb823980.cat\0\35\17\0\0\373"?\0\0\0\345.\212a \0sp2\update\update.inf\0\340\0\0\0\302?\0\0\0\345.\215a \0sp2\update\", ) ?\0\0\0\345.\212a \0sp2\update\update.inf\0\340\0\0\0\302?\0\0\0\345.\215a \0sp2\update\", ) == 0x0
 03656   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03657   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03658   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03659   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8aa64, 0, 688, 1, ...
 03651  2016   NtUserWaitMessage  ... ) == 0x1
 03660  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03661  2016   NtUserDefSetText  (655682, 8387696, ... ) == 0x1
 03662  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 03663  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03664  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03665  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03666  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03667  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03659   896   NtUserMessageCall  ... ) == 0x1
 03668   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\e5d4274d2caaef1b878fb5d282a5\sp1\update\update.inf"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 03669   896   NtClose  (-2147481368, ... ) == 0x0
 03660  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 03670  2016   NtUserWaitMessage  (...
 03671   896   NtQueryVolumeInformationFile  (-2147481672, -135748700, 32, FullSize, ... {status=0x0, info=32}, ) == 0x0
 03672   896   NtWriteFile  (-2147481672, 0, 0, 0,  (-2147481672, 0, 0, 0, "\242\0\0\0\1\0\0\0\22\357\315\253 \0\0\0\0\0\0\0\377\377\377\377\316K\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0^\0\0\0\3\0\0\0\\0e\05\0d\04\02\07\04\0d\02\0c\0a\0a\0e\0f\01\0b\08\07\08\0f\0b\05\0d\02\08\02\0a\05\0\\0x\0p\0s\0p\01\0h\0f\0m\0.\0e\0x\0e\0\0\0\242\0\0\0\226\0\0\0\1\0\0\0\22\357\315\253\200\0\0\0\0\0\0\0\377\377\377\377\317K\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0R\0\0\0\3\0\0\0\\0e\05\0d\04\02\07\04\0d\02\0c\0a\0a\0e\0f\01\0b\08\07\08\0f\0b\05\0d\02\08\02\0a\05\0\\0c\0o\0m\0m\0o\0n\0\0\0\226\0\0\0\260\0\0\0\1\0\0\0\22\357\315\253 \0\0\0\0\0\0\0\377\377\377\377\320K\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0l\0\0\0\3\0\0\0\\0e\05\0d\04\02\07\04\0d\02\0c\0a\0a\0e\0f\01\0b\08\07\08\0f\0b\05\0d\02\08\02\0a\05\0\\0c\0o\0m\0m\0o\0n\0\\0s\0p\0c\0u\0s\0t\0o\0m\0.\0d\0l\0l\0\0\0\260\0\0\0\252\0\0\0\1\0\0\0\22\357\315\253", 1986, 0x0, 0, ... {status=0x0, info=1986}, ) , 1986, 0x0, 0, ... {status=0x0, info=1986}, ) == 0x0
 03668   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 03673   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "[Version]\15\12\15\12    Signature="$Windows NT$"\15\12    NtBuildToUpdate=2600\15\12    MaxNtBuildToUpdate=2600\15\12    NtMajorVersionToUpdate=5\15\12    NtMinorVersionToUpdate=1\15\12    MaxNtMajorVersionToUpdate=5\15\12    MaxNtMinorVersionToUpdate=1\15\12    MinNtServicePackVersion=0\15\12    MaxNtServicePackVersion=0\15\12    ThisServicePackVersion=0\15\12    LanguageType=%LangTypeValue%\15\12    InstallPlatform=0\15\12    CatalogFile=%SP_SHORT_TITLE%.cat\15\12\15\12[Proxy.DirId]\15\12\15\12    DirId = 65609\15\12    InstallPathRegistryKey = HKLM,%ProxyRegKey%,Ins", 4515, 0x0, 0, ... $Windows NT$ (200, 0, 0, 0, "[Version]\15\12\15\12    Signature="$Windows NT$"\15\12    NtBuildToUpdate=2600\15\12    MaxNtBuildToUpdate=2600\15\12    NtMajorVersionToUpdate=5\15\12    NtMinorVersionToUpdate=1\15\12    MaxNtMajorVersionToUpdate=5\15\12    MaxNtMinorVersionToUpdate=1\15\12    MinNtServicePackVersion=0\15\12    MaxNtServicePackVersion=0\15\12    ThisServicePackVersion=0\15\12    LanguageType=%LangTypeValue%\15\12    InstallPlatform=0\15\12    CatalogFile=%SP_SHORT_TITLE%.cat\15\12\15\12[Proxy.DirId]\15\12\15\12    DirId = 65609\15\12    InstallPathRegistryKey = HKLM,%ProxyRegKey%,Ins", 4515, 0x0, 0, ... , 4515, 0x0, 0, ...
 03674   896   NtContinue  (-135750188, 0, ...
 03673   896   NtWriteFile  ... {status=0x0, info=4515}, ) == 0x0
 03675   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 03676   896   NtClose  (200, ... ) == 0x0
 03677   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03678   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03679   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 03670  2016   NtUserWaitMessage  ... ) == 0x1
 03680  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03681  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 03682  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010051
 03683  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 03681  2016   NtUserRedrawWindow  ... ) == 0x1
 03680  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 03684  2016   NtUserWaitMessage  (...
 03679   896   NtUserMessageCall  ... ) == 0xa
 03685   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "\340\0\0\0\335\37#\0\0\0\345.\326a \0", ) , ) == 0x0
 03686   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03687   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03688   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256},  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "sp1\update\update.ver\0\0\30\21\0\275 #\0\0\0\345.\214a \0sp2\ole32.dll\0\0\262\7\0\27584\0\0\0\345.\214a \0sp2\rpcrt4.dll\0\0\30\3\0\275\352;\0\0\0\345.\215a \0sp2\rpcss.dll\0> \0\0\275\2?\0\0\0\345.oc \0sp2\update\kb823980.cat\0\35\17\0\0\373"?\0\0\0\345.\212a \0sp2\update\update.inf\0\340\0\0\0\302?\0\0\0\345.\215a \0sp2\update\update.ver\0\3\340\342\345\345\0\200[\200\200\215\11\20\250fu\0"3`4\0\0\217\0\267", ) ?\0\0\0\345.\212a \0sp2\update\update.inf\0\340\0\0\0\302?\0\0\0\345.\215a \0sp2\update\update.ver\0\3\340\342\345\345\0\200[\200\200\215\11\20\250fu\0 (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "sp1\update\update.ver\0\0\30\21\0\275 #\0\0\0\345.\214a \0sp2\ole32.dll\0\0\262\7\0\27584\0\0\0\345.\214a \0sp2\rpcrt4.dll\0\0\30\3\0\275\352;\0\0\0\345.\215a \0sp2\rpcss.dll\0> \0\0\275\2?\0\0\0\345.oc \0sp2\update\kb823980.cat\0\35\17\0\0\373"?\0\0\0\345.\212a \0sp2\update\update.inf\0\340\0\0\0\302?\0\0\0\345.\215a \0sp2\update\update.ver\0\3\340\342\345\345\0\200[\200\200\215\11\20\250fu\0"3`4\0\0\217\0\267", ) , ) == 0x0
 03689   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03690   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03691   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03692   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8aa64, 0, 688, 1, ...
 03684  2016   NtUserWaitMessage  ... ) == 0x1
 03693  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03694  2016   NtUserDefSetText  (655682, 8387696, ... ) == 0x1
 03695  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 03696  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03697  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03698  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03699  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03700  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03692   896   NtUserMessageCall  ... ) == 0x1
 03701   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\e5d4274d2caaef1b878fb5d282a5\sp1\update\update.ver"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 03702   896   NtClose  (-2147481368, ... ) == 0x0
 03701   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 03703   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "[SourceFileInfo]\15\12ole32.dll=5F0F174798A8A6C1CE90FFBD4C5B953D,000500010A280073,1092096\15\12rpcrt4.dll=7ECCB364D196D72268BE55BB13F685EF,000500010A28006D,439296\15\12rpcss.dll=32DA962BB6ECDC219809DAB25FEF967C,000500010A280073,203264\15\12", 224, 0x0, 0, ... {status=0x0, info=224}, ) , 224, 0x0, 0, ... {status=0x0, info=224}, ) == 0x0
 03704   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 03693  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 03705  2016   NtUserWaitMessage  (...
 03706   896   NtClose  (200, ... ) == 0x0
 03707   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03708   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03709   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 03705  2016   NtUserWaitMessage  ... ) == 0x1
 03710  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03711  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 03712  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010051
 03713  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 03711  2016   NtUserRedrawWindow  ... ) == 0x1
 03710  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 03714  2016   NtUserWaitMessage  (...
 03709   896   NtUserMessageCall  ... ) == 0xb
 03715   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "\0\30\21\0\275 #\0\0\0\345.\214a \0", ) , ) == 0x0
 03716   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03717   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03718   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256},  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "sp2\ole32.dll\0\0\262\7\0\27584\0\0\0\345.\214a \0sp2\rpcrt4.dll\0\0\30\3\0\275\352;\0\0\0\345.\215a \0sp2\rpcss.dll\0> \0\0\275\2?\0\0\0\345.oc \0sp2\update\kb823980.cat\0\35\17\0\0\373"?\0\0\0\345.\212a \0sp2\update\update.inf\0\340\0\0\0\302?\0\0\0\345.\215a \0sp2\update\update.ver\0\3\340\342\345\345\0\200[\200\200\215\11\20\250fu\0"3`4\0\0\217\0\267\273\347e\273<\312\224s`\23N\34062U/\345K\375\355\262\333\234\355\225=\273\\313\313\271~\266\313\330\333\264\312", ) ?\0\0\0\345.\212a \0sp2\update\update.inf\0\340\0\0\0\302?\0\0\0\345.\215a \0sp2\update\update.ver\0\3\340\342\345\345\0\200[\200\200\215\11\20\250fu\0 (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "sp2\ole32.dll\0\0\262\7\0\27584\0\0\0\345.\214a \0sp2\rpcrt4.dll\0\0\30\3\0\275\352;\0\0\0\345.\215a \0sp2\rpcss.dll\0> \0\0\275\2?\0\0\0\345.oc \0sp2\update\kb823980.cat\0\35\17\0\0\373"?\0\0\0\345.\212a \0sp2\update\update.inf\0\340\0\0\0\302?\0\0\0\345.\215a \0sp2\update\update.ver\0\3\340\342\345\345\0\200[\200\200\215\11\20\250fu\0"3`4\0\0\217\0\267\273\347e\273<\312\224s`\23N\34062U/\345K\375\355\262\333\234\355\225=\273\\313\313\271~\266\313\330\333\264\312", ) , ) == 0x0
 03719   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03720   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03721   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03722   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8aa64, 0, 688, 1, ...
 03714  2016   NtUserWaitMessage  ... ) == 0x1
 03723  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03724  2016   NtUserDefSetText  (655682, 8387704, ... ) == 0x1
 03725  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 03726  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03727  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03728  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03729  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03730  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03722   896   NtUserMessageCall  ... ) == 0x1
 03731   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\e5d4274d2caaef1b878fb5d282a5\sp2\ole32.dll"}, 0x0, 128, 3, 5, 96, 0, 0, ... ) }, 0x0, 128, 3, 5, 96, 0, 0, ... ) == STATUS_OBJECT_PATH_NOT_FOUND
 03732   896   NtCreateFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\C:\scripts"}, 0x0, 128, 3, 2, 16417, 0, 0, ... ) }, 0x0, 128, 3, 2, 16417, 0, 0, ... ) == STATUS_OBJECT_NAME_COLLISION
 03733   896   NtCreateFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\c:\e5d4274d2caaef1b878fb5d282a5"}, 0x0, 128, 3, 2, 16417, 0, 0, ... ) }, 0x0, 128, 3, 2, 16417, 0, 0, ... ) == STATUS_OBJECT_NAME_COLLISION
 03734   896   NtCreateFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\c:\e5d4274d2caaef1b878fb5d282a5\sp2"}, 0x0, 128, 3, 2, 16417, 0, 0, ... 200, {status=0x0, info=2}, ) }, 0x0, 128, 3, 2, 16417, 0, 0, ... 200, {status=0x0, info=2}, ) == 0x0
 03735   896   NtClose  (200, ... ) == 0x0
 03736   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\e5d4274d2caaef1b878fb5d282a5\sp2\ole32.dll"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 03723  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 03737  2016   NtUserWaitMessage  (...
 03738   896   NtClose  (-2147481368, ... ) == 0x0
 03736   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 03739   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "MZ\220\0\3\0\0\0\4\0\0\0\377\377\0\0\270\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\370\0\0\0\16\37\272\16\0\264\11\315!\270\1L\315!This program cannot be run in DOS mode.\15\15\12$\0\0\0\0\0\0\0\231\274\227\230\335\335\371\313\335\335\371\313\335\335\371\313\335\335\371\313\337\335\371\313'\376\340\313\320\335\371\313\335\335\370\313\353\337\371\313'\376\271\313\325\335\371\313\7\376\345\313\370\335\371\313\7\376\344\313\345\334\371\313'\376\306\313\334\335\371\313J\376\274\313\334\335\371\313'\376\304\313\334\335\371\313Rich\335\335\371\313\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0PE\0\0L\1\5\0\26#\7?\0\0\0\0\0\0\0\0\340\0\16!\13\1\7\0\0\342\17\0\0Z\1\0\0\0\0\0\3263\2\0\0\20\0\0\0\0\20\0\0\0\33w\0\20\0\0\0\2\0\0\5\0\1\0\5\0\1\0\4\0\0\0\0\0\0\0\0p\21\0\0\4\0\0\6\355\21\0\3\0\0\0\0\0\4\0\0\20\0\0\0\0\20\0\0\20\0\0\0\0\0\0\20\0\0\0\320v\17\0\276'\0\0\4C\17\0\214\0\0\0\0p\20\0\370\27\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\220\20\0\360\310\0\0\320\30\0\0\34\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\0\320\10\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0.tex", 24387, 0x0, 0, ... , 24387, 0x0, 0, ...
 03740   896   NtContinue  (-135750188, 0, ...
 03739   896   NtWriteFile  ... {status=0x0, info=24387}, ) == 0x0
 03741   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\243\6\337\313\276\34\0\200", ) , ) == 0x0
 03742   896   NtReadFile  (192, 0, 0, 0, 7358, 0x0, 0, ... {status=0x0, info=7358},  (192, 0, 0, 0, 7358, 0x0, 0, ... {status=0x0, info=7358}, "c\231\34\3\241\22\14\223L\264p\6\3'\32C\324P\260\206\16\215\263S\274\\305Co\17\200e\375\14,\343`\13\16\22\203\261\21\22 \221Q\244\14\3f\233;Q0\32F\3235\250\261\261\250\215Cn\33v\337\310\6\7\150(i\3028 \206\211\210\212\306\340>\306Q2\206\3373d\236a\4\215#i\32P\327\270\314\206\3216\215\272W\334\374\6C,\242\2\203\2450\14\10-\214\240d\214\303c\31 \313@\310\204"g4r\246A\376\16\2415\215\260n\244\242\2\2017\216\275@\4\264uA\260\214\204/"g4r\246A\376\16\2415\215\260n\244\242\2\2017\216\275@\4\364uA\260\214\204/\243H\31\6\314&fv\242a4\215\246kPccP\33\206\3347\354\276\221\14\16\33`", ) g4r\246A\376\16\2415\215\260n\244\242\2\2017\216\275@\4\264uA\260\214\204/14\343b\22\32\221q\254\214#f\315\320\330\216\6\3614\215\252ltl\203\230\33\12\252\337\320\10G\350,qa\24`a\204Dc\\34\3\241\22\14\223L\264p\6\3'\32C\324P\260\206\16\215\263S\274\\305Co\17\200u\375\14,\343`\13\16\22\203\261\21\22 \221Q\244\14\3f\233;Q0\32F\3235\250\261\261\250\215Cn\33v\337\310\6\7\120P2\205q@\14#b\21\25\215\301|\214\243d\14\277f\310=\303\10\32F\3225\240\257q\230\15\243m\33u\256\270\370\15\206X\257\5\203%0\14\10-\214\240d\214\303c\31 \313@\310\204 (192, 0, 0, 0, 7358, 0x0, 0, ... {status=0x0, info=7358}, "c\231\34\3\241\22\14\223L\264p\6\3'\32C\324P\260\206\16\215\263S\274\\305Co\17\200e\375\14,\343`\13\16\22\203\261\21\22 \221Q\244\14\3f\233;Q0\32F\3235\250\261\261\250\215Cn\33v\337\310\6\7\150(i\3028 \206\211\210\212\306\340>\306Q2\206\3373d\236a\4\215#i\32P\327\270\314\206\3216\215\272W\334\374\6C,\242\2\203\2450\14\10-\214\240d\214\303c\31 \313@\310\204"g4r\246A\376\16\2415\215\260n\244\242\2\2017\216\275@\4\264uA\260\214\204/"g4r\246A\376\16\2415\215\260n\244\242\2\2017\216\275@\4\364uA\260\214\204/\243H\31\6\314&fv\242a4\215\246kPccP\33\206\3347\354\276\221\14\16\33`", ) \243H\31\6\314&fv\242a4\215\246kPccP\33\206\3347\354\276\221\14\16\33`", ) == 0x0
 03743   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "wC\261#wM\261#wW\261#wa\261#wk\261#wu\261#w\177\261#w\211\261#w\223\261#w\235\261#w\247\261#w\261\261#w\273\261#w\305\261#w\317\261#w\331\261#w\343\261#w\355\261#w\367\261#w\1\262#w\13\262#w\25\262#w\37\262#w)\262#w3\262#w=\262#wG\262#wQ\262#w[\262#we\262#wo\262#wy\262#w\203\262#w\215\262#w\227\262#w\241\262#w\253\262#w\265\262#w\277\262#w\311\262#w\323\262#w\335\262#w\347\262#w\361\262#w\373\262#w\5\263#w\17\263#w\31\263#w#\263#w-\263#w7\263#wA\263#wK\263#wU\263#w_\263#wi\263#ws\263#w}\263#w\207\263#w\221\263#w\233\263#w\245\263#w\257\263#w\271\263#w\303\263#w\315\263#w\327\263#w\341\263#w\353\263#w\365\263#w\377\263#w\11\264#w\23\264#w\35\264#w'\264#w1\264#w;\264#wE\264#wO\264#wY\264#wc\264#wm\264#ww\264#w\201\264#w\213\264#w\225\264#w\237\264#w\251\264#w\263\264#w\275\264#w\307\264#w\321\264#w\333\264#w\345\264#w\357\264#w\371\264#w\3\265#w\15\265#w\27\265#w!\265#w+\265#w5\265#w?\265#wI\265#wS\265#w]\265#wg\265#wq\265#w{\265#w\205\265#w\217\265#w\231\265#w\243\265#w\255\265#w\267\265#w\301\265#w\313\265#w\325\265#w\337\265#w\351\265#w\363\265#w\375\265#w\7\266#w\21\266#w\33\266#", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03744   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\331\316\367\341\210\7\0\200", ) , ) == 0x0
 03745   896   NtReadFile  (192, 0, 0, 0, 1928, 0x0, 0, ... {status=0x0, info=1928},  (192, 0, 0, 0, 1928, 0x0, 0, ... {status=0x0, info=1928}, "\224)e\312\2312\246L)S\313\224\362\376\1\275\353)0mgAE\211\30\203\206\241\235a\226g\31m\272\265\2107IA<\201\233-\316 \11\226\322\360\260\204\4F7t\3132\231\342\371\277\246T\311P)\225A\311\13\357\326I\2\247\13\303|\17\333\252z\362\246\205\3028\354\315\201\341\364\244\360\30\21\372\333Pv\315\304\266\10\255\355P+K)\12\275E*\337\355\266\11\340v37n\326\242\224\245g\26\222f\13X\33v\361\300\5\315Xo\372\34\344\261\207\255L/\333\225_h\2528e\225US\227m\246p)S\313\224\246\220)S\312\2242eL\231S\246\224)\330\313\224)e\312\2312\246L-S\231\362\246L)S\312\2242eL\231S\246\224)e\312\2312\246L)S\312\2242eL\231S\246\224)e\312)\333\312\224\300e)S\312\2242eL\231S\246\224)e\312\2312\276L-\256\245\2236\234\345\2531\11R\313\231\326\324\254\332\312\16\\226\364\27\203\250M\323D\242Am\211\26n7\240t\266\252\323L\342k\212P\22Y\242\233Mo"\273CS\362\12\327)o\377IJ*+w\226J\366\214f\2516\235#\350\326(\360Rj\373\7_4\374\320\311\241dR\330\366OK\333\1\13/\320\255\352\304\273\25\37OU\226\270\34\4\204\31T`{\311xN]\225\315\274\314\220\233\264\215/\361h\224\255\332J\32o\24\\332\236j\1\266f/l\3229=|\255\12\25\313z\343k\222S\206\252\222\4\214\252\264\252\300\345\333\212\326\221\235\365<\241,h\274\237\315\371\314\276k\322\210\345\266\4\304\244\351\30\364\300\363\326\330\217\315Vgm\363f\204>m\2547\313\15\5\215\11y\231\355\347\362Ge%\12I\275\265\231Y\36\241/\265)m\251m#\205\240\322b", ) \273CS\362\12\327)o\377IJ*+w\226J\366\214f\2516\235#\350\326(\360Rj\373\7_4\374\320\311\241dR\330\366OK\333\1\13/\320\255\352\304\273\25\37OU\226\270\34\4\204\31T`{\311xN]\225\315\274\314\220\233\264\215/\361h\224\255\332J\32o\24\\332\236j\1\266f/l\3229=|\255\12\25\313z\343k\222S\206\252\222\4\214\252\264\252\300\345\333\212\326\221\235\365<\241,h\274\237\315\371\314\276k\322\210\345\266\4\304\244\351\30\364\300\363\326\330\217\315Vgm\363f\204>m\2547\313\15\5\215\11y\231\355\347\362Ge%\12I\275\265\231Y\36\241/\265)m\251m#\205\240\322b", ) == 0x0
 03746   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\\4\0\4\0\23\0\346\377[\10\10[\33\0\1\0\31\0\0\0\1\0\1[\26\3\10\0K\F\\4\0\4\0\23\0\346\377[\10\10[\23\10"\\23\10%\/Z\0\0\0\0\0\0\0\0\300\0\0\0\0\0\0F/Z\0\4\2\0\0\0\0\0\300\0\0\0\0\0\0F/Z\14\0\0\0\0\0\0\0\300\0\0\0\0\0\0F/Z\13\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\23\0\24\0/Z\14\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\32\3\24\0\0\0\14\0L\0\372\376L\0\340\377\[\23\20\2\0\23\0X\4*I\30\0\12\0\10\0\0\0Z\0\15\0\0\0\220\0\11\0\0\0\302\0\14\0\0\0&\3$\0\0\0P\3\15\200\0\0\202\3\20\0\0\0\234\3\2\0\0\0\266\3\3\0\0\0\320\3\24\0\0\0\352\3\377\377\33\3\4\0\31\0\0\0\1\0K\HI\4\0\0\0\1\0\0\0\0\0\23\0\316\376[\10\[\26\3\10\0K\F\\4\0\4\0\21\0\322\377[\10\10[/Z\0\0\0\0\0\0\0\0\300\0\0\0\0\0\0F!\3\0\0\31\0\0\0\1\0\377\377\377\377\0\0L\0\334\377\[\32\3\10\0\0\0\6\0\106\[\21\0\334\377/Z\0\4\2\0\0\0\0\0\300\0\0\0\0\0\0F!\3\0\0\31\0\0\0\1\0\377\377\377\377\0\0L\0\334\377\[\32\3\10\0\0\0\6\0\106\[\21\0\334\377+\11\7\0\370\377\1\0\2\0\20\0/\0\24\0\0\0\13\200\3\0\0\0\10\200\21\0\0\0\1\200\2\0\0\0\6\200\4\0\0\0\12\200\5\0\0\0\14\200\13\0\0\0\6\200\12\0\0\0\10\200\6\0\0\0\250\375\7\0\0\0\14\200\10\0\0\0\334\0\15\0\0\0\332\0\11\0\0\0\346\0\0 \0", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \\23\10%\/Z\0\0\0\0\0\0\0\0\300\0\0\0\0\0\0F/Z\0\4\2\0\0\0\0\0\300\0\0\0\0\0\0F/Z\14\0\0\0\0\0\0\0\300\0\0\0\0\0\0F/Z\13\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\23\0\24\0/Z\14\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\32\3\24\0\0\0\14\0L\0\372\376L\0\340\377\[\23\20\2\0\23\0X\4*I\30\0\12\0\10\0\0\0Z\0\15\0\0\0\220\0\11\0\0\0\302\0\14\0\0\0&\3$\0\0\0P\3\15\200\0\0\202\3\20\0\0\0\234\3\2\0\0\0\266\3\3\0\0\0\320\3\24\0\0\0\352\3\377\377\33\3\4\0\31\0\0\0\1\0K\HI\4\0\0\0\1\0\0\0\0\0\23\0\316\376[\10\[\26\3\10\0K\F\\4\0\4\0\21\0\322\377[\10\10[/Z\0\0\0\0\0\0\0\0\300\0\0\0\0\0\0F!\3\0\0\31\0\0\0\1\0\377\377\377\377\0\0L\0\334\377\[\32\3\10\0\0\0\6\0\106\[\21\0\334\377/Z\0\4\2\0\0\0\0\0\300\0\0\0\0\0\0F!\3\0\0\31\0\0\0\1\0\377\377\377\377\0\0L\0\334\377\[\32\3\10\0\0\0\6\0\106\[\21\0\334\377+\11\7\0\370\377\1\0\2\0\20\0/\0\24\0\0\0\13\200\3\0\0\0\10\200\21\0\0\0\1\200\2\0\0\0\6\200\4\0\0\0\12\200\5\0\0\0\14\200\13\0\0\0\6\200\12\0\0\0\10\200\6\0\0\0\250\375\7\0\0\0\14\200\10\0\0\0\334\0\15\0\0\0\332\0\11\0\0\0\346\0\0 \0", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03747   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "V\275\251\15\346\24\0\200", ) , ) == 0x0
 03748   896   NtReadFile  (192, 0, 0, 0, 5350, 0x0, 0, ... {status=0x0, info=5350},  (192, 0, 0, 0, 5350, 0x0, 0, ... {status=0x0, info=5350}, "n\271]\24\253\362\245o\31\10\2361?\2137!\4\304\244\365\247\364\6\266$\2536\310A\224'Y\210\262\270,\367[6\263d\230\214\211\302\363\220\34C\337c\23\262\336\33\361\261\245\340\226w\210}BX\34\0\6\244ZY\321\4\271.\213\345%Y\372\226\3\34\350\333t\313.A\207e\305\352\374\373\245|\220\306V\266z\201\221\244\276\206\31\\4<\261\236K\321\34\274\214\226\227\204i[\16r\240ks_\26n\321\245\250\305\226_[T&u\310}\362T\204\10\204w\265\255\312\234\276\22\20\350\14&\4.\370\224\356\246\241\247\331\266H\265\5f\22C\326\223\250\202\341\330\224iz\245\3108\12\211\241\235\370P\6%\304FbB#!&\24\242\255 \12\353\25\32U=C\307\361\23\23:.A\301\22\13#\32\342\1!\31\374H\305\205R\227\34%7\4K0\240\260\10\210\207\201@q\6\24UE\301\1\24\23<\310@+\325\341\21\20\23a\3018C\12\246\2400\340\211\14eVBj\251\370\255k\23\257@\252\242\302#(\230\216\342\202(\327~\257\210\21%P\342\36\336\325\200^\22\224)e\312\2312\325y\347Y\230`\257\264KAm8\15\237Rd\225\34\231\31\255\16*\306\201\22\264\222|j\273n\330\251-\244\306W\350\237\321\232mih\364\273\315\366oOtR\260DA\3271~\250*\2443q\262D\372\32\220\340\307t\222\370\336\30a\325\273\23mV\377\342\360\247\267\276-\15V\310ZH\326\250WD\251\244\250D2-J-*y\257\235J\220\274\31\307\307\222\225\231\12z\274\255}N\315\314pIM\254\321\356\226\15f\221"\2100<\35}Z)\2642\203g\32N\333\370\352\206\252\345\205\303\235\20%%G\324HF\203&\2\352\247\315l\366~\346\276\253\333\252", ) \2100<\35}Z)\2642\203g\32N\333\370\352\206\252\345\205\303\235\20%%G\324HF\203&\2\352\247\315l\366~\346\276\253\333\252", ) == 0x0
 03749   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "w\5\0\0\0\0\0\0\0\350\300)w\342\300)w\252\4\35w\334\300)w\374\3\35w\372?\35w\326\300)w\320\300)w\312\300)w\304\300)w\3600\321>1\0\0\350E\34w:\371\33wnk\34w\0\0\0\0\0\0\0\0\0\0\0\0\350E\34w\0\0\0\0:\371\33wnk\34w\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0,\340\33w\224k\34w\6\0\0\0\0\0\0\0\350\300)w\342\300)w\252\4\35w\334\300)w\374\3\35w\372?\35w\326\300)w\320\300)w\312\300)w\304\300)wb1\2061\2521\0\0\350E\34w:\371\33w\346k\34w\0\0\0\0\0\0\0\0\0\0\0\0\350E\34w\0\0\0\0:\371\33w\346k\34w\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0|\340\33w\14l\34w\6\0\0\0\0\0\0\0\350\300)w\342\300)w\252\4\35w\334\300)w\374\3\35w\372?\35w\326\300)w\320\300)w\312\300)w\304\300)w\2260\3000\3161\0\0\350E\34w:\371\33w^l\34w\0\0\0\0\0\0\0\0\0\0\0\0\350E\34w\0\0\0\0:\371\33w^l\34w\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\254\340\33w\204l\34w\6\0\0\0\0\0\0\0\350\300)w\342\300)w\252\4\35w\334\300)w\374\3\35w\372?\35w\326\300)w\320\300)w\312\300)w\304\300)w\3701"2\350E\34w:\371\33w\326l\34w\0\0\0\0\0\0\0\0\0\0\0\0\350E\34w\0\0\0\0:\371\33w\326l\34w\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\274\340\33w\370l\34w\5\0\0\0\0\0\0\0\350\300)w\342\300)w\252\4\35w\334\300)", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) 2\350E\34w:\371\33w\326l\34w\0\0\0\0\0\0\0\0\0\0\0\0\350E\34w\0\0\0\0:\371\33w\326l\34w\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\274\340\33w\370l\34w\5\0\0\0\0\0\0\0\350\300)w\342\300)w\252\4\35w\334\300)", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03750   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\312\33\256\330x\36\0\200", ) , ) == 0x0
 03751   896   NtReadFile  (192, 0, 0, 0, 7800, 0x0, 0, ... {status=0x0, info=7800},  (192, 0, 0, 0, 7800, 0x0, 0, ... {status=0x0, info=7800}, "`!\354(+|LT\304\2615\312\10\373\310\21\371/'\272&\360\5m\261\374t\341\11<6+\352F\342\337\202\224\336P\354\6\360\326$s\336\311\372\10\272\21\34\245\377vl\337\222"\336\312\226\371\262\330y\363\323z\222%\250\376:\31\365\245J\23r-\37\206\255\306\24\272\0z\324>\312\251\332\352z\31`\9\303\275,~\220\325"\31R;\320\30\322\250\322\347\20Ap:~\250\264\377/\16\361!\231\231L\252U\335\316U\177y\33`\220\247\334\344\227lm0\276\21\250Q\265\334?\302\236?\340\313\12\202U\233\332\211\363\246\342k#}b)\267\27\225\212\353\37\377K\262\230\336\344(\323\354?j\276\327>!\367\33\316\200[=\211W\351{\12`\253\246\37\270\311\230S\344_&;hd\374<\3601\343\367\221\244i'\31%\2032\15$\261\300\370%\11\274\227\210\267"Oq?\213\241\21\336~\361]\212%&\363+\262\264\361\317.}_\24\355\323|\261\326$\355v,\270\217}WN\212\274t_\205o\4\3432\200H},\330"\17}\365s#A\350\250\337\302\367\254w\216\361\252B\256\366\205l\314\363<\372G\303\306q\343\23\316\233~\22\256\332<\367\272\202\246\343\36\36\342\211\14\260\264U\177YT5\246\224\342\35\242\323'\344\375\251\362\351\25\277O\30Z\207\27U\207\227E\214\342\177\201Fm\370}Z\374\374Ue\303\247~|\20ny\277\227\321{\345\366}\3230\260[\376\211UE\\262_\320\223\310\364\343\332\356!\312v\237\337\370y4\255\304{\227\266\7E\320C3CO4\202oV)s\2\217\5\234\213=\304\26\306H\335\7\364\216\235>\304D\322\375V\271\344\231\\11\232\211V\26yp\\270\326\203\275L\363Vs'\230%lQ\215\356\200", ) \336\312\226\371\262\330y\363\323z\222%\250\376:\31\365\245J\23r-\37\206\255\306\24\272\0z\324>\312\251\332\352z\31`\9\303\275,~\220\325 (192, 0, 0, 0, 7800, 0x0, 0, ... {status=0x0, info=7800}, "`!\354(+|LT\304\2615\312\10\373\310\21\371/'\272&\360\5m\261\374t\341\11<6+\352F\342\337\202\224\336P\354\6\360\326$s\336\311\372\10\272\21\34\245\377vl\337\222"\336\312\226\371\262\330y\363\323z\222%\250\376:\31\365\245J\23r-\37\206\255\306\24\272\0z\324>\312\251\332\352z\31`\9\303\275,~\220\325"\31R;\320\30\322\250\322\347\20Ap:~\250\264\377/\16\361!\231\231L\252U\335\316U\177y\33`\220\247\334\344\227lm0\276\21\250Q\265\334?\302\236?\340\313\12\202U\233\332\211\363\246\342k#}b)\267\27\225\212\353\37\377K\262\230\336\344(\323\354?j\276\327>!\367\33\316\200[=\211W\351{\12`\253\246\37\270\311\230S\344_&;hd\374<\3601\343\367\221\244i'\31%\2032\15$\261\300\370%\11\274\227\210\267"Oq?\213\241\21\336~\361]\212%&\363+\262\264\361\317.}_\24\355\323|\261\326$\355v,\270\217}WN\212\274t_\205o\4\3432\200H},\330"\17}\365s#A\350\250\337\302\367\254w\216\361\252B\256\366\205l\314\363<\372G\303\306q\343\23\316\233~\22\256\332<\367\272\202\246\343\36\36\342\211\14\260\264U\177YT5\246\224\342\35\242\323'\344\375\251\362\351\25\277O\30Z\207\27U\207\227E\214\342\177\201Fm\370}Z\374\374Ue\303\247~|\20ny\277\227\321{\345\366}\3230\260[\376\211UE\\262_\320\223\310\364\343\332\356!\312v\237\337\370y4\255\304{\227\266\7E\320C3CO4\202oV)s\2\217\5\234\213=\304\26\306H\335\7\364\216\235>\304D\322\375V\271\344\231\\11\232\211V\26yp\\270\326\203\275L\363Vs'\230%lQ\215\356\200", ) Oq?\213\241\21\336~\361]\212%&\363+\262\264\361\317.}_\24\355\323|\261\326$\355v,\270\217}WN\212\274t_\205o\4\3432\200H},\330 (192, 0, 0, 0, 7800, 0x0, 0, ... {status=0x0, info=7800}, "`!\354(+|LT\304\2615\312\10\373\310\21\371/'\272&\360\5m\261\374t\341\11<6+\352F\342\337\202\224\336P\354\6\360\326$s\336\311\372\10\272\21\34\245\377vl\337\222"\336\312\226\371\262\330y\363\323z\222%\250\376:\31\365\245J\23r-\37\206\255\306\24\272\0z\324>\312\251\332\352z\31`\9\303\275,~\220\325"\31R;\320\30\322\250\322\347\20Ap:~\250\264\377/\16\361!\231\231L\252U\335\316U\177y\33`\220\247\334\344\227lm0\276\21\250Q\265\334?\302\236?\340\313\12\202U\233\332\211\363\246\342k#}b)\267\27\225\212\353\37\377K\262\230\336\344(\323\354?j\276\327>!\367\33\316\200[=\211W\351{\12`\253\246\37\270\311\230S\344_&;hd\374<\3601\343\367\221\244i'\31%\2032\15$\261\300\370%\11\274\227\210\267"Oq?\213\241\21\336~\361]\212%&\363+\262\264\361\317.}_\24\355\323|\261\326$\355v,\270\217}WN\212\274t_\205o\4\3432\200H},\330"\17}\365s#A\350\250\337\302\367\254w\216\361\252B\256\366\205l\314\363<\372G\303\306q\343\23\316\233~\22\256\332<\367\272\202\246\343\36\36\342\211\14\260\264U\177YT5\246\224\342\35\242\323'\344\375\251\362\351\25\277O\30Z\207\27U\207\227E\214\342\177\201Fm\370}Z\374\374Ue\303\247~|\20ny\277\227\321{\345\366}\3230\260[\376\211UE\\262_\320\223\310\364\343\332\356!\312v\237\337\370y4\255\304{\227\266\7E\320C3CO4\202oV)s\2\217\5\234\213=\304\26\306H\335\7\364\216\235>\304D\322\375V\271\344\231\\11\232\211V\26yp\\270\326\203\275L\363Vs'\230%lQ\215\356\200", ) , ) == 0x0
 03752   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\353\23\300;\306t#\215Q@92t\22d\241\30\0\0\0\213\200\200\17\0\0\213\10\3\12\353\23\311\350\234\376\377\377\213M\374\215Q092t\25d\241\30\0\0\0\213\200\200\17\0\0\213\0\3\2\213M\374\353\23\300;\306t#\215Q092t\22d\241\30\0\0\0\213\200\200\17\0\0\213\10\3\12\353\23\311\350\214\374\377\377\213M\374\215A\14\367\331\33\311#\310\203\301\4\350\25\0\0\0\213M\374\215A$\367\331\33\311#\310Q\350\317\375\377\377^\311\303\307\1\254\220\34w\303U\213\354Q\211M\374\307\1PbSt\213M\374\213A\10$ \366\330\33\300\251\2\1\3\200\17\214\222\0\0\0\215QX\203:\0t\25d\241\30\0\0\0\213\200\200\17\0\0\213\0\3\2\213M\374\353\23\300\205\300t+\215QX\203:\0t\25d\241\30\0\0\0\213\200\200\17\0\0\213\0\3\2\213M\374\353\23\300Q\215H`\350\325\375\377\377\213M\374\215QT\203:\0t\25d\241\30\0\0\0\213\200\200\17\0\0\213\0\3\2\213M\374\353\23\300\205\300t!\215QT\203:\0t\22d\241\30\0\0\0\213\200\200\17\0\0\213\10\3\12\353\23\311\350\6\31\15\0\311\303U\213\354\203}\20\0u\43\300\353WSV\2135\254\27\33wW\213}\14\377M\20t.\213E\10f\213\30f\205\333t#f;\37t\26\17\267\7P\377\326\17\267\313Q\211E\14\377\326\213M\14;\301u\10\203E\10\2GG\353\315\213E\10\17\267\0P\377\326\213\330\17\267\7P\377\326_+\330^\213\303[]\302\14\0U\213\354\213E\343\311V\213u\10\211\109N\34t\23d\241\30\0\0\0\213\200\200\17\0\0\213\0\3F\34\353\23\300\213\200|\2\0\0\203\370\2u\12\270\1\2\3", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03753   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "`\360'<2\37\0\200", ) , ) == 0x0
 03754   896   NtReadFile  (192, 0, 0, 0, 7986, 0x0, 0, ... {status=0x0, info=7986},  (192, 0, 0, 0, 7986, 0x0, 0, ... {status=0x0, info=7986}, "["&\274\223+\260\373\221\277\234\377\33\366\200,\275d\366[\352\222\305U\205\233\247\364{\357\207i\3758\347\352\302{\357\256\341@\214#|\305n\337\250\350;\27\265\\365\27\317\316\255Zu\224\246\I\3710>\15\361\206i\366\265\277\346z\234\271\336y\275\371\254T3\315\274\255\12\317\265\337\262\24\1`&\322\331\37\301\344Q<\16\276\322\351[SQ\375\0nm;\324q\271|\313\347ee\326\345\7\2346\266\360\342\321\336\262y[\257\332jx_&\311\365\341e\301H\26|\230k\225\337\341\345\256\17\347"\317\340\u\332\203\256\327\205\250\371\370\12\346\205U+t\347w\17\347J\353\330\341\255\15\271\335\177\6\241\325]m\370\303\365\305E\266K\365\12I\275r\337\351\244+\266\353\211g\331}\26\317d\203\276R\217\34cv\237\266\233xi\2\217\237\376\7\373c\374NK\272\367\177(\236\361\177\241.\322\372YdS\304\372\307\203\267\255 \2160\314\265\5Wx'\211\364\245\372\365\350\316\250\206\345G\344\212\364\213T\236\245?\215\234G7\357g-\5k\20\265\326\305\327\13*e\365`\202U\272\373\4\246d\265kh<\300\2574L\236:\5+\350\235\366\4\245\340\210\211\243\212\362q\224\234\354\251\273i\301\242\10.A\375\334\223\350\211\3612\314D,\336\206\37\321\37\24"X\363\370d\317?\276\2139U\37\310\342<\377\317b_k\254\327\224\253\301Hv_\202\31BiR\213G\331\357[V\361\374\365\225!\225\311\340Lc\335\246R\245\256\376\374\223\335M5\2459ZN\10=SaR\27\0\231'S", ) &\274\223+\260\373\221\277\234\377\33\366\200,\275d\366[\352\222\305U\205\233\247\364{\357\207i\3758\347\352\302{\357\256\341@\214#|\305n\337\250\350;\27\265\\365\27\317\316\255Zu\224\246\I\3710>\15\361\206i\366\265\277\346z\234\271\336y\275\371\254T3\315\274\255\12\317\265\337\262\24\1`&\322\331\37\301\344Q<\16\276\322\351[SQ\375\0nm;\324q\271|\313\347ee\326\345\7\2346\266\360\342\321\336\262y[\257\332jx_&\311\365\341e\301H\26|\230k\225\337\341\345\256\17\347206\227\362W\205 (192, 0, 0, 0, 7986, 0x0, 0, ... {status=0x0, info=7986}, "["&\274\223+\260\373\221\277\234\377\33\366\200,\275d\366[\352\222\305U\205\233\247\364{\357\207i\3758\347\352\302{\357\256\341@\214#|\305n\337\250\350;\27\265\\365\27\317\316\255Zu\224\246\I\3710>\15\361\206i\366\265\277\346z\234\271\336y\275\371\254T3\315\274\255\12\317\265\337\262\24\1`&\322\331\37\301\344Q<\16\276\322\351[SQ\375\0nm;\324q\271|\313\347ee\326\345\7\2346\266\360\342\321\336\262y[\257\332jx_&\311\365\341e\301H\26|\230k\225\337\341\345\256\17\347"\317\340\u\332\203\256\327\205\250\371\370\12\346\205U+t\347w\17\347J\353\330\341\255\15\271\335\177\6\241\325]m\370\303\365\305E\266K\365\12I\275r\337\351\244+\266\353\211g\331}\26\317d\203\276R\217\34cv\237\266\233xi\2\217\237\376\7\373c\374NK\272\367\177(\236\361\177\241.\322\372YdS\304\372\307\203\267\255 \2160\314\265\5Wx'\211\364\245\372\365\350\316\250\206\345G\344\212\364\213T\236\245?\215\234G7\357g-\5k\20\265\326\305\327\13*e\365`\202U\272\373\4\246d\265kh<\300\2574L\236:\5+\350\235\366\4\245\340\210\211\243\212\362q\224\234\354\251\273i\301\242\10.A\375\334\223\350\211\3612\314D,\336\206\37\321\37\24"X\363\370d\317?\276\2139U\37\310\342<\377\317b_k\254\327\224\253\301Hv_\202\31BiR\213G\331\357[V\361\374\365\225!\225\311\340Lc\335\246R\245\256\376\374\223\335M5\2459ZN\10=SaR\27\0\231'S", ) :\5+\350\235\366\4\245\340\210\211\243\212\362q\224\234\354\251\273i\301\242\10.A\375\334\223\350\211\3612\314D,\336\206\37\321\37\24 (192, 0, 0, 0, 7986, 0x0, 0, ... {status=0x0, info=7986}, "["&\274\223+\260\373\221\277\234\377\33\366\200,\275d\366[\352\222\305U\205\233\247\364{\357\207i\3758\347\352\302{\357\256\341@\214#|\305n\337\250\350;\27\265\\365\27\317\316\255Zu\224\246\I\3710>\15\361\206i\366\265\277\346z\234\271\336y\275\371\254T3\315\274\255\12\317\265\337\262\24\1`&\322\331\37\301\344Q<\16\276\322\351[SQ\375\0nm;\324q\271|\313\347ee\326\345\7\2346\266\360\342\321\336\262y[\257\332jx_&\311\365\341e\301H\26|\230k\225\337\341\345\256\17\347"\317\340\u\332\203\256\327\205\250\371\370\12\346\205U+t\347w\17\347J\353\330\341\255\15\271\335\177\6\241\325]m\370\303\365\305E\266K\365\12I\275r\337\351\244+\266\353\211g\331}\26\317d\203\276R\217\34cv\237\266\233xi\2\217\237\376\7\373c\374NK\272\367\177(\236\361\177\241.\322\372YdS\304\372\307\203\267\255 \2160\314\265\5Wx'\211\364\245\372\365\350\316\250\206\345G\344\212\364\213T\236\245?\215\234G7\357g-\5k\20\265\326\305\327\13*e\365`\202U\272\373\4\246d\265kh<\300\2574L\236:\5+\350\235\366\4\245\340\210\211\243\212\362q\224\234\354\251\273i\301\242\10.A\375\334\223\350\211\3612\314D,\336\206\37\321\37\24"X\363\370d\317?\276\2139U\37\310\342<\377\317b_k\254\327\224\253\301Hv_\202\31BiR\213G\331\357[V\361\374\365\225!\225\311\340Lc\335\246R\245\256\376\374\223\335M5\2459ZN\10=SaR\27\0\231'S", ) \370d\317?\276\2139U\37\310\342<\377\317b_k\254\327\224\253\301Hv_\202\31BiR\213G\331\357[V\361\374\365\225!\225\311\340Lc\335\246R\245\256\376\374\223\335M5\2459ZN\10=SaR\27\0\231'S", ) == 0x0
 03755   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\24\377u\20\377u\14\377p$\377\25(\23\33w\205\300u\16\377\25@\24\33wP\350\320o\14\0\353\23\300]\302\30\0U\213\354QVW\211M\374\203\301\4\2039\0j\2_t\22d\241\30\0\0\0\213\200\200\17\0\0\2130\31\353*3\366\353&\213M\10V\350dp\377\377\205\300u\37\213M\10\215FBP\350Tp\377\377\205\300u\23\213\316\350\333\272\14\0\213\360\205\366u\326\353\73\377\353\33\377G\213E\14\205\300t\2\2110\213\307_^\311\302\10\0U\213\354Q\211M\374\2039\0Vt\25d\241\30\0\0\0\213\200\200\17\0\0\2130\213E\374\30\353$3\366\353 \377u\10\215N \350\370o\377\377\205\300t\10\213F\24;E\14t\15\213\316\350g\260\14\0\213\360\205\366u\334\213\306^\311\302\10\0\213D$\4\205\300Vu\63\3663\322\353\7\213P\34\213p\30B\213D$\14\203`\20\0\211p\24\213t$\20P\211p\30\211P\34\350\25v\14\0^\302\14\0U\213\354VW\377u\10\213\361\350\355\0\0\0\213\370\205\377|\27\377u\10\215M\10\350F\310\12\0\213\0\203f|\0\377F\4\211Fx\213\307_^]\302\4\0U\213\354QQV\211M\374\2039\0Wt\25d\241\30\0\0\0\213\200\200\17\0\0\2130\213E\374\30\353\23\3663\377\205\366t"\213F\34\213M\10;A\34s\17\213\316\213\376\350\261\257\14\0\213\360\205\366u\346\205\366u(\205\377u\24\377u\10\215M\370\350\331\307\12\0\213\0\213M\374\211\1\353`\377u\10\213\317\350\34\205\14\0\213M\10W\353K\213M\10V\350\15\205\14\0\213\316\350\36u\14\0\213M\10P\350o\244\12\0\213\316\350\16u\14\0\205\300\377u\10t\20\213\316\350\0u\14\0\213\310\350\341", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \213F\34\213M\10;A\34s\17\213\316\213\376\350\261\257\14\0\213\360\205\366u\346\205\366u(\205\377u\24\377u\10\215M\370\350\331\307\12\0\213\0\213M\374\211\1\353`\377u\10\213\317\350\34\205\14\0\213M\10W\353K\213M\10V\350\15\205\14\0\213\316\350\36u\14\0\213M\10P\350o\244\12\0\213\316\350\16u\14\0\205\300\377u\10t\20\213\316\350\0u\14\0\213\310\350\341", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03756   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "a6\\266\220\34\0\200", ) , ) == 0x0
 03757   896   NtReadFile  (192, 0, 0, 0, 7312, 0x0, 0, ... {status=0x0, info=7312},  (192, 0, 0, 0, 7312, 0x0, 0, ... {status=0x0, info=7312}, "~\225\365\362\243\267\326\376\343\304T\26\313,Y\234\343.\227=\372\14\25\304fPm]\274Je\206\205\336\342\231\301%\314J\221G,X\205\350+\32\244[\366\220\210\254m\213\230,Ur\6\357\241\25\245b2\.\20\363%Z\201\260\211\364\353>s\3057\323\240x\14\201,\261\324\25\246V\210\7\23\210\210\2472H\3071\361k\246V\241"\36vF\264\7\302S\220{\326\237db\342F%M\213\267\24{\245\301\372\276n\374\206U>,\277\311\220s\334\233\213Y\236f\241+\372g'\251'w\3\6\210L\216\320\324\354[\226E\3766\264\210W\312m\210\206\21\265t,\21\14\20"\2@Eq*\210u]\211e\243D\13"\225z\241\262\214\323UkI\350\220#\211\17\377\222\210\264\345D\374E\260\13\241EE\212HJ\200\317\353?\4\214A\310\226c^s\21\213NTn[\274f"\24/\14Qd\275\3400\254E\246\262,;A,\306-\251\242oBIO\263\307\312)\32\361\311T\243\31}\356U{\220[\255E\216\246\266@\353\253\2D\130D;\244\270\374>\237\221\363\366\271\306\340\355\225Lc\274G>_\20`\230\364Q\216\275\272\342\217c|\3307\245\243\233t\255N/b\255a\373\254\7^\215\10\267,\37\251\264\213s\3114+j\243z\363g\7\275\17\307\254=\376\337\306\22=\261\27\266\11V\245`3\2305\363B<^J\274*b\313"X\301\16\17\237}\310\207\253\340\212%\342C\247\327\330\246\10B-U\30\233\232\375", ) \36vF\264\7\302S\220{\326\237db\342F%M\213\267\24{\245\301\372\276n\374\206U>,\277\311\220s\334\233\213Y\236f\241+\372g'\251'w\3\6\210L\216\320\324\354[\226E\3766\264\210W\312m\210\206\21\265t,\21\14\20 (192, 0, 0, 0, 7312, 0x0, 0, ... {status=0x0, info=7312}, "~\225\365\362\243\267\326\376\343\304T\26\313,Y\234\343.\227=\372\14\25\304fPm]\274Je\206\205\336\342\231\301%\314J\221G,X\205\350+\32\244[\366\220\210\254m\213\230,Ur\6\357\241\25\245b2\.\20\363%Z\201\260\211\364\353>s\3057\323\240x\14\201,\261\324\25\246V\210\7\23\210\210\2472H\3071\361k\246V\241"\36vF\264\7\302S\220{\326\237db\342F%M\213\267\24{\245\301\372\276n\374\206U>,\277\311\220s\334\233\213Y\236f\241+\372g'\251'w\3\6\210L\216\320\324\354[\226E\3766\264\210W\312m\210\206\21\265t,\21\14\20"\2@Eq*\210u]\211e\243D\13"\225z\241\262\214\323UkI\350\220#\211\17\377\222\210\264\345D\374E\260\13\241EE\212HJ\200\317\353?\4\214A\310\226c^s\21\213NTn[\274f"\24/\14Qd\275\3400\254E\246\262,;A,\306-\251\242oBIO\263\307\312)\32\361\311T\243\31}\356U{\220[\255E\216\246\266@\353\253\2D\130D;\244\270\374>\237\221\363\366\271\306\340\355\225Lc\274G>_\20`\230\364Q\216\275\272\342\217c|\3307\245\243\233t\255N/b\255a\373\254\7^\215\10\267,\37\251\264\213s\3114+j\243z\363g\7\275\17\307\254=\376\337\306\22=\261\27\266\11V\245`3\2305\363B<^J\274*b\313"X\301\16\17\237}\310\207\253\340\212%\342C\247\327\330\246\10B-U\30\233\232\375", ) \225z\241\262\214\323UkI\350\220#\211\17\377\222\210\264\345D\374E\260\13\241EE\212HJ\200\317\353?\4\214A\310\226c^s\21\213NTn[\274f25\260\242\223\236\337{\27\252\24HD\13\253E\213HM`\261X5h\211\321u\244\2664IB&\2663r\246\21\203\371\16D\217\363I\325u\254\246\6\376\4\262I\22-\21\270\376f\376h\225\311 (192, 0, 0, 0, 7312, 0x0, 0, ... {status=0x0, info=7312}, "~\225\365\362\243\267\326\376\343\304T\26\313,Y\234\343.\227=\372\14\25\304fPm]\274Je\206\205\336\342\231\301%\314J\221G,X\205\350+\32\244[\366\220\210\254m\213\230,Ur\6\357\241\25\245b2\.\20\363%Z\201\260\211\364\353>s\3057\323\240x\14\201,\261\324\25\246V\210\7\23\210\210\2472H\3071\361k\246V\241"\36vF\264\7\302S\220{\326\237db\342F%M\213\267\24{\245\301\372\276n\374\206U>,\277\311\220s\334\233\213Y\236f\241+\372g'\251'w\3\6\210L\216\320\324\354[\226E\3766\264\210W\312m\210\206\21\265t,\21\14\20"\2@Eq*\210u]\211e\243D\13"\225z\241\262\214\323UkI\350\220#\211\17\377\222\210\264\345D\374E\260\13\241EE\212HJ\200\317\353?\4\214A\310\226c^s\21\213NTn[\274f"\24/\14Qd\275\3400\254E\246\262,;A,\306-\251\242oBIO\263\307\312)\32\361\311T\243\31}\356U{\220[\255E\216\246\266@\353\253\2D\130D;\244\270\374>\237\221\363\366\271\306\340\355\225Lc\274G>_\20`\230\364Q\216\275\272\342\217c|\3307\245\243\233t\255N/b\255a\373\254\7^\215\10\267,\37\251\264\213s\3114+j\243z\363g\7\275\17\307\254=\376\337\306\22=\261\27\266\11V\245`3\2305\363B<^J\274*b\313"X\301\16\17\237}\310\207\253\340\212%\342C\247\327\330\246\10B-U\30\233\232\375", ) X\301\16\17\237}\310\207\253\340\212%\342C\247\327\330\246\10B-U\30\233\232\375", ) == 0x0
 03758   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "W\215\205\20\376\377\377P\215F\14P\377\25(\24\33w\211>\203\306\4\203&\0\203\306\4\211>\215t~\4_\353\34hj\0\4\200\377\25\264\25\33w\307\6WdtH\17\267\0\203\306\4\211\6\203\306\4\213\306^\311\302\14\0U\213\354W\213}\20\205\377u\10\213E\14\351K\1\0\0\213\7S\213]\14\203\303\3\203\343\374\211\3\203\303\4\203?\0t\10\213G\4\211\3\203\303\4\213G\10V\211\3\215w\4\203\303\4\203>\0\17\204\371\0\0\0W\377u\10\350\377x\7\0\213\17\213\301H\17\204\331\0\0\0H\17\204\223\0\0\0HHto\203\350\4tj\203\350\10t,\203\350\20t\30\203\350 \17\205\302\0\0\0VS\377u\10\350\375n\7\0\351\261\0\0\0VS\377u\10\350S\375\377\377\351\242\0\0\0\3776\377\25\254\21\33w\211\3\203\303\4\203\350\5t\33HHt\13hi\0\4\200\377\25\264\25\33wVS\377u\10\350\257j\7\0\353uVS\377u\10\350\267s\7\0\353i\203\371\4\270\314\330\33wt\5\270\354\330\33wP\3776\213E\10S\3770P\350\355\365\14\0\353I\213\6\205\300t\12P\377\25h\24\33w@\353\23\300\211\3\203\303\4\203#\0\203\303\4\211\3\2136\3\300\213\310\213\321\301\351\2\203\303\4\213\373\363\245\213\312\203\341\3\363\244\213}\20\3\330\353\14VS\377u\10\350\5"\1\0\213\330\213\177\10\205\377^t\24\213E\10h\\327\33wWS\3770P\350\206\365\14\0\213\330\213\303[_]\302\14\0U\213\354\213E\20\205\300u\10\213E\14\351\364\0\0\0SV\213u\14\203\306\3\203\346\374\2038\0Wu\5\203\306\10\353\3\203\306\14\213]\10\215x\4\203?\0\17\204\254\0\0\0PS\350\252w\7\0\213E\20\213\10\213\301", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \1\0\213\330\213\177\10\205\377^t\24\213E\10h\\327\33wWS\3770P\350\206\365\14\0\213\330\213\303[_]\302\14\0U\213\354\213E\20\205\300u\10\213E\14\351\364\0\0\0SV\213u\14\203\306\3\203\346\374\2038\0Wu\5\203\306\10\353\3\203\306\14\213]\10\215x\4\203?\0\17\204\254\0\0\0PS\350\252w\7\0\213E\20\213\10\213\301", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03759   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\3629\316N\360\21\0\200", ) , ) == 0x0
 03760   896   NtReadFile  (192, 0, 0, 0, 4592, 0x0, 0, ... {status=0x0, info=4592},  (192, 0, 0, 0, 4592, 0x0, 0, ... {status=0x0, info=4592}, "\355"\21433\321Y\353\345\204#\322\364*\334,\22z\342K\303\201ou\371l\10\16\354d\251t\202R\3\232\250\13\344{D\231\7d\347\250\365\334$\225sD\265\37\327\37\341}\315+s#\225w\n\337\20\247T\350[^\213\0\233F\363\333dy\264\177[\215k\363\331\\30y\31\316\253\333\373\17D\247\2;9\3106\30n\224\11\5#\313\22\346\221\204\13\271\376\6\243O\256s\375\233H m\327\37m\303\213[\322h\253\340\231$\242\238?\17\34\212\320\326\313\205\252\5\343\325\364Od\315\3377X\255\366#\336\301{\217;)\371=\207w\346\242\353\226!\277%c\337\362\346\37\373\327=\271\346c\24\]i\12B?4)$9\32\356\4\34;kM\313\265\302p\36\317\36f9\353\315\332\343\222G\227\352*\2051k\341\250\243\374Q\25=\271\265\5\236W\26\36\5\361uA\16\334\27\344~\34\3338t8\6\222\2\311d\274\3542Y\266\325\264\305\335\264m\315\312\245\300\241\20B!\204\325\27\341\373\20B6\204\307\266\232\227d\235\320\236\313'#\253*\242\36\352H\312\363\275\205\366\20\5\231\246V\13Y+\224$\227@\277\211\31^\3436N~\221(\16\257b&\316\345Q\16\302\261\200C\227\217\3y\6\267"-e\374\6\314\360\234=\332\312\235\264\206kI\231\25\323\351\222er\253\226\300CK/\31\340\200\32\227\376\340"^\336.\223\33\326\3154[\300\252\253\267-\329$O\270,pf\361.\335\362\301o#eb\203\321y\243-\276#\305\0\373-\262\244\21\250X\334\221c\202hl\350i\25\17E\20N\342Rp\237 \36\331\31\207\331;\26\205\263q\323\347)\242\220\322\232\357Y\344^]\360\306;\335\216\210q\317\274\305\261\3478f9\224\355\266", ) \21433\321Y\353\345\204#\322\364*\334,\22z\342K\303\201ou\371l\10\16\354d\251t\202R\3\232\250\13\344{D\231\7d\347\250\365\334$\225sD\265\37\327\37\341}\315+s#\225w\n\337\20\247T\350[^\213\0\233F\363\333dy\264\177[\215k\363\331\\30y\31\316\253\333\373\17D\247\2;9\3106\30n\224\11\5#\313\22\346\221\204\13\271\376\6\243O\256s\375\233H m\327\37m\303\213[\322h\253\340\231$\242\238?\17\34\212\320\326\313\205\252\5\343\325\364Od\315\3377X\255\366#\336\301{\217;)\371=\207w\346\242\353\226!\277%c\337\362\346\37\373\327=\271\346c\24\]i\12B?4)$9\32\356\4\34;kM\313\265\302p\36\317\36f9\353\315\332\343\222G\227\352*\2051k\341\250\243\374Q\25=\271\265\5\236W\26\36\5\361uA\16\334\27\344~\34\3338t8\6\222\2\311d\274\3542Y\266\325\264\305\335\264m\315\312\245\300\241\20B!\204\325\27\341\373\20B6\204\307\266\232\227d\235\320\236\313'#\253*\242\36\352H\312\363\275\205\366\20\5\231\246V\13Y+\224$\227@\277\211\31^\3436N~\221(\16\257b&\316\345Q\16\302\261\200C\227\217\3y\6\267 (192, 0, 0, 0, 4592, 0x0, 0, ... {status=0x0, info=4592}, "\355"\21433\321Y\353\345\204#\322\364*\334,\22z\342K\303\201ou\371l\10\16\354d\251t\202R\3\232\250\13\344{D\231\7d\347\250\365\334$\225sD\265\37\327\37\341}\315+s#\225w\n\337\20\247T\350[^\213\0\233F\363\333dy\264\177[\215k\363\331\\30y\31\316\253\333\373\17D\247\2;9\3106\30n\224\11\5#\313\22\346\221\204\13\271\376\6\243O\256s\375\233H m\327\37m\303\213[\322h\253\340\231$\242\238?\17\34\212\320\326\313\205\252\5\343\325\364Od\315\3377X\255\366#\336\301{\217;)\371=\207w\346\242\353\226!\277%c\337\362\346\37\373\327=\271\346c\24\]i\12B?4)$9\32\356\4\34;kM\313\265\302p\36\317\36f9\353\315\332\343\222G\227\352*\2051k\341\250\243\374Q\25=\271\265\5\236W\26\36\5\361uA\16\334\27\344~\34\3338t8\6\222\2\311d\274\3542Y\266\325\264\305\335\264m\315\312\245\300\241\20B!\204\325\27\341\373\20B6\204\307\266\232\227d\235\320\236\313'#\253*\242\36\352H\312\363\275\205\366\20\5\231\246V\13Y+\224$\227@\277\211\31^\3436N~\221(\16\257b&\316\345Q\16\302\261\200C\227\217\3y\6\267"-e\374\6\314\360\234=\332\312\235\264\206kI\231\25\323\351\222er\253\226\300CK/\31\340\200\32\227\376\340"^\336.\223\33\326\3154[\300\252\253\267-\329$O\270,pf\361.\335\362\301o#eb\203\321y\243-\276#\305\0\373-\262\244\21\250X\334\221c\202hl\350i\25\17E\20N\342Rp\237 \36\331\31\207\331;\26\205\263q\323\347)\242\220\322\232\357Y\344^]\360\306;\335\216\210q\317\274\305\261\3478f9\224\355\266", ) ^\336.\223\33\326\3154[\300\252\253\267-\329$O\270,pf\361.\335\362\301o#eb\203\321y\243-\276#\305\0\373-\262\244\21\250X\334\221c\202hl\350i\25\17E\20N\342Rp\237 \36\331\31\207\331;\26\205\263q\323\347)\242\220\322\232\357Y\344^]\360\306;\335\216\210q\317\274\305\261\3478f9\224\355\266", ) == 0x0
 03761   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "_\213F\10\205\300t\27j \215H\4\350\226\253\3\0\213F\10\213\10P\377Q\10\203f\10\0^\302\4\0\377\25\350\23\33w9\5\200O+wu;\3775\204O+w\377\25d\27\33w\205\300t$\3775\204O+w\307\5\210O+w\1\0\0\0\377\25\344\27\33w\203%\210O+w\0\203%\204O+w\0\203%\200O+w\0\303U\213\354W3\3779}\14t\12WWj\1W\350q\374\1\0V\213u\10\213\6\366@\14 \17\205'\1\0\0\203H\14 \213\6\366@\14\200S\273hA+wtP\377u\14\350+\1\2\0\205\300u\13\2136\203f\14\337\351\375\0\0\0\213\6\213H<\350H\334\2\0\213\6\211x<\213\6\213@P\213\10P\377Q\10\213\6\211xP\350D\377\377\377\203= A+w\1u\5\350\30\315\4\0h A+w\353y\213\313\350\305h\376\377\203=\34A+w\1t\27\203=\30A+w\2uE9}\14u@\350\10\215\4\0\205\300t7\213\313\350\23\351\1\0\377u\14\350\255\0\2\0\205\300t\315\213\15(A+w\350\324\333\2\0\241\300H+w\211=(A+w\213\10P\377Q\10\211=\300H+w\353\21W\350\12\356\2\0\213\6\213@P\213\10P\377Q\10\213\6\211xPh\34A+w\377\25p\24\33w9}\14u\16\203=\30A+w\1u\5\350\301\374\377\377h\30A+w\377\25p\24\33w\213\313\350\235\350\1\0WW\350H\375\377\377W\350\376\212\377\377\213\6\213H\14\203\341\2\203\311\1\211H\14\213\6\211x\30[9}\14^t\11WWWW\350+\373\1\0_]\302\10\0VW3\377d\241\30\0\0\0\213\200\200\17\0\0\215\260\234\0\0\0\213\6\205\300t\23P\377\25\344\27\33w\205\300u\5", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03762   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\247\15\24\201<\17\0\200", ) , ) == 0x0
 03763   896   NtReadFile  (192, 0, 0, 0, 3900, 0x0, 0, ... {status=0x0, info=3900},  (192, 0, 0, 0, 3900, 0x0, 0, ... {status=0x0, info=3900}, "\302\3\24?\2719\345\352:G\165\376\11\224:h\31\357\242\225\341#\351fd\10\362\361\324\316\360\377\304/Z\371!\235\375'6\207&6\347\17{\17/\255\227\4Bx2f6\232\241\360\236\16\250\365\31\272\237\177\12\14GU\237r\370\276\37\32\371\27\237\3116\2=\264\2\345Dt8\217\35\347\\240\211z\2569=\23_3[\263\223\274'Q\3203\257\221,\311W\345\356/\35\347U\213\7\351\247\25Z\357\223\307OA\2447\316W$hM(7\355\347\261^O\203P\320\223\261\2016E=!\264\3646\361G8B\177\303\221\2077\345\306\352\34\200w\253\376\254\332t\333\243\16\346\27y\240\201\356v\354\314\272\326\321/\207\353LS\217G\262\230\36\243\315\203\3332"\340\237DKN\314\262&\373[\201\15\263d\230\272\350\311\351\334\241\272\230\370\346=X\314\215K\337\363\3348\17\22b?\221\254\320\213\275\11\303\336\232\207F\33\202\17\27-\336\346\202x\217q\226\277\347\232\5\222M\222\200\23\3YC\215\224S2;\250\347%s)\236J\37<\324\300\255\345\241\367V\22\210X\347=\201\270\2201\232\342\2\234\363\366i\327%7\3613\264f0V\310Un\222\365\313~-\200\36\24\215\264\362\365\304\300J\274i\264,\232;tN\34\264p\363\325\226\251+\313r"\341\11(\240\334i\354D\324EA\227\213\226)32r.\334ON\16\21\254\236\31\361{\346\35&L74\4-e\246{\2372\217\301\326Aa\213X\202^\264\222\346\312\354(v\321\232\304`K\342+E\241\3W\316\214\177;\236\310\277\241\17\210\361\317?\240\3222\321)SyY\231\0^\365\310T^d<\303\351\255\262\255\202x\224\350\325\312O\306^1\7\316\2364\3163\327\337\225\326\34r|", ) \340\237DKN\314\262&\373[\201\15\263d\230\272\350\311\351\334\241\272\230\370\346=X\314\215K\337\363\3348\17\22b?\221\254\320\213\275\11\303\336\232\207F\33\202\17\27-\336\346\202x\217q\226\277\347\232\5\222M\222\200\23\3YC\215\224S2;\250\347%s)\236J\37<\324\300\255\345\241\367V\22\210X\347=\201\270\2201\232\342\2\234\363\366i\327%7\3613\264f0V\310Un\222\365\313~-\200\36\24\215\264\362\365\304\300J\274i\264,\232;tN\34\264p\363\325\226\251+\313r (192, 0, 0, 0, 3900, 0x0, 0, ... {status=0x0, info=3900}, "\302\3\24?\2719\345\352:G\165\376\11\224:h\31\357\242\225\341#\351fd\10\362\361\324\316\360\377\304/Z\371!\235\375'6\207&6\347\17{\17/\255\227\4Bx2f6\232\241\360\236\16\250\365\31\272\237\177\12\14GU\237r\370\276\37\32\371\27\237\3116\2=\264\2\345Dt8\217\35\347\\240\211z\2569=\23_3[\263\223\274'Q\3203\257\221,\311W\345\356/\35\347U\213\7\351\247\25Z\357\223\307OA\2447\316W$hM(7\355\347\261^O\203P\320\223\261\2016E=!\264\3646\361G8B\177\303\221\2077\345\306\352\34\200w\253\376\254\332t\333\243\16\346\27y\240\201\356v\354\314\272\326\321/\207\353LS\217G\262\230\36\243\315\203\3332"\340\237DKN\314\262&\373[\201\15\263d\230\272\350\311\351\334\241\272\230\370\346=X\314\215K\337\363\3348\17\22b?\221\254\320\213\275\11\303\336\232\207F\33\202\17\27-\336\346\202x\217q\226\277\347\232\5\222M\222\200\23\3YC\215\224S2;\250\347%s)\236J\37<\324\300\255\345\241\367V\22\210X\347=\201\270\2201\232\342\2\234\363\366i\327%7\3613\264f0V\310Un\222\365\313~-\200\36\24\215\264\362\365\304\300J\274i\264,\232;tN\34\264p\363\325\226\251+\313r"\341\11(\240\334i\354D\324EA\227\213\226)32r.\334ON\16\21\254\236\31\361{\346\35&L74\4-e\246{\2372\217\301\326Aa\213X\202^\264\222\346\312\354(v\321\232\304`K\342+E\241\3W\316\214\177;\236\310\277\241\17\210\361\317?\240\3222\321)SyY\231\0^\365\310T^d<\303\351\255\262\255\202x\224\350\325\312O\306^1\7\316\2364\3163\327\337\225\326\34r|", ) , ) == 0x0
 03764   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\215^\\213\313\350\243\331\12\0\215O\\211M\14\350\230\331\12\0f\213FHf;GHu\23\377w,\377v,\377\25\24\24\33w\205\300u\3!E\374\213M\14\350\201\331\12\0\213\313\350z\331\12\0\213E\374[^_\311\302\10\0U\213\354QQSV\213\361W3\333\215~l\213\7;\303\211]\374\211]\370t\23\213\10P\377Q\10\203N8\4\211\37\307E\370\1\0\0\09^htu9]\10t\10\213E\10\211E\374\353\30\215U\374Rj\1\215F\34\213\10j\1P\377Q \205\300uS\213E\374\213\10W\377vhP\377QL\205\300t\16\213\7;\303t\10\213\10P\377Q\10\211\379]\10u\11\213E\374\213\10P\377Q\109\37t\13\203N8\4\307E\370\1\0\0\09]\370t\22\213\216\220\0\0\0;\313t\10\377vh\350\356\15\0\0_^[\311\302\4\0U\213\354QSV\213u\10\215N\W\211M\374\350\236\330\12\0\213]\20\205\333\17\204\324\0\0\0\350\370\253\4\0\205\300t\21j\4S\377\25X\24\33w\205\300\17\205\272\0\0\0\213}\14\203#\0W\350\372\372\375\377\205\300\17\204\246\0\0\0W\350fy\376\377\205\300\211E\20u\21j\1SWV\350\245\0\0\0\213\360\351\215\0\0\0\213\6\215M\10QWV\377PH=\356\1\4\200u\17\211;\213\7W\377P\4\276\345\1\4\0\353l\205\300}\5\203#\0\353\317\213E\10\17\267@4\213M\20\213y,\213v,\321\340\3\370\3\3603\300\353\14P\35032\1\0\205\300t\12FFf\213\6f\205\300u\354h\377\377\0\0V\350;2\1\0PW\350\235:\376\377\213\360\213E\10\213\10P\377Q\10\205\366u\11!3\276\16\0\7\200\353\13\21133\366\353\5\276W\0\7\200\213", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03765   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\317\202\37\6\264\13\0\200", ) , ) == 0x0
 03766   896   NtReadFile  (192, 0, 0, 0, 2996, 0x0, 0, ... {status=0x0, info=2996},  (192, 0, 0, 0, 2996, 0x0, 0, ... {status=0x0, info=2996}, "V\351g\1\31z\362(\357P\35\212\322\310(\336\266L\321\354\243h%j\312N\330A(b\203h\270\332\234}\300\36Sg\203\312\271\336\242\353\14\2KY\330\23\336\314)\354.\321\7.\34D>/?K\275\374\34\6\203^\271\217%qX\33\357HN;=?G\323=\352\34q\241\224\267\373\223\6\354\272\247\35>\7;5it&v\266\263M\354\226\207G\354\217\206)\250)\243\2245-\264\226\311\302K\37\372=\37\363\330\263\15\222\311w\321\350\36S\307\24\334\242\330\250\231\235f\217xw&\177\261F\217\256\331%bG\352\243\335\233@\3\332\372\364=\263m'\231,&G\2270\327\316\25t\255\246\22/\36[l\301\305\207&\32I\313\5l__A\367\230\252\277Y\223\374\205\247*\220\324F`\7\267F}\331\242[\214\3453\324r-\264n\275U\237f\262/\34\26Y\371\207J4\322~\316\372@\36IR&\23v\255\246\3125\213\227z\233WV\26\177\372|\264\200_A\337*\11\260~\352\347\276~\236w]\261\326f\263\242\311\271%\313\233%b\221\333H\217\37N\36;\264l\U\314\13\23\372\32\214j{\215\37\372!\321J\323Y\357\24305\30\223\254K\351\356_\365\343i\235\332\325\1\323l{\313\374g\211\375\361RC\34Z@\353!\234\36\23\3749\240\307\260UG\275\354\361OZ7\300\362R\355S'?\225\206f)_\251\210\26\254\31*\353i:\316z5na[\177\6\252\320\311\366h2C\225\22522\205\331\253\27%F'L"\21R&)cGK\226\314\371\311Y\264\207l\2276\225-\345+)C\306^\256XD\331\255ng\365\316\360@\307^\232K\353_;\231\207\354\271h\10@\374\260\317\302\372q\233\342\305\331^X\33H\16\251\316Z=", ) \21R&)cGK\226\314\371\311Y\264\207l\2276\225-\345+)C\306^\256XD\331\255ng\365\316\360@\307^\232K\353_;\231\207\354\271h\10@\374\260\317\302\372q\233\342\305\331^X\33H\16\251\316Z=", ) == 0x0
 03767   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "+w\37758H+w\3775\374G+w\350w\23\0\0\377u\374\213\360\350\32\2\0\205\300u\3139E\374t\5\276\3\0\10\200\213\306^\311\302\20\03\3009A\14V\215qLu\22PVh\254\335\33w\203\301pQ\350r|\376\377\353\2\211\6\213\6^\303SVh\274\0\0\03\333S\3775\24h+w\377\25`@+w\205\300t\17\377t$\14\213\310\350Y\372\377\377\213\360\353\23\366\205\366tZW\215~0\213\7W\377P\4jpj\0\3775\24h+w\377\25`@+w\205\300t\23j\0h|\272\34w\377vd\213\310\350\342\13\7\0\353\23\300\205\300\211\206\214\0\0\0t\26\201\306\230\0\0\0V\350\205G\377\377\205\300u\6\213\337\205\333u\6\213\7W\377P\10_^\213\303[\302\4\0U\213\354QS\213]\10W3\377\215K\14\211}\374\3505\326\375\377\205\300u\12\270\16\1\1\200\351\227\0\0\0\215K\340V\211M\10\350Oa\7\09{\354t\11\307E\374\377\1\4\200\353o\213u\14;\367t\21V\350\12{\375\377\205\300u\7\276W\0\7\200\353Z\213\3S\377P0\213CH;\307t\6\213\10P\377Q\10;\367\211sHt\21\213\6V\377P\4\213M\10j\1V\3504v\377\377\213M\10W\350\334~\377\377\213\3\215{X\211}\14\276|\272\34w\245\245\245S\245\377P(\205\300t\12\213u\20\213}\14\245\245\245\245\213u\374\213M\10\350\340`\7\0\213\306^_[\311\302\14\0U\213\354V\213u\10V\350\207z\375\377\205\300t-\213\6W\215M\10Qhl\272\34w3\377VG\377\20\205\300|\24\213E\10\213\10P\377Q\20\213\370\213E\10\213\10P\377Q\10\213\307_^]\302\4\0U\213\354\203\354\14S\213]\14S", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03768   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\341~j\233B\16\0\200", ) , ) == 0x0
 03769   896   NtReadFile  (192, 0, 0, 0, 3650, 0x0, 0, ... {status=0x0, info=3650},  (192, 0, 0, 0, 3650, 0x0, 0, ... {status=0x0, info=3650}, "\372$\306\253&\217l\15\2]\215\315\327\274\275\323.\363\260;\371m\245i\323\335\226\212\335>\6*_\304\334!\304\223\201\356w\375S\240O\352$\313\243\330\207\307\366\245\37\315\275{\200\201[\235S~\312\246\241\307\364s\2075;\340\313u\30\230\366\331\313\322T:\247\215w=k\205X\221\351\32\341\273\364-6\241\227]\372\324|%N\7\270m\325\341\23a\2\203]\363\13\317(Qr!\337\251\261\236\335\271/\243\234;\244d]\217\3\332\265\215 \222j\344\320A\\203\246\241\223\231\22\256\340\234\243\332\276\35SPhG\362\3233\337!\230\267;\252\247\2\225*[\226\236\274\316\0\263$[cs+\360\313h\311\5=z\232\32\31\264\331\2\265e\315\230g/\32h\313\244]e\233\257,ul\205P\373\312-C(,`\314zd]\367\227{\274\350=\2\276\5\266\370\340gp\277y\213\361\236\232\21\273\267~V\227\273{2\346K\264\314\274\343\350+\226\220-\311\310Zr\321\2\345%g\233\314\247;1\363\2713\327\317z\3366\202cz\177W\363\305\263<{\372T<2l\15F\206yOmzry\350\177\336{\374\37e\244\275[\310gT\304G\275y\236\25\274\223l\301#\312\26\276\307\204\371\356\311c\326PF\373\16\251\332\10\246\2704\233|\305\36\222\15\304\262\317\246\331>-\223\234\225\301\25\360\304\320`\262eu\226-\201\330\223\374\213n\27:\1\357\336\303's\261\17Lv\275#\336\310\225\303\302\23Ol\315\317D\310\262\373\236\343\304\350\a\257\316%l\211\271\244.qX~\305f\315\313O\373\301\17\372V|T\35\314O\375,6\230Ns2\344\303\26\363\363\23\0\301\347\374\214n~\220\251c\220\214\235zd\6\336\203\226\2202\304(\307\346\261BY|\331", ) , ) == 0x0
 03770   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\0\353N\213F \213\10P\377Q\10\203f \0\377u\14\213\316\350\343\364\377\377\205\300t\10\213E\20\203 \0\353+\213M\14\215E\14P\350\365\257\377\377\213\330\205\333|\31\203\306\20V\377u\14\350)\315\11\0\213M\20\377u\14\211\1\350\254\324\11\0_^\213\303[\311\302\14\0VW\213|$\20\276\10\244\34w\245\245\245\245_3\300^\302\10\0V\213t$\10\213F\309F\24Wu8\203\300\24\301\340\5P\350/\21\375\377\213\370\205\377u\7\270\16\0\7\200\353A\203F\30\24j\0\377v\24\213\316\377v\34W\350m\364\377\377\377v\34\350\371\245\6\0\211~\34\213F\24j\1j\1\377t$\30\301\340\5\3F\34\213\316P\350I\364\377\377\205\300|\5\377F\243\300_^\302\10\0U\213\354Q\213M\10\213Q\24SV3\300\205\322Wv!\213I\34\211M\374\211M\10\213}\14\213u\10j\4Y3\333\363\247t\25\203E\10 @;\302r\350\270\5@\0\200_^[\311\302\14\0\213M\20\301\340\5\3E\374\211\13\300\353\352U\213\354Q\203e\374\0S\213]\10\203{\24\0VWv$\213C\34\211E\10\213}\14\213u\10j\4Y3\322\363\247t\26\377E\374\213M\374\203E\10 ;K\24r\342\270\5@\0\200\353@\213M\374\301\341\5\377t\1\34\3502\245\6\0\213}\374G;{\24s#\213\367\301\346\5\213C\34j\0\3\306j\1P\203\300\340P\213\313\350{\363\377\377G\203\306 ;{\24r\342\377K\243\300_^[\311\302\10\0\213D$\4\203`\10\03\300\302\10\0\213D$\43\3229P\4u\7\270W\0\7\200\353%9P\10u\36\213H\34V\213q4\211p\20\213qX\211Q4\211p\30\211QX\307@\10\1\0\0\0^", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03771   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\317Q\374\277\206\25\0\200", ) , ) == 0x0
 03772   896   NtReadFile  (192, 0, 0, 0, 5510, 0x0, 0, ... {status=0x0, info=5510},  (192, 0, 0, 0, 5510, 0x0, 0, ... {status=0x0, info=5510}, "\234@\313\344.\2153\213\266R\235\322\327\265.'\10\225\27\343\316`b\307\333\316\244\316\260\317C\350\217\273\311\371\232I\244M\200+\260saOk\207)+\262\271\36\330\30\30or\321G\16\265\33\313\275\244\317\20\303(\356\374\337\251\273\302\326\337\256]\334\374\363\334\177S_\277\367.p\320N<\255\265\222\367\214#^s\275\233t\6/\223\7\242\0\356\211\312\274\271Q\244SQM\330d\212\355\301\363\26g\206o>\374\233\370QD>\250\275\303)\222\27i\177\216\275\356Q\336B(1n\274\305\37\365\216\273\271\257\216\334X(\4\324\251\6\202\233\23\245,\376\342\3003Z6\362\4\27\25Eo%\302\240;$\233\307\231l\236\3056]\212\377=\257\222\3\235\33=\275Lz\31\30\315\224I\3432\6\351Yj\205\217\203t\34\225\371\233\272.\16!e;0\236[q3#\261Uh\325(\231\367\202\3012\235}P;\317k\303\213\210\2328\274\0=V\232\24B[8D\11\306\324\214\307&\332\12\233\276\24T\158x\226\330\321\37#\264'>y\25\236\200"\233\341\25285\215b\341\3368u0\350\261\324\3728d\216\255\224\21\200\2\322\266N\344X.\240\324\35\34\212<\245{\341\212O\202O\227A\273\366\217\17\336\351\23Bi\270\312\355\315hlC\214p\375\334\340\16\320""\230=\313-\233@\216\355)!\300H\301\332\242\2472\266E6\22\36\361\6\11\11J\257\2236\16\1\324\320\11\204\330\32\30\203\220\105\330\311\241\23\243H?\353\255\215\6\276\31\3174\271\223\356^9\244\226\210\370\231j\220\273}\323\315\304\242K\302\22\206\5\342z\323\260Us\345Er\334@d\310\363'\234/\5p\331\342(v\323\311\256\7F\347, ) \233\341\25285\215b\341\3368u0\350\261\324\3728d\216\255\224\21\200\2\322\266N\344X.\240\324\35\34\212<\245{\341\212O\202O\227A\273\366\217\17\336\351\23Bi\270\312\355\315hlC\214p\375\334\340\16\320" (192, 0, 0, 0, 5510, 0x0, 0, ... {status=0x0, info=5510}, "\234@\313\344.\2153\213\266R\235\322\327\265.'\10\225\27\343\316`b\307\333\316\244\316\260\317C\350\217\273\311\371\232I\244M\200+\260saOk\207)+\262\271\36\330\30\30or\321G\16\265\33\313\275\244\317\20\303(\356\374\337\251\273\302\326\337\256]\334\374\363\334\177S_\277\367.p\320N<\255\265\222\367\214#^s\275\233t\6/\223\7\242\0\356\211\312\274\271Q\244SQM\330d\212\355\301\363\26g\206o>\374\233\370QD>\250\275\303)\222\27i\177\216\275\356Q\336B(1n\274\305\37\365\216\273\271\257\216\334X(\4\324\251\6\202\233\23\245,\376\342\3003Z6\362\4\27\25Eo%\302\240;$\233\307\231l\236\3056]\212\377=\257\222\3\235\33=\275Lz\31\30\315\224I\3432\6\351Yj\205\217\203t\34\225\371\233\272.\16!e;0\236[q3#\261Uh\325(\231\367\202\3012\235}P;\317k\303\213\210\2328\274\0=V\232\24B[8D\11\306\324\214\307&\332\12\233\276\24T\158x\226\330\321\37#\264'>y\25\236\200"\233\341\25285\215b\341\3368u0\350\261\324\3728d\216\255\224\21\200\2\322\266N\344X.\240\324\35\34\212<\245{\341\212O\202O\227A\273\366\217\17\336\351\23Bi\270\312\355\315hlC\214p\375\334\340\16\320""\230=\313-\233@\216\355)!\300H\301\332\242\2472\266E6\22\36\361\6\11\11J\257\2236\16\1\324\320\11\204\330\32\30\203\220\105\330\311\241\23\243H?\353\255\215\6\276\31\3174\271\223\356^9\244\226\210\370\231j\220\273}\323\315\304\242K\302\22\206\5\342z\323\260Us\345Er\334@d\310\363'\234/\5p\331\342(v\323\311\256\7F\347, ) , ) == 0x0
 03773   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, ".j\10j\0\350\206\341\0\0\205\300\243,A+wt\12\213\10P\377Q\343\366\353\22\241\304H+w\213\10P\377Q\10\203%\304H+w\0S\350\254\366\377\377\213\306^[\303U\213\354QSV\213u\20W3\3779}\24\211}\374t~hp\1\0\0W\3775\24h+w\307E\374\16\0\7\200\377\25`@+w;\307t\14\377u\30\213\310\350/\376\377\377\353\23\300;\307\213]\14\211\3\17\204\210\0\0\0\213\16j\10W\211AP\350\375\340\0\0\205\300\213}\10\211\7t\35\213\10P\377Q\34\213\6\213\17\211H@\213\6\213H@\350\355\273\0\0\203e\374\0\353<\213\3\213\10P\377Q\10\203#\0\213\6\203`P\0\353B\213\6\213M\14\213\11\211HP\213\6\213@P\213\10P\377Q\4\213\6\213M\10\213\11\211H@\213\6\213H@\350\253\273\0\0\213\6\213H@\211H8\213\6\213H8\213Q`\211PH\213Id\211HL\213\6\203\240\374\0\0\0\0\213E\374_^[\311\302\24\0U\213\354\203\354\30SV\213u\10\213\6W3\3779\270\374\0\0\0\17\204\221\0\0\0\213@8\213]\14;\303t|\213\310\350;\307\0\0\213\6\213H8\350\265\333\0\0\213\6\211X8\213K`\213\6\211HH\213Kd\211HL\353V\203e\350\03\300\215}\354\253\253\253\253\253\215E\350P\350\\312\0\0\213\370\205\377|D\213E\374\213\10P\377Q\10\213M\364\205\311t\7j\1\3508\374\377\377\213M\370\205\311t\7j\1\350*\374\377\377\213M\354;\313t\30\350\316\306\0\0\213M\354\350J\333\0\0\213\6\203\270\374\0\0\0\0u\237\213\307_^[\311\302\10\0U\213\354QQSVWd\241\30\0\0\0\213\270\200\17\0\0\213w\14\377u\10\203e\374", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03774   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\217\212\252L\274\21\0\200", ) , ) == 0x0
 03775   896   NtReadFile  (192, 0, 0, 0, 4540, 0x0, 0, ... {status=0x0, info=4540},  (192, 0, 0, 0, 4540, 0x0, 0, ... {status=0x0, info=4540}, "ts\346x\342O\351\336\215a?\256+,\21o\371\352\354\207\12\217\275\221\372$ \374\312 G\214\341\24\310V"\235Qu\372\211\371\13\256qb\223.[\205\314\255xuh\343qLv\331\305\357S\223\261\234\243\317\223\343y\371\241\307\316\265\237\372\36T\275\11\352\203\216.\206\331\22\27\13\273j\204\267\32,\304\343v\357\274=\21\246\16\242\267\337\3778\276\276/T/\220M\263K\3467\204\333\243\371\312\3348R\312\204\275m.\23\271\250J\322[\301?c\327*\177zk\224g'\243R\313\26M\354"\26\217\376\365!\36\0H%K`>\2262\274\363s\304c\22\266\350\?\237_*S'\10\227\\3772%v5K\261\216\255\306\31\347\20\23\310"\320'\5=3\277\213\214/\301\275\3614\3554\367\273\236\314\247\376\371\300\234\312l\266tU\267\223\312\354h8K\3545\204\255,\274p\15\33pYn\267fv\212\207A\210\372\355\316\265\13?\310\262\3B'\263\354\302\364\321\211\334va\345g\241\223M\305\347\233K\5\34\11\216XG\226&R\313PQ\245\2427\310\30\2:6L>\274\36>\231\316F\7\251foO\213\1\207\364\12\277o\257\252Kz\203\367!C'm\265\326\216\237\23242\365\371paI\235\256\251\356\0\351y,au\317\5t"\250I\341\253\204\26\235(m\3\203\277\221s\376\352ao\250TIU\3709\262W\13,\357o\1Z(\346T\313\364\360\337s\312\256\201P\21g\336)\2317\23p\306t\351\371\321\254Q\257\241qj\245\0\214\200\3034 T\201\325\301\252[b\256*3.H\265\221\237xHvB\274zDQ2yg|\5\230\3323\17MDi6\5\354\237\306\22\367\250\251\205\365\265\306e~\234\343\2607\300\220\224\333\345\12\35", ) \235Qu\372\211\371\13\256qb\223.[\205\314\255xuh\343qLv\331\305\357S\223\261\234\243\317\223\343y\371\241\307\316\265\237\372\36T\275\11\352\203\216.\206\331\22\27\13\273j\204\267\32,\304\343v\357\274=\21\246\16\242\267\337\3778\276\276/T/\220M\263K\3467\204\333\243\371\312\3348R\312\204\275m.\23\271\250J\322[\301?c\327*\177zk\224g'\243R\313\26M\354 (192, 0, 0, 0, 4540, 0x0, 0, ... {status=0x0, info=4540}, "ts\346x\342O\351\336\215a?\256+,\21o\371\352\354\207\12\217\275\221\372$ \374\312 G\214\341\24\310V"\235Qu\372\211\371\13\256qb\223.[\205\314\255xuh\343qLv\331\305\357S\223\261\234\243\317\223\343y\371\241\307\316\265\237\372\36T\275\11\352\203\216.\206\331\22\27\13\273j\204\267\32,\304\343v\357\274=\21\246\16\242\267\337\3778\276\276/T/\220M\263K\3467\204\333\243\371\312\3348R\312\204\275m.\23\271\250J\322[\301?c\327*\177zk\224g'\243R\313\26M\354"\26\217\376\365!\36\0H%K`>\2262\274\363s\304c\22\266\350\?\237_*S'\10\227\\3772%v5K\261\216\255\306\31\347\20\23\310"\320'\5=3\277\213\214/\301\275\3614\3554\367\273\236\314\247\376\371\300\234\312l\266tU\267\223\312\354h8K\3545\204\255,\274p\15\33pYn\267fv\212\207A\210\372\355\316\265\13?\310\262\3B'\263\354\302\364\321\211\334va\345g\241\223M\305\347\233K\5\34\11\216XG\226&R\313PQ\245\2427\310\30\2:6L>\274\36>\231\316F\7\251foO\213\1\207\364\12\277o\257\252Kz\203\367!C'm\265\326\216\237\23242\365\371paI\235\256\251\356\0\351y,au\317\5t"\250I\341\253\204\26\235(m\3\203\277\221s\376\352ao\250TIU\3709\262W\13,\357o\1Z(\346T\313\364\360\337s\312\256\201P\21g\336)\2317\23p\306t\351\371\321\254Q\257\241qj\245\0\214\200\3034 T\201\325\301\252[b\256*3.H\265\221\237xHvB\274zDQ2yg|\5\230\3323\17MDi6\5\354\237\306\22\367\250\251\205\365\265\306e~\234\343\2607\300\220\224\333\345\12\35", ) \320'\5=3\277\213\214/\301\275\3614\3554\367\273\236\314\247\376\371\300\234\312l\266tU\267\223\312\354h8K\3545\204\255,\274p\15\33pYn\267fv\212\207A\210\372\355\316\265\13?\310\262\3B'\263\354\302\364\321\211\334va\345g\241\223M\305\347\233K\5\34\11\216XG\226&R\313PQ\245\2427\310\30\2:6L>\274\36>\231\316F\7\251foO\213\1\207\364\12\277o\257\252Kz\203\367!C'm\265\326\216\237\23242\365\371paI\235\256\251\356\0\351y,au\317\5t (192, 0, 0, 0, 4540, 0x0, 0, ... {status=0x0, info=4540}, "ts\346x\342O\351\336\215a?\256+,\21o\371\352\354\207\12\217\275\221\372$ \374\312 G\214\341\24\310V"\235Qu\372\211\371\13\256qb\223.[\205\314\255xuh\343qLv\331\305\357S\223\261\234\243\317\223\343y\371\241\307\316\265\237\372\36T\275\11\352\203\216.\206\331\22\27\13\273j\204\267\32,\304\343v\357\274=\21\246\16\242\267\337\3778\276\276/T/\220M\263K\3467\204\333\243\371\312\3348R\312\204\275m.\23\271\250J\322[\301?c\327*\177zk\224g'\243R\313\26M\354"\26\217\376\365!\36\0H%K`>\2262\274\363s\304c\22\266\350\?\237_*S'\10\227\\3772%v5K\261\216\255\306\31\347\20\23\310"\320'\5=3\277\213\214/\301\275\3614\3554\367\273\236\314\247\376\371\300\234\312l\266tU\267\223\312\354h8K\3545\204\255,\274p\15\33pYn\267fv\212\207A\210\372\355\316\265\13?\310\262\3B'\263\354\302\364\321\211\334va\345g\241\223M\305\347\233K\5\34\11\216XG\226&R\313PQ\245\2427\310\30\2:6L>\274\36>\231\316F\7\251foO\213\1\207\364\12\277o\257\252Kz\203\367!C'm\265\326\216\237\23242\365\371paI\235\256\251\356\0\351y,au\317\5t"\250I\341\253\204\26\235(m\3\203\277\221s\376\352ao\250TIU\3709\262W\13,\357o\1Z(\346T\313\364\360\337s\312\256\201P\21g\336)\2317\23p\306t\351\371\321\254Q\257\241qj\245\0\214\200\3034 T\201\325\301\252[b\256*3.H\265\221\237xHvB\274zDQ2yg|\5\230\3323\17MDi6\5\354\237\306\22\367\250\251\205\365\265\306e~\234\343\2607\300\220\224\333\345\12\35", ) , ) == 0x0
 03776   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\270\6+w\213\317\350\265\351\373\377\377t$\14\276tE+w\213\316\350=\205\375\377\377\15\244E+w\203=pE+w\0u\20\203=\244E+w\0u\7\213\316\350-\210\375\377\213\317\350\364i\377\377_^\302\4\0SVW\213|$\24\201\347\0\2\0\0\213\361\273d\16+wu\7\213\313\350]\351\373\377\203f\20\0V\377t$\24\377\25\270\23\33w\213N\14\205\311\211F\4t\11\350\265\375\377\377\203f\14\0\205\377u\7\213\313\350\245i\377\377_^[\302\10\0\213D$\4V\2130\205\366t\12\377v\4P\377\25\270\23\33w\213\306^\302\10\0V\213\361j\0\215F,P\350\327\377\377\377\205\300u#j\24\350\377\376\377\377\205\300t\6\203`\14\0\353\23\300\205\300t\27\213N(\203`\10\0\211\10\211F(\213L$\10\203`\4\0\211H\20^\302\4\0\213A$\205\300t\26\213@ \205\300t\17\213@D;\5\304H+wu\43\300@\3033\300\303V3\366\366D$\14\2u\34\203|$\10\3u\13\350\312\377\377\377\205\300t\14\353\7\203|$\10\4u\33\366F\213\306^\302\10\0VW\213\371j\0\215G\34P\350F\377\377\377\213\360\205\366u j\24\350l\376\377\377\205\300t\7!p\14\213\360\353\23\366\205\366t \213G\30\211\6\211w\30\213D$\14\203f\4\0\307F\10\1\0\0\0\211F\20\213\10P\377Q\4_\213\306^\302\4\0SV\213t$\14W\215F\10P\213\3313\377\377\25p\24\33w\205\300u\17\213~\20P\203\303\34S\213\316\350\211\376\377\377\213\307_^[\302\4\0V\213t$\10W\213|$\20\203\347\1\205\377t\15\213F\20\205\300t\6\213\10P\377Q\10\213N\14\203f\20\0\205\311t\11\350C\374\377\377\203", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03777   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\250\372x0\230\23\0\200", ) , ) == 0x0
 03778   896   NtReadFile  (192, 0, 0, 0, 5016, 0x0, 0, ... {status=0x0, info=5016},  (192, 0, 0, 0, 5016, 0x0, 0, ... {status=0x0, info=5016}, "\251\16\3222\353\3458v\202;\352\330|s\345]c\223\14\240y\337\215\303\2\366P\233\333\234X\314\25\331\27\316\222\11\2232C\300\200\7:\346\267\203d\247\356\203\342r\255(Vt\227\6%\364\200\255\347\240\333\334\352&\315\350r46\10\266b\362P9M\266q\273\23\345\357n0\351\261\372\274\203\332\343\310\15/\260>\271\1\324\327\342\33\356c \223\313\364\202\315\177\336\334V\261\227\233vy.g\276\201\23\25.\251\270\341-\301\351F\330\31)\334\225\11\206\210\375\221\260\215\307\364\15\2419I\3018\266U&9-\370f\3008\\34\305\3347@\346\2501\16f\262\333^\15\2579\312\21\312\305\0\351\212#\231>\221Q~\366\343"9\231\37\223\322\177\226\3269\16\310B\30\255\17\347\217\205k\315\301E]\324\301\203\340\233\203\237\233\243 \320\344\305]v4\306\30^fS'8s\3636\317d3?\352\311o\346B4\37t\320\253\304\243\7\301u\346tf \276_y\367\20/\2039K\37G\34\245|3\341\316\205\252\205\275o\272TQ\221\2735d\274\3757)'\31\235\323\240xS\221\325\\224\2277\367h\372\351=\341\14\357\275g`b\7\231\314\224^\351\275\342\214\255j\221J\201\275\14\334y\340\307zd\231\306T\312\363\351\275\205\232\212\370\3678O\332WK\363\177\377\177\36\234'\213\204\367\36\374&\277D\245{\336~\225\301h\355\267\7\365\250\201\314\365\277\201\301\354Z_\335\377\25\230\257B\7\267\221F\312\2525\337\203\367k;\255\12\365\246H\355\262\223o\6\367\337\11\212!\343}\227\340\364\241\375\316Fo7{\324\275}\216\6\25Pob\263Z9\2267\261\342\234\271y\305+:M\230\230\336q\5e\340\364\315\213\11.\316\326\237K{\222\205\202\333G6\366oA", ) 9\231\37\223\322\177\226\3269\16\310B\30\255\17\347\217\205k\315\301E]\324\301\203\340\233\203\237\233\243 \320\344\305]v4\306\30^fS'8s\3636\317d3?\352\311o\346B4\37t\320\253\304\243\7\301u\346tf \276_y\367\20/\2039K\37G\34\245|3\341\316\205\252\205\275o\272TQ\221\2735d\274\3757)'\31\235\323\240xS\221\325\\224\2277\367h\372\351=\341\14\357\275g`b\7\231\314\224^\351\275\342\214\255j\221J\201\275\14\334y\340\307zd\231\306T\312\363\351\275\205\232\212\370\3678O\332WK\363\177\377\177\36\234'\213\204\367\36\374&\277D\245{\336~\225\301h\355\267\7\365\250\201\314\365\277\201\301\354Z_\335\377\25\230\257B\7\267\221F\312\2525\337\203\367k;\255\12\365\246H\355\262\223o\6\367\337\11\212!\343}\227\340\364\241\375\316Fo7{\324\275}\216\6\25Pob\263Z9\2267\261\342\234\271y\305+:M\230\230\336q\5e\340\364\315\213\11.\316\326\237K{\222\205\202\333G6\366oA", ) == 0x0
 03779   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\213\313\350.\352\376\377\203}\20\0\377u\14Vt\7\350\215\362\376\377\353\5\350\367\361\376\377\213\313\213\370\350\232i\373\377\205\377|\24\377u\10\213M\370\377u\374\377u\14V\350\2\376\377\377\213\370\213\313\350\360\351\376\377\213\307_^[\311\302\14\0U\213\354\350\2214\11\0\205\300|W\203}\10\0W\277W\0\7\200tH\203}\14\0tBV\350\220,\2\0\205\300\2135\\24\33wt\13j\20\377u\10\377\326\205\300u&\350v,\2\0\205\300t\13j\20\377u\14\377\326\205\300u\22\377u\14\271xG+w\377u\10\350\214\376\377\377\213\370^\213\307_]\302\10\0U\213\354\203\354LS\213]\10\213C\14\3C\10V\3C\4W\3\3j\27\211M\370Y3\322\367\361S3\377\271\200\12+w\211}\374R\211U\10\350\375\214\373\377;\307u\15\213M\370S\350\263\375\377\377;\307t\25\366@8\2t\17\213}\14\215p(\245\245\245\245\351\11\1\0\0\271\200G+w\350\33\351\376\377\215E\264PSj\5WW\307E\264@\0\0\0\377\25\0\22\33w\205\300u9\377\25@\24\33w\213\360\201\376\2676\0\0t5\201\376\2606\0\0t-\271\200G+w\350jh\373\377\205\366~\14\201\346\377\377\0\0\201\316\0\0\7\200\213\306\351\264\0\0\0\203}\270\1u\6\213}\274\203\307\10\213u\14VS\350\220\357\376\377\205\300\211E\374|\36\205\377t2j\4Y3\300\363\247t)\271\200G+w\350\37h\373\377\270S\1\4\200\353y=U\1\4\200u\21\205\377t\15\203e\374\0\213\367\213}\14\245\245\245\245\271\200G+w\350\366g\373\377S\377u\10\271\200\12+w\350\17\214\373\377\205\300\211E\364u 9E\374|5\213M\370\215E\364P\377u\10S\377u\14\350X", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03780   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\216\25\360\334\256\23\0\200", ) , ) == 0x0
 03781   896   NtReadFile  (192, 0, 0, 0, 5038, 0x0, 0, ... {status=0x0, info=5038},  (192, 0, 0, 0, 5038, 0x0, 0, ... {status=0x0, info=5038}, "\267l\3(\303Sq\13n\255\12Wi\277\222\277M\310.cP\267\217`aF}\315\2608\35\226 \27$]&a\2273\11K\2341\350\235\263\206\12\276\272\304j\325<:\331J\351*\367{\20Pu#\335'\37\252\360\260\242D\205k\315E\16`\322\23\204\251\354\240w\322Lg/\356\37\236\271\3603NV\260\265:3zm?\331,\270\343x\335\367|\w\324.\263R5\301;k\4\307\206\325~V\322h\254\3700\334\317:U\365\276\315qv\346\14`Y\353\262\36\366\376\264\343\230\277\205K\327\13\33\333K\305L\363\355\257\341\317\20`\343y\354\343\347\271Y}O\22/\2078\247\275f\316\245\343\335\370\3346\376d6&\354\275e;\261\7\17\337ca']\263D\322\25, ) , ) == 0x0
 03782   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "#\301\353\234h,\334\33w\377s\374\350C\255\375\377\205\300t\5\215F\374\353\206h\14\330\33w\377s\374\350-\255\375\377\205\300u\21h\254\332\33w\377s\374\350\34\255\375\377\205\300t\6\307\7\2@\0\200\213\3\205\300u\129\7u\6\307\7\25\1\1\200\213?\205\377u\15\213\10P\377Q\4\213E\30\377\0\353(\201\377\25\1\1\200u \213s\374\213}\24\213M\20\203E\24\20\203E\20\4\377E\374\245\245\245\245\213u\370\215C\374\211\1\203\303\14\377M\10\17\205i\375\377\377_[f\213E\374^\311\302\24\0\200\241\231\0\0\0\375\307\201\224\0\0\0\1\0\0\0\213\211\234\0\0\0\213\1Q\377P\10\303V\213\361\213\6V\377P\4\201\306\300\0\0\0V\377\25t\24\33w^\303V\213\361\215\206\300\0\0\0P\377\25p\24\33w\205\300u(\213\206\230\0\0\0$\20\366\330\33\300\367\320\205D$\10u\24\203\276\274\0\0\0\0u\13\215F\4\213\10j\0P\377Q \213\6V\377P\10^\302\4\0V\213\361\350@u\376\3779\206\270\0\0\0t\20\366\206\230\0\0\0\2u\7\270\16\1\1\200^\3033\300^\303\213L$\4\377t$\10\201\301|\377\377\377\350\35\32\0\0\302\10\0U\213\354\203\354\24\203}\20\0VWt\35\213u\24j\4Y\277\\327\33w3\300\363\247t\14\307E\374W\0\7\200\351C\1\0\0\215E\354P\377u\14\350\12X\0\0\205\300\211E\374\17\214,\1\0\0S\213]\10j\4Y\277\\327\33w\215u\3543\300\363\247t8j\4Y\277\354\327\33w\215u\3543\300\363\247t'\215U\10R\215U\354\215\203|\377\377\377\213\10RP\377\21\205\300\211E\374\17\214\347\0\0\0\213E\10\213\10P\377Q\10\203}\374\0\17\214\324\0\0\0\203", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03783   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "8\23\241"\22\17\0\200", ) \22\17\0\200", ) == 0x0
 03784   896   NtReadFile  (192, 0, 0, 0, 3858, 0x0, 0, ... {status=0x0, info=3858},  (192, 0, 0, 0, 3858, 0x0, 0, ... {status=0x0, info=3858}, "\256\342#\277(\202\263\217$\211I\222t0\236\254vE^atC3,\105\364\334\225\274\366*\213\320\265R\214a#\306N\360 Hc\231#\17RgI\222\224Z\316>L\202\265\45u,\373O\226\371\357oa\371\260m\347i\236anq\331\177x\237!-6E\233%B[\257\24\350\211\254\126\317\266 \360\311\322z\217\4-\11r\335/\30\276\336\376qY\1\365\35Zxv1\204\271\1u\335\340Y\217I\236\201\365\0\241\3477c\336RJ\250\365\373y\352\22B\226=\242\13\232b\27Vz\364|I\204\265OD\16\202\244\376_\310\35W\2538\2f\16`\2067\335\221\303\350R\204\267\244\21\226\272\364\202j\204\24\236rOa\271\12&ue!\241\263\332\241\267\301\314\271?\12\343vI\356\260\276TZ\242\224\321\22\227&\267\267#\241\374\230d$\345\14\277\266\10\363F-\245\342h>\333\25\223\26\3726r\225\375\243n\271\222\271\26\233\322!\325\300[\246g5\274!\306\261\25\375\362\4\274\231\7\340\351V\340"Zm\22\270\317\261\263\255I\301\361\311E\33\277\342\277\264\326\244\246\340\331\264J\357\322\367\270?\16\217L\273\230\277\363<\342l\314\275\354\257\301%M-\13n\274\10.\320\33fBTU h\264\250\262z\15x\24\221\2\30\317x%\221\4\20\256\247]\250\203Z\14\217\217\216\235p8\23Y\362d\27\263\367"\25\355A\350I\340,\30\364k\221\265\263N=\5@\310\221\310\243\231,\13%\361.\311\223\21|K\301\324\226\360\3410L\310\27\\20\214\274\326%\216T\364p\347,\222\316\371\244\304\251\330Fj\30\266\201M\214$@\25\355nH\17E\2429\229\322w\15<"\17\36d\351\370Y\33\327$\345\11\324z_^\322$\221\232K)\223", ) Zm\22\270\317\261\263\255I\301\361\311E\33\277\342\277\264\326\244\246\340\331\264J\357\322\367\270?\16\217L\273\230\277\363<\342l\314\275\354\257\301%M-\13n\274\10.\320\33fBTU h\264\250\262z\15x\24\221\2\30\317x%\221\4\20\256\247]\250\203Z\14\217\217\216\235p8\23Y\362d\27\263\367 (192, 0, 0, 0, 3858, 0x0, 0, ... {status=0x0, info=3858}, "\256\342#\277(\202\263\217$\211I\222t0\236\254vE^atC3,\105\364\334\225\274\366*\213\320\265R\214a#\306N\360 Hc\231#\17RgI\222\224Z\316>L\202\265\45u,\373O\226\371\357oa\371\260m\347i\236anq\331\177x\237!-6E\233%B[\257\24\350\211\254\126\317\266 \360\311\322z\217\4-\11r\335/\30\276\336\376qY\1\365\35Zxv1\204\271\1u\335\340Y\217I\236\201\365\0\241\3477c\336RJ\250\365\373y\352\22B\226=\242\13\232b\27Vz\364|I\204\265OD\16\202\244\376_\310\35W\2538\2f\16`\2067\335\221\303\350R\204\267\244\21\226\272\364\202j\204\24\236rOa\271\12&ue!\241\263\332\241\267\301\314\271?\12\343vI\356\260\276TZ\242\224\321\22\227&\267\267#\241\374\230d$\345\14\277\266\10\363F-\245\342h>\333\25\223\26\3726r\225\375\243n\271\222\271\26\233\322!\325\300[\246g5\274!\306\261\25\375\362\4\274\231\7\340\351V\340"Zm\22\270\317\261\263\255I\301\361\311E\33\277\342\277\264\326\244\246\340\331\264J\357\322\367\270?\16\217L\273\230\277\363<\342l\314\275\354\257\301%M-\13n\274\10.\320\33fBTU h\264\250\262z\15x\24\221\2\30\317x%\221\4\20\256\247]\250\203Z\14\217\217\216\235p8\23Y\362d\27\263\367"\25\355A\350I\340,\30\364k\221\265\263N=\5@\310\221\310\243\231,\13%\361.\311\223\21|K\301\324\226\360\3410L\310\27\\20\214\274\326%\216T\364p\347,\222\316\371\244\304\251\330Fj\30\266\201M\214$@\25\355nH\17E\2429\229\322w\15<"\17\36d\351\370Y\33\327$\345\11\324z_^\322$\221\232K)\223", ) \17\36d\351\370Y\33\327$\345\11\324z_^\322$\221\232K)\223", ) == 0x0
 03785   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\316\350\272i\372\3773\311\270x\21+w\211\15\300\21+w\211\15\310\21+w\211\15\314\21+w\211\15TM+w\211\15XM+w\213\316\307\5\274\21+w@\17+w\307\5\304\21+w\300\20+w\243\250\21+w\243\254\21+w^\351\344\351\375\377V\276@\17+w\213\316\350bi\372\377h\354?\37w\271\270\21+w\350\264\4\374\377\203%TM+w\0\203%XM+w\0\270x\21+w\213\316\243\250\21+w\243\254\21+w^\351\243\351\375\377U\213\354\203\3544\213M\14S\213\35TM+wV\213u\10\215\43\3\310\215\4AW\213=XM+w\215\4x\215\4C\301\340\2=\0p\0\0\211}\334s\26\203e\330\0\203\300\3\203\340\374\350\22\30\7\0\213\314\211M\374\353\32Pj\0\3775\24h+w\377\25`@+w\213u\10\211E\330\211E\374\213\310\205\311u\24\271@\17+w\350/\351\375\377\270\16\0\7\200\351\256\1\0\0\203e\370\0\203e\364\0\215\4[\215\4\301\213\320\211E\324\213E\14\301\347\4\3\372\215\4\307\2154v\211E\340\215\4\360\2135\254\21+w\201\376x\21+w\211M\314\211U\350\211E\320\17\204\312\0\0\0\203\302\10\203\301\20\211U\344\211M\360\213E\364\213M\370\3\310\213E\334\3\303;\310\17\203\251\0\0\0V\350\26\372\377\377\17\267F\32f\203f\32\0\250\3\211E\354t7\213F \213M\374\211\1\213F$\211A\4\213E\360\213V(\211P\370\213V,\211P\374\213V\10\211\20\213V\14\211P\4\203\301\30\203\300\30\377E\370\211M\374\211E\360\203}\354\4t\6\203}\354\2u>\213N \213E\350\211\10\213N$\211H\4\213V\10\213M\344\211\21\213V\14\211Q\4\203\301\20\203\300\20\377E\364\211M\344", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03786   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "Q\230\2242V\17\0\200", ) , ) == 0x0
 03787   896   NtReadFile  (192, 0, 0, 0, 3926, 0x0, 0, ... {status=0x0, info=3926},  (192, 0, 0, 0, 3926, 0x0, 0, ... {status=0x0, info=3926}, "\315\3d\264\240\32I\302t\22\350 \370\230\7)RL\241.\224\205C!\306\230\343?\214\336\357\272Q\254\342-\275vu\263N\212\331\234P\23\206\337\36\202\23\346N\20\307\232jv\3151s@\217d\305\347\2\4\\11\253\27\311w"Kf\340\11\233<]\346\12\255\302\371wc\206p\353\361\342\246Hm\370\323\231mmg\10\33\204\205\316\333'\264\3662O\341b\270\202N\317\266\12\321\3753\356\331\331&\325\30\16\15\14\13@\4|\27J:\362:\262A\364\377\321\353\235E\26\371\215z\357\12\235F\342\26\216\225\250\210V\7\240\235d\13(\215\235\336>D\304F\242\220(\330,\315 \313\263\346\327\25*\245\271\372\35\353 \14\267\203Kl\240\212\2415\236\357\21l:\27\231\333#\14\211\273\326\266\302\207\342\371\16DRr\211\251\335EIZ\214\301\204\344@\4\223\33\17ss0\16,\273\220\204:\224Z\207\375L\223.\12?\240IV&\34\226\374\353\274\324\315=i\211\211\24\4U\325\13R8\313H\344\210\2j\211\333n\234\2\345-\334K\214\11\33\306Y\322/\1\\237\362\232\222\205\271M\2006\10S\374\201\352P]\207\\17\357\240@\244B]\251_\201\372,\343d\314\344K\177N\223\360\214\201|\321\25\237\7\17\323IhrO\36\224.Y\36\237&E\356wtQ\5<\321E\333X\303\240\236^\373{\350\321\234yoF\314uc{\234?\33q\207\23\324\334\345l\323\26\37^\267\272\356\271t\224e\357\277\245\2077\27\271\231~8\323.du>X\263\233|\261\312\245\13\274\3733\207\213\177\350\257\266\230\17\347\375\37788<]\234\262\371\177X9\263=w\326\2555k\277\15\247\324\370\346\314c\361=\377\264\36\346\275\277?u\23\364?\305\325\313\347\231M\363u\222x", ) Kf\340\11\233<]\346\12\255\302\371wc\206p\353\361\342\246Hm\370\323\231mmg\10\33\204\205\316\333'\264\3662O\341b\270\202N\317\266\12\321\3753\356\331\331&\325\30\16\15\14\13@\4|\27J:\362:\262A\364\377\321\353\235E\26\371\215z\357\12\235F\342\26\216\225\250\210V\7\240\235d\13(\215\235\336>D\304F\242\220(\330,\315 \313\263\346\327\25*\245\271\372\35\353 \14\267\203Kl\240\212\2415\236\357\21l:\27\231\333#\14\211\273\326\266\302\207\342\371\16DRr\211\251\335EIZ\214\301\204\344@\4\223\33\17ss0\16,\273\220\204:\224Z\207\375L\223.\12?\240IV&\34\226\374\353\274\324\315=i\211\211\24\4U\325\13R8\313H\344\210\2j\211\333n\234\2\345-\334K\214\11\33\306Y\322/\1\\237\362\232\222\205\271M\2006\10S\374\201\352P]\207\\17\357\240@\244B]\251_\201\372,\343d\314\344K\177N\223\360\214\201|\321\25\237\7\17\323IhrO\36\224.Y\36\237&E\356wtQ\5<\321E\333X\303\240\236^\373{\350\321\234yoF\314uc{\234?\33q\207\23\324\334\345l\323\26\37^\267\272\356\271t\224e\357\277\245\2077\27\271\231~8\323.du>X\263\233|\261\312\245\13\274\3733\207\213\177\350\257\266\230\17\347\375\37788<]\234\262\371\177X9\263=w\326\2555k\277\15\247\324\370\346\314c\361=\377\264\36\346\275\277?u\23\364?\305\325\313\347\231M\363u\222x", ) == 0x0
 03788   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\33wS\215E$P\377ul\350P\264\2\0\213\360;\363\17\214q\3\0\09]tv \213}x\213]t\203\307\10\213E@\213\10\215W\374R\377w\370P\377\21\211\7\203\307\14Ku\351\213E@\213\10P\377Q\10\351.\3\0\0S\215EDPSS\377u8\215E$\377ud\215M\220j\10h|\327\33wh<\321\34wP\211]\\350\274\325\377\377\215E\P\215E\220P\350LK\0\0\213\360;\363\211uH\17\214\374\2\0\09]Dt%S\377uxSSS\377ut\377up\377ul\377u`\377uh\377uD\350\235\374\377\377\213\360\351\302\2\0\0\377ux\215EH\377ut\215M\304P\350\244\361\377\377\213]|\203e4\0\205\333u$\270\310\6\0\0\350\12\230\6\0\213\334\213\313\350+\352\374\377\203\243\224\0\0\0\0\307\203\230\0\0\0\1\0\0\0S\350p\353\377\377S\350\302\352\377\377\213uH\205\366\17\214b\2\0\0\213u\3\377;\367\211}Lt-\270 \2\0\0\350\303\227\6\0\213\304\211\260\34\2\0\0\211E \213E\\213@\14\213xX\205\377\211}Lt\13\213\7W\377P\4\353\3\211} \203e|\0\203e\34\0\307E\30\1\0\0\0\203}|\0t.\213\3S\377P\10h\310\6\0\0\350\331\2\372\377\205\300Yt\13\213\310\350\226\351\374\377\213\330\353\23\333\205\333\17\204\\1\0\0\203e|\0W\377u \215E$\377u8\377u\4\377ut\377uX\377udPS\350z\353\377\377\213\360\205\366|?\203eH\0\205\377u\17\213\273\320\1\0\0\213\7W\211}L\377P\4\213\7\215MHQh\270X\33wW\377\20\205\300|\26\213EH\213\10\215U\30RP\377QD\213EH\213\10P\377Q\10\205\377t", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03789   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "q\264\253\24\212\10\0\200", ) , ) == 0x0
 03790   896   NtReadFile  (192, 0, 0, 0, 2186, 0x0, 0, ... {status=0x0, info=2186},  (192, 0, 0, 0, 2186, 0x0, 0, ... {status=0x0, info=2186}, ".\22\324g2d\221KN\374\23\365Ug\224\317\341\15\24g\235CK\3619\243\307\327\5t\337\10/\26U\316\31\262!\372\342+\215\266\215\34?!h\342\273\301\215\234\241\266\352\17\2043\346\374\317\275i\304\271\231\217$\232s\324\353\244\226ZmNwh\333\377g0x\20\370\323m\322\316\275va\257K\6&sH'to\13I\324f\351U)n"\225rp\246\310\24\347u\3706\270:\302{32\247\364\17a\261lw\331\7i\0\253\312\332\24kN\247\22S]\251\233\217\212\357\2463\303\306\X\303:\316\254\242\25\262\337\377F\2263\274v\243\326Q\326\324\363\21\256\307'[Qkix\341\275\225\362=%Q\357\353\344\31q\235e\275!\314\353\206\365"\261\26\211Q$e"\364\251\345\330\203\260\11O\256\322\10\6\20o\18"^\365o\355W\241\14\\4\26\257\310\356\313f\206QW\332\34Y4,q\327\362\16z\223\204*\305\3116a$\3\256\311\251dD\250'\221\15\12\227x\375m\0\346\312-\265@\31|\34\232\311X\230$\235\304\202\312\333\244\35\366\242\254\273\301\333\216~\10\245\235\221\200\326FX\222k\267J\353\367\6\317T\2\324\323|+\24$n\214y\4\351G\222\234m\203\302d\322\354B\222\301p\212\11\177\254\334{X\320\36\216_4\373Y\216\375\37265yn>\231\240\202\313J\265\6n\342#\257#A\362\5nh\267\322\12\332\302\351", ) \225rp\246\310\24\347u\3706\270:\302{32\247\364\17a\261lw\331\7i\0\253\312\332\24kN\247\22S]\251\233\217\212\357\2463\303\306\X\303:\316\254\242\25\262\337\377F\2263\274v\243\326Q\326\324\363\21\256\307'[Qkix\341\275\225\362=%Q\357\353\344\31q\235e\275!\314\353\206\365276\251\177\325\217\30oFj\227\216@\12\266\251%\213\305&N\322\242!\254\22\251\200\25\330\312\355\305\210Nb\333\310K\240\265\334\233+H\265\334'v\221d\3115\346&J\247{\20\200\327\214(\302'M\342\1\211\1\12C\255\25\316X2\273\23\35\16V)\246\217\240\344\273\,\255\242H\211EH\24 (192, 0, 0, 0, 2186, 0x0, 0, ... {status=0x0, info=2186}, ".\22\324g2d\221KN\374\23\365Ug\224\317\341\15\24g\235CK\3619\243\307\327\5t\337\10/\26U\316\31\262!\372\342+\215\266\215\34?!h\342\273\301\215\234\241\266\352\17\2043\346\374\317\275i\304\271\231\217$\232s\324\353\244\226ZmNwh\333\377g0x\20\370\323m\322\316\275va\257K\6&sH'to\13I\324f\351U)n"\225rp\246\310\24\347u\3706\270:\302{32\247\364\17a\261lw\331\7i\0\253\312\332\24kN\247\22S]\251\233\217\212\357\2463\303\306\X\303:\316\254\242\25\262\337\377F\2263\274v\243\326Q\326\324\363\21\256\307'[Qkix\341\275\225\362=%Q\357\353\344\31q\235e\275!\314\353\206\365"\261\26\211Q$e"\364\251\345\330\203\260\11O\256\322\10\6\20o\18"^\365o\355W\241\14\\4\26\257\310\356\313f\206QW\332\34Y4,q\327\362\16z\223\204*\305\3116a$\3\256\311\251dD\250'\221\15\12\227x\375m\0\346\312-\265@\31|\34\232\311X\230$\235\304\202\312\333\244\35\366\242\254\273\301\333\216~\10\245\235\221\200\326FX\222k\267J\353\367\6\317T\2\324\323|+\24$n\214y\4\351G\222\234m\203\302d\322\354B\222\301p\212\11\177\254\334{X\320\36\216_4\373Y\216\375\37265yn>\231\240\202\313J\265\6n\342#\257#A\362\5nh\267\322\12\332\302\351", ) \364\251\345\330\203\260\11O\256\322\10\6\20o\18 (192, 0, 0, 0, 2186, 0x0, 0, ... {status=0x0, info=2186}, ".\22\324g2d\221KN\374\23\365Ug\224\317\341\15\24g\235CK\3619\243\307\327\5t\337\10/\26U\316\31\262!\372\342+\215\266\215\34?!h\342\273\301\215\234\241\266\352\17\2043\346\374\317\275i\304\271\231\217$\232s\324\353\244\226ZmNwh\333\377g0x\20\370\323m\322\316\275va\257K\6&sH'to\13I\324f\351U)n"\225rp\246\310\24\347u\3706\270:\302{32\247\364\17a\261lw\331\7i\0\253\312\332\24kN\247\22S]\251\233\217\212\357\2463\303\306\X\303:\316\254\242\25\262\337\377F\2263\274v\243\326Q\326\324\363\21\256\307'[Qkix\341\275\225\362=%Q\357\353\344\31q\235e\275!\314\353\206\365"\261\26\211Q$e"\364\251\345\330\203\260\11O\256\322\10\6\20o\18"^\365o\355W\241\14\\4\26\257\310\356\313f\206QW\332\34Y4,q\327\362\16z\223\204*\305\3116a$\3\256\311\251dD\250'\221\15\12\227x\375m\0\346\312-\265@\31|\34\232\311X\230$\235\304\202\312\333\244\35\366\242\254\273\301\333\216~\10\245\235\221\200\326FX\222k\267J\353\367\6\317T\2\324\323|+\24$n\214y\4\351G\222\234m\203\302d\322\354B\222\301p\212\11\177\254\334{X\320\36\216_4\373Y\216\375\37265yn>\231\240\202\313J\265\6n\342#\257#A\362\5nh\267\322\12\332\302\351", ) , ) == 0x0
 03791   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\0S\213\$\10VW\213|$\24\276\270\30+w|@\213\6\212\13\215\24G\212\301\300\350\4f\17\266\300\203\306\4C\203\3000f=9\0v\3\203\300\7f\211\2\200\341\17f\17\266\301BB\203\3000f=9\0v\3\203\300\7f\211\2\203>\0}\300j-Xf\211G\20f\211G\32f\211G$f\211G._^[\302\10\0\203=\270\30+w\0V\213t$\10W\213|$\20\272\270\30+w||\213\2\215\14Ff\213\1\203\302\4AAf=0\0r\12f=9\0w\4,0\353\36f=A\0r\12f=Z\0w\4,7\353\16f=a\0rhf=z\0wb,Wf\213\11\300\340\4f\203\3710r\13f\203\3719w\5\200\3510\353 f\203\371Ar\13f\203\371Zw\5\200\3517\353\17f\203\371ar2f\203\371zw,\200\351W\12\301\210\7G\203:\0}\204j-Xf9F\20u\26f9F\32u\20f9F$u\12f9F.u\4\260\1\353\22\300_^\302\10\0\213D$\10f\307\0{\0f\307@J}\0\203\300\2P\377t$\10\350\270\376\377\377\302\10\0\213D$\4f\2038{u\26f\203xJ}u\17\377t$\10\203\300\2P\350\11\377\377\377\353\22\300\302\10\0U\213\354\203\354\14\213E\24\213\310\203\340\2V3\366\203\341\19u\14\211E\364\213E\30\211M\374\2110t\36\215E\24P\377u\14\377u\10\377\25\270\20\33w;\306t\20\15\0\0\7\200\351\255\1\0\0\213E\10\211E\24SWh\354\3\0\0\350\214\202\371\377\213\330;\336Yu\12\270\16\0\7\200\351\210\1\0\03\300\307E\370\350\3\0\0\211u\10\271\372\0\0\0\213\373\363\253\215E\370PS\215E\10PV\377u\20\377u\24", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03792   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "3\33_\32\276\7\0\200", ) , ) == 0x0
 03793   896   NtReadFile  (192, 0, 0, 0, 1982, 0x0, 0, ... {status=0x0, info=1982},  (192, 0, 0, 0, 1982, 0x0, 0, ... {status=0x0, info=1982}, "\242\12\3578\315(NBI\201\305.h=bAK\3664\276b\11E\342\244\317\213\331\356\266vs\265\10\221\3\331\324\314&\370\215]\205n\203T\204\215\20=2\330\331\311\263-\351\325KR\252Y\263\373;\26"H3\232\341\317j\216a\247\217\210\316\317\14\57h\2-\221]X\5\204\357\332\261\267\256r\265<\252*[\201Cp\330^H\274t6\330VW\221\332\210\4T\257\352c\17\214bX\240\224\354\277"\370\315\223AF\2104\314a\6Z\25b\373;c\302x\361ve\354f\354 p\241v_\3\212\352p\5j\200\31m\253,{\216\223\200\204\342\275\25\342\211\364\304\3241\340\234cO\256~\300\2\366\362\3609\225\201\312\0\374\230@\250\230\312\341\366\306Q\23v'\242PT::L`d\262\2\366\221o%\11a>\236\312\212\313<\11'\256\305-"\340qn&\205\26\307m\362Qq\17u6\267\255I\277\242%\31w\216\271h\233\207\266\2315\226pY\224\275+\317\255!y\336Z\302\245PG\222\204>D\204;pO\360\367\335\372\240^Kgp^\261\272u", ) T\204\215\20=2\330\331\311\263-\351\325KR\252Y\263\373;\26 (192, 0, 0, 0, 1982, 0x0, 0, ... {status=0x0, info=1982}, "\242\12\3578\315(NBI\201\305.h=bAK\3664\276b\11E\342\244\317\213\331\356\266vs\265\10\221\3\331\324\314&\370\215]\205n\203T\204\215\20=2\330\331\311\263-\351\325KR\252Y\263\373;\26"H3\232\341\317j\216a\247\217\210\316\317\14\57h\2-\221]X\5\204\357\332\261\267\256r\265<\252*[\201Cp\330^H\274t6\330VW\221\332\210\4T\257\352c\17\214bX\240\224\354\277"\370\315\223AF\2104\314a\6Z\25b\373;c\302x\361ve\354f\354 p\241v_\3\212\352p\5j\200\31m\253,{\216\223\200\204\342\275\25\342\211\364\304\3241\340\234cO\256~\300\2\366\362\3609\225\201\312\0\374\230@\250\230\312\341\366\306Q\23v'\242PT::L`d\262\2\366\221o%\11a>\236\312\212\313<\11'\256\305-"\340qn&\205\26\307m\362Qq\17u6\267\255I\277\242%\31w\216\271h\233\207\266\2315\226pY\224\275+\317\255!y\336Z\302\245PG\222\204>D\204;pO\360\367\335\372\240^Kgp^\261\272u", ) \370\315\223AF\2104\314a\6Z\25b\373;c\302x\361ve\354f\354 p\241v_\3\212\352p\5j\200\31m\253,{\216\223\200\204\342\275\25\342\211\364\304\3241\340\234cO\256~\300\2\366\362\3609\225\201\312\0\374\230@\250\230\312\341\366\306Q\23v'\242PT::L`d\262\2\366\221o%\11a>\236\312\212\313<\11'\256\305- (192, 0, 0, 0, 1982, 0x0, 0, ... {status=0x0, info=1982}, "\242\12\3578\315(NBI\201\305.h=bAK\3664\276b\11E\342\244\317\213\331\356\266vs\265\10\221\3\331\324\314&\370\215]\205n\203T\204\215\20=2\330\331\311\263-\351\325KR\252Y\263\373;\26"H3\232\341\317j\216a\247\217\210\316\317\14\57h\2-\221]X\5\204\357\332\261\267\256r\265<\252*[\201Cp\330^H\274t6\330VW\221\332\210\4T\257\352c\17\214bX\240\224\354\277"\370\315\223AF\2104\314a\6Z\25b\373;c\302x\361ve\354f\354 p\241v_\3\212\352p\5j\200\31m\253,{\216\223\200\204\342\275\25\342\211\364\304\3241\340\234cO\256~\300\2\366\362\3609\225\201\312\0\374\230@\250\230\312\341\366\306Q\23v'\242PT::L`d\262\2\366\221o%\11a>\236\312\212\313<\11'\256\305-"\340qn&\205\26\307m\362Qq\17u6\267\255I\277\242%\31w\216\271h\233\207\266\2315\226pY\224\275+\317\255!y\336Z\302\245PG\222\204>D\204;pO\360\367\335\372\240^Kgp^\261\272u", ) , ) == 0x0
 03794   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\0\213\13P\377v \377u\10\350B\343\377\3779}\10\211E\374t\7\307F,\1\0\0\0;\307u\324\241_\307\0\1\0\0\03\300^\302\14\0U\213\3543\3009E\14S\213]\30\211\3t\34V\213u\24Wj\4Y\277\\327\33w3\322\363\247_^t\7\270W\0\7\200\353@\211E\30\215E\30PS\377u\24\377u\14\377u\10\350R\373\377\377\205\300", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03795   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\317U\3\306\212\5\0\200", ) , ) == 0x0
 03796   896   NtReadFile  (192, 0, 0, 0, 1418, 0x0, 0, ... {status=0x0, info=1418},  (192, 0, 0, 0, 1418, 0x0, 0, ... {status=0x0, info=1418}, "\256\34'[z\363x\356&\366\311\344\312q\7p\245\302\327\320\321\354?\35q\343\320"P\360\2602M\30.s]\203\345\315v\354\3308<\23\357L\271&3\227\337p\307^~jR\302\236\374\277M\\332\255\353\3346\1\36\343>6\2112\20b8iO\216\304h\343_\3463\307'S\35n2\257d\351\33iN\371\370\32\214-\37\305\273\6\3125n$L\263n\372G`\264\216\2534\322\241\341i\270\324\247=\14<\12\217\6\236\20>\23\351\263\241\3322y\350\266\265r2\214\212\234\365\315\362D\27\326\200(-\205\304F\227\11_\307\277X\312\371\343\233\322\303\370\376g)H\304\357>?\33\12\25\233\2303\252\350\240w1\250\347\360\37:\10 J\364\345\370\203\325\300\364.+Dl\373\34\357f\3613\304\244\346\262D\375\307\337\376\365@\11\227\37P\354\344\351\313\366\23\261Bo\212F,w\350M\340\17\266oiM\217$j\351\373y\355\330\2411o\344~D|\23i\342\246\21\353\35G\12m\374\13\365\355\333\337\31\325\306\177H\217\177\21\241g\360\3\272\350\330A1p\344{\270\21\356\244I\324\225\345\374\374\17$\264\343\377#q\252\273\344J\243\350\327\300\316\371\31\326\33\35\214\200\367s\25-\27\355\2678\356\316\240[\217\275'\247\231\227\260\312|\371q\244+d#x\3311\354\226Q\14\347\355\201\214\370\3609\314y(\375\341\221\350\230c\257p\316y\260!\276S@\242\207z:\375\323\375\15M\15\26\374\346\266\363z\273at\326\261'\347\260i\210%s\316:D\200\274\257\354\3652l\263\311\336<>\267#g\205\3\371\300d\210>\242M;\217\343(\243\14\277\203=Z\5s\320\346\266F\342\177\14\243D360\2602M\30.s]\203\345\315v\354\3308<\23\357L\271&3\227\337p\307^~jR\302\236\374\277M\\332\255\353\3346\1\36\343>6\2112\20b8iO\216\304h\343_\3463\307'S\35n2\257d\351\33iN\371\370\32\214-\37\305\273\6\3125n$L\263n\372G`\264\216\2534\322\241\341i\270\324\247=\14<\12\217\6\236\20>\23\351\263\241\3322y\350\266\265r2\214\212\234\365\315\362D\27\326\200(-\205\304F\227\11_\307\277X\312\371\343\233\322\303\370\376g)H\304\357>?\33\12\25\233\2303\252\350\240w1\250\347\360\37:\10 J\364\345\370\203\325\300\364.+Dl\373\34\357f\3613\304\244\346\262D\375\307\337\376\365@\11\227\37P\354\344\351\313\366\23\261Bo\212F,w\350M\340\17\266oiM\217$j\351\373y\355\330\2411o\344~D|\23i\342\246\21\353\35G\12m\374\13\365\355\333\337\31\325\306\177H\217\177\21\241g\360\3\272\350\330A1p\344{\270\21\356\244I\324\225\345\374\374\17$\264\343\377#q\252\273\344J\243\350\327\300\316\371\31\326\33\35\214\200\367s\25-\27\355\2678\356\316\240[\217\275'\247\231\227\260\312|\371q\244+d#x\3311\354\226Q\14\347\355\201\214\370\3609\314y(\375\341\221\350\230c\257p\316y\260!\276S@\242\207z:\375\323\375\15M\15\26\374\346\266\363z\273at\326\261'\347\260i\210%s\316:D\200\274\257\354\3652l\263\311\336<>\267#g\205\3\371\300d\210>\242M;\217\343(\243\14\277\203=Z\5s\320\346\266F\342\177\14\243D33\26\33\324ql\25\323J\232F\203=\374\367", ) == 0x0
 03797   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\201\342\0\360\0\0\211U\10\17\267E\10;\301\17\217\214\0\0\0\17\204\267\0\0\0\203\370\16\177`tS\203\370\2\17\214\361\0\0\0\203\370\13\17\216\236\0\0\0\203\370\14t\10\203\370\15\351\331\0\0\0j\20\350fi\370\377\205\300u\12\270\16\0\7\200\351\261\0\0\0f\203 \0f\213\13f\211\10\213K\10\211H\10\213K\14\211H\14\200M\361@\211E\370\353{\213\363\215}\360\245\245\245\245\353p\203\370\20\17\214\223\0\0\0\203\370\23~D\203\370\25\17\216\205\0\0\0\203\370\27~6\203\370$\353y=\27@\0\0\177f=\26@\0\0}#=\0@\0\0t\34=\1@\0\0~_=\16@\0\0~\16=\17@\0\0~Q=\23@\0\0\177J\377u\14\213\317V\350\275\374\377\377\213\310\301\351\2\213\363\215}\370\363\245\213\310\203\341\3\363\244\271\220R+w\350f\211\0\0\215E\360P\377u\20\377\25\370R+w_^[\311\302\14\0=$@\0\0t\275=\0`\0\0t\266\270\10\0\2\200\353\344\270\1@\0\200\302\14\0\213L$\4W\213|$\14\205\377t\35\213A(\213@D\205\300Vt\5\213@ \353\6\213A\14\213@`\2130\245\245\245\245^\213D$\20\205\300_t\10\213I\14\213Id\211\103\300\302\14\0U\213\354\203\354, 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03798   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\326\2046\236(\12\0\200", ) , ) == 0x0
 03799   896   NtReadFile  (192, 0, 0, 0, 2600, 0x0, 0, ... {status=0x0, info=2600},  (192, 0, 0, 0, 2600, 0x0, 0, ... {status=0x0, info=2600}, "\21\21\21\21\21\21\37\21I(\27\10\136\217\237\235\231\317_\344\203c\353\311\233\24]\241\3464\356\347\271\324Oyqe\373\17\225\257\227\357_)\201J\242\21\262\345\207\201o\225\365@P\0\347\350f\21C\315\227\7\2606\301\316\320"#M\346$"\204R\322B5\24\261k\362\7fK\210\304\254Yk\326\2325\326Dx\254\233E\307\310\315"k\344#\222\254e\215\310[\227\33\221R-\254Do\326P#\233E\350\310#R\207e+\221\2325f\315H\263\232\225f\315Y\263\326\254ZZ\336,\12FlDy\263\262\21d\314\313F\213\32\2217H\256\212\214\231\356\27$\205\325\361\264\252{dPm5[\320\301~~H\214AZ\251\311\25\222]\274D\211\204\11y\362\22\23\26\226\323\351\270\266\226\370\362\3300\311\27\306\302\23'\33\31s\270\251j+#\237\300\256\7\262\317s\326\271\223\226\257\373X>\202\335\14\3\237\35|,6\279\6\341\306\340\22}\370d\355<\214\261\265\311VX\271\327\c\33\245>\151\343\247\316odfN\303\226\357Q\321\261\233\366\227\217\320\266K\263\14j\326\312lY\312\266w\315~ _\21v\347\360\236\15\370\344\231\270\365\2\367\233\307r>'\256p\303n\226&\231\35\211]?\255\17\313a\343?\313\12rD$5\332X\223\1&\200\316\267j\255\\340\375\273\262\244\277=\302;\241+j\321\2441\303\221\254\346\12\203\365[\205T@\31\363\363\0\327x\5\325\204[\360\340\261\203\317\264\201\227S\232\35\14>V\32\370\6\2706\213\14\222,N:Gb\253\201K\343\311L 6\31yo\334\342\334,eGa\342\265\270\330\31\15\214}\360i\234\360\341v5\336'\367o\274\301\334\350\275E\356\271\310\265\213W\11oM<\25\222E\365\353\320", ) #M\346$ (192, 0, 0, 0, 2600, 0x0, 0, ... {status=0x0, info=2600}, "\21\21\21\21\21\21\37\21I(\27\10\136\217\237\235\231\317_\344\203c\353\311\233\24]\241\3464\356\347\271\324Oyqe\373\17\225\257\227\357_)\201J\242\21\262\345\207\201o\225\365@P\0\347\350f\21C\315\227\7\2606\301\316\320"#M\346$"\204R\322B5\24\261k\362\7fK\210\304\254Yk\326\2325\326Dx\254\233E\307\310\315"k\344#\222\254e\215\310[\227\33\221R-\254Do\326P#\233E\350\310#R\207e+\221\2325f\315H\263\232\225f\315Y\263\326\254ZZ\336,\12FlDy\263\262\21d\314\313F\213\32\2217H\256\212\214\231\356\27$\205\325\361\264\252{dPm5[\320\301~~H\214AZ\251\311\25\222]\274D\211\204\11y\362\22\23\26\226\323\351\270\266\226\370\362\3300\311\27\306\302\23'\33\31s\270\251j+#\237\300\256\7\262\317s\326\271\223\226\257\373X>\202\335\14\3\237\35|,6\279\6\341\306\340\22}\370d\355<\214\261\265\311VX\271\327\c\33\245>\151\343\247\316odfN\303\226\357Q\321\261\233\366\227\217\320\266K\263\14j\326\312lY\312\266w\315~ _\21v\347\360\236\15\370\344\231\270\365\2\367\233\307r>'\256p\303n\226&\231\35\211]?\255\17\313a\343?\313\12rD$5\332X\223\1&\200\316\267j\255\\340\375\273\262\244\277=\302;\241+j\321\2441\303\221\254\346\12\203\365[\205T@\31\363\363\0\327x\5\325\204[\360\340\261\203\317\264\201\227S\232\35\14>V\32\370\6\2706\213\14\222,N:Gb\253\201K\343\311L 6\31yo\334\342\334,eGa\342\265\270\330\31\15\214}\360i\234\360\341v5\336'\367o\274\301\334\350\275E\356\271\310\265\213W\11oM<\25\222E\365\353\320", ) k\344#\222\254e\215\310[\227\33\221R-\254Do\326P#\233E\350\310#R\207e+\221\2325f\315H\263\232\225f\315Y\263\326\254ZZ\336,\12FlDy\263\262\21d\314\313F\213\32\2217H\256\212\214\231\356\27$\205\325\361\264\252{dPm5[\320\301~~H\214AZ\251\311\25\222]\274D\211\204\11y\362\22\23\26\226\323\351\270\266\226\370\362\3300\311\27\306\302\23'\33\31s\270\251j+#\237\300\256\7\262\317s\326\271\223\226\257\373X>\202\335\14\3\237\35|,6\279\6\341\306\340\22}\370d\355<\214\261\265\311VX\271\327\c\33\245>\151\343\247\316odfN\303\226\357Q\321\261\233\366\227\217\320\266K\263\14j\326\312lY\312\266w\315~ _\21v\347\360\236\15\370\344\231\270\365\2\367\233\307r>'\256p\303n\226&\231\35\211]?\255\17\313a\343?\313\12rD$5\332X\223\1&\200\316\267j\255\\340\375\273\262\244\277=\302;\241+j\321\2441\303\221\254\346\12\203\365[\205T@\31\363\363\0\327x\5\325\204[\360\340\261\203\317\264\201\227S\232\35\14>V\32\370\6\2706\213\14\222,N:Gb\253\201K\343\311L 6\31yo\334\342\334,eGa\342\265\270\330\31\15\214}\360i\234\360\341v5\336'\367o\274\301\334\350\275E\356\271\310\265\213W\11oM<\25\222E\365\353\320", ) == 0x0
 03800   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\3\0\0\351\352\340\377\377hA\3\0\0\351\340\340\377\377hB\3\0\0\351\326\340\377\377hC\3\0\0\351\314\340\377\377hD\3\0\0\351\302\340\377\377hE\3\0\0\351\270\340\377\377hF\3\0\0\351\256\340\377\377hG\3\0\0\351\244\340\377\377hH\3\0\0\351\232\340\377\377hI\3\0\0\351\220\340\377\377hJ\3\0\0\351\206\340\377\377hK\3\0\0\351|\340\377\377hL\3\0\0\351r\340\377\377hM\3\0\0\351h\340\377\377hN\3\0\0\351^\340\377\377hO\3\0\0\351T\340\377\377hP\3\0\0\351J\340\377\377hQ\3\0\0\351@\340\377\377hR\3\0\0\3516\340\377\377hS\3\0\0\351,\340\377\377hT\3\0\0\351"\340\377\377hU\3\0\0\351\30\340\377\377hV\3\0\0\351\16\340\377\377hW\3\0\0\351\4\340\377\377hX\3\0\0\351\372\337\377\377hY\3\0\0\351\360\337\377\377hZ\3\0\0\351\346\337\377\377h[\3\0\0\351\334\337\377\377h\\3\0\0\351\322\337\377\377h]\3\0\0\351\310\337\377\377h^\3\0\0\351\276\337\377\377h_\3\0\0\351\264\337\377\377h`\3\0\0\351\252\337\377\377ha\3\0\0\351\240\337\377\377hb\3\0\0\351\226\337\377\377hc\3\0\0\351\214\337\377\377hd\3\0\0\351\202\337\377\377he\3\0\0\351x\337\377\377hf\3\0\0\351n\337\377\377hg\3\0\0\351d\337\377\377hh\3\0\0\351Z\337\377\377hi\3\0\0\351P\337\377\377hj\3\0\0\351F\337\377\377hk\3\0\0\351<\337\377\377hl\3\0\0\3512\337\377\377hm\3\0\0\351(\337\377\377hn\3\0\0\351\36\337\377\377ho\3\0\0\351\24\337\377\377hp\3\0\0\351\12\337\377\377hq\3\0\0\351\0\337\377\377hr", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \340\377\377hU\3\0\0\351\30\340\377\377hV\3\0\0\351\16\340\377\377hW\3\0\0\351\4\340\377\377hX\3\0\0\351\372\337\377\377hY\3\0\0\351\360\337\377\377hZ\3\0\0\351\346\337\377\377h[\3\0\0\351\334\337\377\377h\\3\0\0\351\322\337\377\377h]\3\0\0\351\310\337\377\377h^\3\0\0\351\276\337\377\377h_\3\0\0\351\264\337\377\377h`\3\0\0\351\252\337\377\377ha\3\0\0\351\240\337\377\377hb\3\0\0\351\226\337\377\377hc\3\0\0\351\214\337\377\377hd\3\0\0\351\202\337\377\377he\3\0\0\351x\337\377\377hf\3\0\0\351n\337\377\377hg\3\0\0\351d\337\377\377hh\3\0\0\351Z\337\377\377hi\3\0\0\351P\337\377\377hj\3\0\0\351F\337\377\377hk\3\0\0\351<\337\377\377hl\3\0\0\3512\337\377\377hm\3\0\0\351(\337\377\377hn\3\0\0\351\36\337\377\377ho\3\0\0\351\24\337\377\377hp\3\0\0\351\12\337\377\377hq\3\0\0\351\0\337\377\377hr", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03801   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\324\343I\3372\16\0\200", ) , ) == 0x0
 03802   896   NtReadFile  (192, 0, 0, 0, 3634, 0x0, 0, ... {status=0x0, info=3634},  (192, 0, 0, 0, 3634, 0x0, 0, ... {status=0x0, info=3634}, "\16\7?"\270n\10\37C\204\270\15\366d#\\320\334\2234\323Uq\3339w\22|Lp0t\322\23If<6L;\356$\2446\247+\200\2178\232\375\257@\22Cg=\4\15nCX\375j\255;\12\220c\352'\340\232#\241\271\244\307\23\237z\223la!\324\11\230\353\323\3208\14\14\371\27\253\325a\253^\207&\264z\310\26\317\251pP\263\337\317\305\6C\177\27|%\365u\354\15\263\360\1\331xa\362\314\2c3lF\372I*\256\243\366\246Oy\324j\333\330\142\326\340\304\244\332\366n2r~\242\23W\315Nl\275\254{9\372M3\204\7p\372\213\373\204\306;\370'\334\376\2366}\216\242\332\310tj5\357l(\k\336\332\204\23H\354\363H\313s\351\11\2703\3\377\314?Z&\267\35\16\354\35q\360\21\217\367\237\236\325a\316\350\262\23;\315~\22\213\303\202\353m7e\332\355H$Y\244w\246s\260\216 V\231=\207\226\344m'\210q\327T\240(8\245G\221f\207\207P\315\303\214B6^<\204v\231i\21\222D\214\355\0\340\331Sn\1N\332\254\275\25\207\315\216-\201\316\30\370\377d\303E\361\17\5\326L\207\\234&\331\370\236s7\335\\332\10~\363\360\4\252\355\371\352\257\300\316hc@\320\371\270\7RaM\177t\303\231E\23e\344\304\357\210}\275A\360\20\257\325\316\20\326\316\211\16v\31\32\320\10E\242j{\266\352\236\225\324\200\351\5\371\260\353\351\3128\336fR\216\375\347\363\226U<\205\256\210qm5q\\3\316z4\340\233\202\335\317V\311\243\34\10\362\333\31I\2165\370\270\22\31\346\35\236\270\327\25\0_-\324\3015\33-$\257lm\336\220\264\310\301W\243<;\35\26~\230>q\217\210\16f\342\3403)qBZ\366\316", ) \270n\10\37C\204\270\15\366d#\\320\334\2234\323Uq\3339w\22|Lp0t\322\23If<6L;\356$\2446\247+\200\2178\232\375\257@\22Cg=\4\15nCX\375j\255;\12\220c\352'\340\232#\241\271\244\307\23\237z\223la!\324\11\230\353\323\3208\14\14\371\27\253\325a\253^\207&\264z\310\26\317\251pP\263\337\317\305\6C\177\27|%\365u\354\15\263\360\1\331xa\362\314\2c3lF\372I*\256\243\366\246Oy\324j\333\330\142\326\340\304\244\332\366n2r~\242\23W\315Nl\275\254{9\372M3\204\7p\372\213\373\204\306;\370'\334\376\2366}\216\242\332\310tj5\357l(\k\336\332\204\23H\354\363H\313s\351\11\2703\3\377\314?Z&\267\35\16\354\35q\360\21\217\367\237\236\325a\316\350\262\23;\315~\22\213\303\202\353m7e\332\355H$Y\244w\246s\260\216 V\231=\207\226\344m'\210q\327T\240(8\245G\221f\207\207P\315\303\214B6^<\204v\231i\21\222D\214\355\0\340\331Sn\1N\332\254\275\25\207\315\216-\201\316\30\370\377d\303E\361\17\5\326L\207\\234&\331\370\236s7\335\\332\10~\363\360\4\252\355\371\352\257\300\316hc@\320\371\270\7RaM\177t\303\231E\23e\344\304\357\210}\275A\360\20\257\325\316\20\326\316\211\16v\31\32\320\10E\242j{\266\352\236\225\324\200\351\5\371\260\353\351\3128\336fR\216\375\347\363\226U<\205\256\210qm5q\\3\316z4\340\233\202\335\317V\311\243\34\10\362\333\31I\2165\370\270\22\31\346\35\236\270\327\25\0_-\324\3015\33-$\257lm\336\220\264\310\301W\243<;\35\26~\230>q\217\210\16f\342\3403)qBZ\366\316", ) == 0x0
 03803   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\302\14\0V\213t$\10\215F\4P\377\25p\24\33w\205\300u\17\205\366t\11\213\6j\1\213\316\377P\243\300^\302\4\0\213D$\4\213@\24\377t$\10\213\10P\377Q\14\302\10\0\213D$\4\213@\24\213\10P\377Q\20\302\4\0\213T$\10\213\301SV\213p4W\213|$\20\213\312\213\331\301\351\2\363\245\213\313\203\341\3\363\244)P0\1P4_^3\300[\302\14\0V\213t$\10\205\366\213\301u\7\270W\0\7\200\353#\213T$\14SW\213xT\213\312\213\331\301\351\2\363\245\213\313\203\341\3\363\244)PP\1PT_3\300[^\302\10\0\213T$\10\213\301SV\213p4\301\342\2W\213|$\20\213\312\213\331\301\351\2\363\245\213\313\203\341\3\363\244\213L$\24)H0\1P4_^3\300[\302\14\0V\213t$\10\205\366\213\301u\7\270W\0\7\200\353*\213T$\14\301\342\2SW\213xT\213\312\213\331\301\351\2\363\245\213\313\203\341\3\363\244\213L$\24)HP\1PT_3\300[^\302\10\0\213T$\10\213\301SV\213p4\301\342\3W\213|$\20\213\312\213\331\301\351\2\363\245\213\313\203\341\3\363\244\213L$\24)H0\1P4_^3\300[\302\14\0V\213t$\10\205\366\213\301u\7\270W\0\7\200\353*\213T$\14\301\342\3SW\213xT\213\312\213\331\301\351\2\363\245\213\313\203\341\3\363\244\213L$\24)HP\1PT_3\300[^\302\10\0\270\377\377\0\200\302\10\0U\213\354Q\213A\14\203e\374\0\213\10\215U\374Rh\334\333\33wP\377\21\205\300|v\213E\374\213\10SV\213u\10WVh\\327\33wj\0\277l\334\33wWP\377Q\14\213\330\213E\374\213\10P\377Q\10\205\333}\4\213\303\353C\213", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03804   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\27\376l!\362\14\0\200", ) , ) == 0x0
 03805   896   NtReadFile  (192, 0, 0, 0, 3314, 0x0, 0, ... {status=0x0, info=3314},  (192, 0, 0, 0, 3314, 0x0, 0, ... {status=0x0, info=3314}, "{\230{\274Q\5\374Y\5\350\274\250K\222\372,9\306+Y\206v&\226\355!\320m\5\34\332\11w\343\345\272\213\21\221a.\307\317\312\374\212\253\27\335\342C\35\271\350\27\34\33[\36057\266\247Yz\211\34\326\33\3720o\277\3077\22&.Z\3724\336\242\205\233+1\214E\310w|E\342L{\364\345\255]1\12\30\206\234\267\376\358\350N\212\364\227\340\241Q\12(\15\A\350\200]\324o!D\327\360\351\321\305\315\301\225\362\247\373\177\255e\26\352\365\331p\227\311\0?f}00\26\253\344\27 U$$H\241\212\221\4 QZ\222\177|\234]\205>\17d\252o\271\362j$\252\255\201\233\7\213\155G\233Y\337\12\350\317\370\137\215\250\276\251\372\14:55y\34\324\344csz\341\270G\262b<29\3468\3323\270u%\344\370Y\313\362\214\21\354\335A]W\364\276B@\337\0i\205\343\21\317>~k\211E\343I@\20_\307\323\240u*\3076\375\205y\203[><\256\202\317\337\265\243\16\12\22\242\7\242\277)C\337\360y\222%\210\332(\226\15/\1i\223\324H\232)\270\24'\342\252\345[\333{jK\216!\305\246\231]\220\315.\243\31\31\334|E_\370\253T\234;\203\225L\16\271'\5c\224N\322\12%+\374\225s\221\276\223@bt\11<4\2453e\320\267{X\356)\265=I\220I:\307\22\334\32o.r\262gV\2J$\332ihN\322\273\216\300\216\\33P\32V\202:E\307\316FC\377\177\240\250\247w\357\260x\302\273\321=\221\207>\225\315\23`\321\247\267uN\343\330\0\270\311\26\302\344\357\331IK$\322/\360\362\242\17\215\377>\232\31\211"1j\6\22^\5\372-\202tZ\3640g\221\264\326\321D\177\260\2576b", ) 1j\6\22^\5\372-\202tZ\3640g\221\264\326\321D\177\260\2576b", ) == 0x0
 03806   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\3\231\367\377\353\23\300_^\311\302\4\0\350\272\201\370\377\203|$\4\0t%V\276hA+w\213\316\350\231\351\366\377\203=\304V+w\0t\7\203%\304V+w\0\213\316\350\367i\372\377^\302\4\0\350\372u\372\377\205\300\213D$\4t\34\213\320\271\0\0\377\377#\321t\4;\321u\15\213\15\24A+w\213\21PQ\377R\30\302\4\0U\213\354Qd\241\30\0\0\0\213\200\200\17\0\0\205\300\211E\374u\17\215M\374\350\321\14\370\377\205\300|\13\213E\374\213\200\234\0\0\0\311\3033\300\311\303U\213\354\201\354\4\2\0\0\215E\354P\377u\10\307E\374|\0\0\0\350:E\371\377\205\300uN\377u\10\215\205\374\375\377\377P\377\25l\24\33wh0{\34w\215\205\374\375\377\377P\377\25D\24\33w\215E\374P\215\205\364\376\377\377P\215\205\374\375\377\377Ph\0\0\0\200\377\25\334\20\33w\205\300u?\213\215\364\376\377\377f\205\311u\43\300\3533\215\225\364\376\377\377\215\205\364\376\377\377@@f\203\371\t\6f\203\371:u\2\213\320f\213\10f\205\311u\350R\350\2\324\377\377\213M\14f\211\13\300@\311\302\10\0S\213\331V\213s4\205\366tKUWV\377\25\370\22\33w\213\370\205\377t:\215o\4\353\37\213M\0\205\311t\25\270\341\3\0\0Pj\0\377s0PQ\350\15*\0\0\377K<\203\305\10\215GT;\350r\332\213\306\2137P\377\25\364\22\33w\205\366u\271_]^[\303U\213-\330\22\33wV\213\3613\300f\213FPf\205\300t\3P\377\325\213F\24\205\300t\12\213\10P\377Q\10\203f\24\0W\213~4\205\377t'SW\213\337\377\25\370\22\33w\205\300t\4\2138\353\23\377S\377\25\364\22\33wS\377\25\230\23\33", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03807   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\255n\351l\330\13\0\200", ) , ) == 0x0
 03808   896   NtReadFile  (192, 0, 0, 0, 3032, 0x0, 0, ... {status=0x0, info=3032},  (192, 0, 0, 0, 3032, 0x0, 0, ... {status=0x0, info=3032}, "\354\32'\302\272\264\232\1m\33h!\260\211\357\303\32q\177Y\23\231q\356\251\3v\326\233\224\337]\331\307\231f\14\374?\360\253\27\376 A\204\324\0\303U\210*o\30\326\2567\372u\336L\201}`Ux\3544{b\205\0\207\333v\260Q\333&!\20\333\251\317\243\357P\202\222\262\24\204\26\271\245\221=\212P{\323e\2527\222\317v$\16\247I$\335\363\203\20\7c\27?\350\200\351Q\7\370\223\231\34&\222\274W$B\11G\304\373R)w\354\234\305\0\221\27\251|\330\376_|\37\21v\335\362\245\34\235&\235\331f\346X\341aM\272\26\36\322\310;\334V\336\315\365\377\317\25\315}\365\230\225\332\323>\311\230]\373N\373\23}\24\312\251\262\1Z\233=\375\221\231\315\214>%\374\35\226J\11\276z\242\305\15\277N\226Z82\227\240S\326\5\204\365z\360"&\337>\247\261m\347\7\242$\367\362\342", ) \376 A\204\324\0\303U\210*o\30\326\2567\372u\336L\201}`Ux\3544{b\205\0\207\333v\260Q\333&!\20\333\251\317\243\357P\202\222\262\24\204\26\271\245\221=\212P{\323e\2527\222\317v$\16\247I$\335\363\203\20\7c\27?\350\200\351Q\7\370\223\231\34&\222\274W$B\11G\304\373R)w\354\234\305\0\221\27\251|\330\376_|\37\21v\335\362\245\34\235&\235\331f\346X\341aM\272\26\36\322\310;\334V\336\315\365\377\317\25\315}\365\230\225\332\323>\311\230]\373N\373\23}\24\312\251\262\1Z\233=\375\221\231\315\214>%\374\35\226J\11\276z\242\305\15\277N\226Z82\227\240S\326\5\204\365z\360 (192, 0, 0, 0, 3032, 0x0, 0, ... {status=0x0, info=3032}, "\354\32'\302\272\264\232\1m\33h!\260\211\357\303\32q\177Y\23\231q\356\251\3v\326\233\224\337]\331\307\231f\14\374?\360\253\27\376 A\204\324\0\303U\210*o\30\326\2567\372u\336L\201}`Ux\3544{b\205\0\207\333v\260Q\333&!\20\333\251\317\243\357P\202\222\262\24\204\26\271\245\221=\212P{\323e\2527\222\317v$\16\247I$\335\363\203\20\7c\27?\350\200\351Q\7\370\223\231\34&\222\274W$B\11G\304\373R)w\354\234\305\0\221\27\251|\330\376_|\37\21v\335\362\245\34\235&\235\331f\346X\341aM\272\26\36\322\310;\334V\336\315\365\377\317\25\315}\365\230\225\332\323>\311\230]\373N\373\23}\24\312\251\262\1Z\233=\375\221\231\315\214>%\374\35\226J\11\276z\242\305\15\277N\226Z82\227\240S\326\5\204\365z\360"&\337>\247\261m\347\7\242$\367\362\342", ) , ) == 0x0
 03809   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\213GX\213p\20\213E\10Sj\10\215U\364NR\307E\364NANI\211u\370\213\10P\377Q\20\213\330\205\333uc\205\366tn\213OXj\1\350\36\367\377\377\205\300t\24\377u\14\213\310\377u\10\350\251\22\0\0\213\330N\205\333u=\205\366tH\213OX\213A\24\211E\374\215E\374P\350\227\367\377\377\213OX\215E\374P\350\213\367\377\377\205\300t\23\377u\14\213\310\377u\10\350o\22\0\0\213\330\205\333t\335\205\333t\17\377u\360\213E\10\377u\354\213\10P\377Q\30\213E\10\213\10P\377Q\10^\213\303[\353\23\300_\311\302\10\0U\213\354QS\213]\14\203\373\1VW\213\361\17\202?\1\0\0\213F\24;\330\17\2074\1\0\0\203~(\0\17\205\303\0\0\0\366F\4\1\17\205\271\0\0\0\213^\10\3\330\215<[\301\347\5Wj\0\3775\24h+w\377\25`@+w\205\300\211E\374\17\204\207\0\0\0\213\303\301\340\2Pj\0\3775\24h+w\377\25`@+w\205\300t^\213U\374\213\317\211V(\211F$\213\372\213\321\301\351\23\300\363\253\213\312\203\341\3\363\2523\3009F\24v\15\213N$\203\14\201\377@;F\24r\363\213F\24\215K\377\353\12\213~$\215P\2\211\24\207@;\301r\362\213F$\307D\230\374\376\377\377\377\213F\24@\211F \211^\14\353\25\377u\374j\0\3775\24h+w\377\25d@+w\203N\4\1\366F\4\1uj\213]\14\213F$\213\373\301\347\2\203|8\374\0\211}\14u%\213F(\215<[\301\347\5j\0\215L\7\240\350\224\366\377\377\213V(j\30\215|\27\240Y3\300\363\253\213}\14\213N(\377u\10\215\4[\301\340\5\215L\10\240\350\247\30\0\0\213F$\215D8\374\2038\377u\6", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03810   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "^Y)6\322\12\0\200", ) , ) == 0x0
 03811   896   NtReadFile  (192, 0, 0, 0, 2770, 0x0, 0, ... {status=0x0, info=2770},  (192, 0, 0, 0, 2770, 0x0, 0, ... {status=0x0, info=2770}, "\335\2\2474N\242tIDY\32\27#\217\20C\3\224\241\244'\3\241\0\250\202\251B\214\236\21197\352\232\367\374=!\177H\30,\321\36?~\241)J\7\302\25!\350\365"\2575\267\23\253T\254\13~r t\330c\231\320UC\355S\159\264=gq\24f\2426\232*\351G\261\201\260!\264\201\330@\327 \336\260\341\12\305d't\33\30\15ZC\327\241jp\272Hl0m\46\4KQ\22\356K\3774\343\7\31\6d8_\317\352\34\352\2207\373>\356\214\12\370\305\231y\365\347\33h!<\215\223\3\24]\20\24\233\312\200\234\313L.[\230\322{\231I\4\233y\301\364\341y^\3711|\25J\251\362(\300\272`\316\20\277\354\2328tt\24\275\306b\233\232\10n\212q\324y\267\24\345\254\254\214\271x\312%R\220\303QM\234\226b\306W\266O\263\260x}\31\365p\276\365\245d\357\206\224\225\312\340H\254j\323\221\23\1g\\351\12\17\312\27\202V\3x\253\362\370\375\307P\22D\10'\10\33~<\346\200\300'-]{\273O\246\327M\373L\34S{\30\302\33\320\217!f\201\311\6\277\1\261c\337m\22\226\321\250A\277\35\205[<8\27\316T}g3\325\303\3\233P\316h\2127\2757\33B>\255\16?O\35~\225\273Lx.;\307m\332\31\16\37\374\10u.\15\275U\370?\201\270\17\350\3412\311W~\347\271\304\240\352\346+\362\360\271wz\34\232ck\266\303\231\333\335\307x<\360\363\341Wq\6\326\363\357\246\323\333\217\13\342\3723;^\24p\337L\273\207>\64\205au\243\206\234\263`\367\334\307xu\227?\25X*\273"\14\27\204\330\232\3621d\270\350A\216A"^%\347\355r\273\2016\6A\333\3605\12\7B\330\350\325", ) \2575\267\23\253T\254\13~r t\330c\231\320UC\355S\159\264=gq\24f\2426\232*\351G\261\201\260!\264\201\330@\327 \336\260\341\12\305d't\33\30\15ZC\327\241jp\272Hl0m\46\4KQ\22\356K\3774\343\7\31\6d8_\317\352\34\352\2207\373>\356\214\12\370\305\231y\365\347\33h!<\215\223\3\24]\20\24\233\312\200\234\313L.[\230\322{\231I\4\233y\301\364\341y^\3711|\25J\251\362(\300\272`\316\20\277\354\2328tt\24\275\306b\233\232\10n\212q\324y\267\24\345\254\254\214\271x\312%R\220\303QM\234\226b\306W\266O\263\260x}\31\365p\276\365\245d\357\206\224\225\312\340H\254j\323\221\23\1g\\351\12\17\312\27\202V\3x\253\362\370\375\307P\22D\10'\10\33~<\346\200\300'-]{\273O\246\327M\373L\34S{\30\302\33\320\217!f\201\311\6\277\1\261c\337m\22\226\321\250A\277\35\205[<8\27\316T}g3\325\303\3\233P\316h\2127\2757\33B>\255\16?O\35~\225\273Lx.;\307m\332\31\16\37\374\10u.\15\275U\370?\201\270\17\350\3412\311W~\347\271\304\240\352\346+\362\360\271wz\34\232ck\266\303\231\333\335\307x<\360\363\341Wq\6\326\363\357\246\323\333\217\13\342\3723;^\24p\337L\273\207>\64\205au\243\206\234\263`\367\334\307xu\227?\25X*\273 (192, 0, 0, 0, 2770, 0x0, 0, ... {status=0x0, info=2770}, "\335\2\2474N\242tIDY\32\27#\217\20C\3\224\241\244'\3\241\0\250\202\251B\214\236\21197\352\232\367\374=!\177H\30,\321\36?~\241)J\7\302\25!\350\365"\2575\267\23\253T\254\13~r t\330c\231\320UC\355S\159\264=gq\24f\2426\232*\351G\261\201\260!\264\201\330@\327 \336\260\341\12\305d't\33\30\15ZC\327\241jp\272Hl0m\46\4KQ\22\356K\3774\343\7\31\6d8_\317\352\34\352\2207\373>\356\214\12\370\305\231y\365\347\33h!<\215\223\3\24]\20\24\233\312\200\234\313L.[\230\322{\231I\4\233y\301\364\341y^\3711|\25J\251\362(\300\272`\316\20\277\354\2328tt\24\275\306b\233\232\10n\212q\324y\267\24\345\254\254\214\271x\312%R\220\303QM\234\226b\306W\266O\263\260x}\31\365p\276\365\245d\357\206\224\225\312\340H\254j\323\221\23\1g\\351\12\17\312\27\202V\3x\253\362\370\375\307P\22D\10'\10\33~<\346\200\300'-]{\273O\246\327M\373L\34S{\30\302\33\320\217!f\201\311\6\277\1\261c\337m\22\226\321\250A\277\35\205[<8\27\316T}g3\325\303\3\233P\316h\2127\2757\33B>\255\16?O\35~\225\273Lx.;\307m\332\31\16\37\374\10u.\15\275U\370?\201\270\17\350\3412\311W~\347\271\304\240\352\346+\362\360\271wz\34\232ck\266\303\231\333\335\307x<\360\363\341Wq\6\326\363\357\246\323\333\217\13\342\3723;^\24p\337L\273\207>\64\205au\243\206\234\263`\367\334\307xu\227?\25X*\273"\14\27\204\330\232\3621d\270\350A\216A"^%\347\355r\273\2016\6A\333\3605\12\7B\330\350\325", ) ^%\347\355r\273\2016\6A\333\3605\12\7B\330\350\325", ) == 0x0
 03812   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\205\304\375\377\377P\377ut\350\374\370\377\377\213\370;\376u/h\0\1\0\0\215\205\304\375\377\377P\3775\330V+w\377\25\240\23\33w\205\300t4j\10\3775\330V+w\211ut\377\25L\26\33w\213\370\377ut\215\205\304\375\377\377P\215E\30PW\350\24\371\377\377;\376\213\330t\7W\377\25H\26\33w_^\213\303[\203\305l\311\302\14\0U\213\354\201\354\0\2\0\0\203}\14\0t\37\350~\254\374\377\205\300t\26j\4\377u\14\377\25\\24\33w\205\300t\7\270W\0\7\200\353cVh$\207\34w\215\205\0\376\377\377P\377\25l\24\33w\213E\10\377p\10\2135D\24\33w\215\205\0\376\377\377P\377\326h\4\32\33w\215\205\0\376\377\377P\377\326h\20\210\34w\215\205\0\376\377\377P\377\326\377u\14\215\205\0\376\377\377Ph\0\0\0\200\377\25\270\20\33w\367\330\33\300%R\1\4\200^\311\302\10\0\213D$\4\203`\20\03\300\302\4\0U\213\354\203\354\24W3\3003\3779E\14v\35V\213u\10\213\6j\0\215M\354Qj\1VG\377P\14\205\300u\5;}\14r\350^_\311\302\10\0U\213\354\201\354\270\2\0\0S\213]\10\213\3W\215M\3643\377QS\211}\360\211}\364\211}\370\211}\374\377P\34;\307\17\205V\2\0\09}\14V\17\206\7\2\0\0\213E\20\211E\109{,t9\213U\10j\5\215s\24Y\213\372\363\245\213C(\215H\377\367\321#\310\211J\10\213C(\215H\377#\310\211K(u\4\203c,\0\377E\370\203E\10\243\377\351\267\1\0\0\213C\20P\215H\1\215\205H\375\377\377hp)\33wP\211K\20\377\25\250\27\33w\203\304\14\215E\360P\215\205\350\375\377\377P\215\205H\375\377\377P\377u\364", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03813   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ...
 03737  2016   NtUserWaitMessage  ... ) == 0x1
 03814  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03815  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 0, 670, 1, ... ) == 0x0
 03814  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 03816  2016   NtUserWaitMessage  (... ) == 0x1
 03817  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03818  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 0, 670, 1, ... ) == 0x0
 03817  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 03819  2016   NtUserWaitMessage  (... ) == 0x1
 03820  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03821  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 03820  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 03822  2016   NtUserWaitMessage  (...
 03813   896   NtReadFile  ... {status=0x0, info=8},  ... {status=0x0, info=8}, "\3\4m\270R\33\0\200", ) , ) == 0x0
 03823   896   NtReadFile  (192, 0, 0, 0, 6994, 0x0, 0, ... {status=0x0, info=6994},  (192, 0, 0, 0, 6994, 0x0, 0, ... {status=0x0, info=6994}, "%B\241\37\264\355\312\250\374\362\350\260'\207y\206o\315\247!\30_\237\320v\205R\367\35uO\\325\262\341\1\341i\247\255\325g\215\233\331<<\316\366\203\374`V.\33\6\312\355\305\306?\206\313\7\352\247[\252h\340\37\264\206\32\306;\14\326\321\274\314\2629\235|\234\205\24\344r$4\2420\264\200\233\202~<\12:jYn+\1\342}B\200\15o\231`C0#k\255\301\317\37\276\277\264\350\4/l\256\244\264\372\351\343\333\335\353B\16z\351\356\242\177\350\275\203\347\325t\235\367\10\351;z\3614\331\270l\301+\276^\327\271\364\222\12\216{\271@f\260\257s\7\277\260\375\26\177u\15\5.m\317\231\357\323\307\307\226y\376WXI\343\374\334~\222\344\352.\377\340\36~\332\2172\251\256\273\234\35cO3\204\312(1\357y\4\0d\310&\37\372NF2\324'?\364\225\366\303q\306p\322\275\224\234\226wYFA\300\360\232\24\224!zQs\303S\34X\24\31\344\332\273r\224\334\37\315$\376\22\24\254Q\366\20\251\272\472K\312\227\314H\316\245\23\256\366\11CG\323\225$\2151\276K\32q\225\240\251\15V^\207@\374A\374\372\3O\371~\257\263i\263\27\277\247\370\226\273\3637\266\26\20\330\362\361\215\304\367\227\225\243o\361nV\2)\327\357\226s?`\267\211\26\210\251\227/\272s\347\225\365\311L\343\341\225\32q\253\255\274\21KZ\325J\232\234", ) , ) == 0x0
 03824   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "t\10\377u\264\350\33\204\365\377\205\377u\27\213E\10\213\10\215U\374R\215U\264Rj\1P\377Q\14\205\300t\235\213E\10\213\10P\377Q\10\213\307_^\311\302\20\0U\213\354\203\354(V\213u\10\213\6\215M\10Q\377u\14V\377P \205\300t9|#\215E\354PV\350\277 \370\377\203\370\1u\24\215E\10P\377u\14\215E\354P\350\2\214\377\377\205\300t\243\300\3539\203}\374\1u\12f\213E\330f;E\20t\31\213E\10\213\10\215U\374R\215U\330Rj\1P\377Q\14\213\360\205\366t\327\213E\10\213\10P\377Q\103\300\205\366\17\224\300^\311\302\14\0V\377t$\10\377\25\360\23\33w\213\360\205\366t, 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03825   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\302C#'\274\32\0\200", ) , ) == 0x0
 03826   896   NtReadFile  (192, 0, 0, 0, 6844, 0x0, 0, ... {status=0x0, info=6844},  (192, 0, 0, 0, 6844, 0x0, 0, ... {status=0x0, info=6844}, "\336\230\251\14\354u\326\15\267\241\264\252\262\31w9\33\264\360\2032\31:\271W\336\201\256\307W\6\226\204\330\306o\3524\240-+Ej\332\264\244\257R+oY\355\254V8\213\313\267\17k\361\177\217\377\205\31$q\3126\371\270\5\35\34\27\223\267<\2\207\255\322G5A3\320mj\320\301\232^!\253\342\205\203\335h\375\203\315\327\246\304\7\5l^9\267^\177\21\257\371m;0\301yy\241LIv\2069\336\324\3775\330\220 \256Q\227h\343;\327\376\233\356\16\260\265D\320\345\315\246\377?<\344\256\12:\242\315\362b\376\366!\306n\\246|/\17\262\375\255?[\115*\367]+3fe^\243S\247\22\270d\257\210\355\314Fi%\333\312\313\333\217\363\22{\362`\247\375f+/\1\321\12\227\225~\374r\305\24\374<\234\236\232\31`\363\2229\261\232\300\356\344>Re\220co0W\346q\214\263\177\4x\33\213Qcq\363\212m\177\213\267\312\213j\372\12\21J\35\336\351\363b\351{]\375\310\342\22)\31I\364d\274"\345/\235*G\305L\376=\247x\34\375\366\303\237\277\320\350\32\337\216\372\177\203\37\7\216\367\336\251\221s)W9\266\344\261\231\253\255\315Gh\315\316\361\351\6!\267-\10\321b\223\11\16\315\245\360\344\266S\335Vj\316\245\252\232x\233\345B\325\5\350\177-\305i\353\322p\371\256E\275\323\352\211\26I\247\363\314mcda\10\240\227X\34\30\245\22m*\357\263\334\364\310\376O\331\251\242G\365\242\2500\354m\30.lnm\35@\345\243\203I\323\315]\203\210-H/l=7\312y{\376\3027\7\32\373+A4\316\352\320\21j\2656\246\275l\241\231te\270\255\374n\215:\2d!@9\323\221\316{k\276\353!\244\371\347\311\326\\36\241", ) \345/\235*G\305L\376=\247x\34\375\366\303\237\277\320\350\32\337\216\372\177\203\37\7\216\367\336\251\221s)W9\266\344\261\231\253\255\315Gh\315\316\361\351\6!\267-\10\321b\223\11\16\315\245\360\344\266S\335Vj\316\245\252\232x\233\345B\325\5\350\177-\305i\353\322p\371\256E\275\323\352\211\26I\247\363\314mcda\10\240\227X\34\30\245\22m*\357\263\334\364\310\376O\331\251\242G\365\242\2500\354m\30.lnm\35@\345\243\203I\323\315]\203\210-H/l=7\312y{\376\3027\7\32\373+A4\316\352\320\21j\2656\246\275l\241\231te\270\255\374n\215:\2d!@9\323\221\316{k\276\353!\244\371\347\311\326\\36\241", ) == 0x0
 03827   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\4\367\331\33\311#\310\203\301\4\350\207\0\365\377\311\303\203l$\4\4\351\241\376\377\377\203l$\4\4\351s\376\377\377V\213\361\350\37\377\377\377\366D$\10\1t\6V\350\353\3\365\377\213\306^\302\4\0U\213\354\201\354\200\1\0\0S\213]\10\213ChVW\377u\24\213}\14\211E\360\213E\203\366\215\215\304\376\377\377\211M\224P\215\215\304\376\377\377W\307E\354\0\1\3\200\211u\364\211u\370\211E\374f\211\265\300\376\377\377\211\265\304\376\377\377\211\265\310\376\377\377\211M\230\211u\234\350C\375\377\377;\306\17\214\334\1\0\0\213\313\350\36\375\377\377;\306\211E\10\17\214\203\1\0\0\215M\354\350n\214\377\377;\306\211E\10\17\214p\1\0\0\353\3\213}\149sdt\23d\241\30\0\0\0\213\200\200\17\0\0\213\0\3Cd\353\23\300\213Kh\213Q\10\211P\14\213Q\14\211P\20\213I\20\211H\249s\34t\23d\241\30\0\0\0\213\200\200\17\0\0\213\0\3C\34\353\23\300\213@\10$ \366\330\33\300%\2\1\3\200\211E\10\17\214\13\1\0\0\215C P\17\267@@P\215\215\200\376\377\377\350\235\320\365\377\213M\20\215\4\377\215\4\3019E\374\211E\350\17\203\210\0\0\09s\34t\23d\241\30\0\0\0\213\200\200\17\0\0\213\10\3K\34\353\23\311V\215E\240PV\215{ W\350\227\375\377\377;\306\211E\10|C\377u\240\215\215\304\376\377\377\350\375\6\0\0;\306\377u\240\211E\10|;\213\317\350\2\316\377\377\213}\374\203E\374H\213E\374\211u\310\211u\314\211u\344j\22Y\215u\240\363\2453\366;E\350r\217\353\25=\22\0\3\200u\16\307E\10\1\0\0\0\353\5\350C\2\365\377\213U\10\201\372\12\0\0\200t\10\201\372\4\2\3\200u", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03828   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "p\244\245\377\302\11\0\200", ) , ) == 0x0
 03829   896   NtReadFile  (192, 0, 0, 0, 2498, 0x0, 0, ... {status=0x0, info=2498},  (192, 0, 0, 0, 2498, 0x0, 0, ... {status=0x0, info=2498}, "\331\263\344\26#\244F'\216r\215\264\30IcN\33\346#\271a\310\320m_\253\266\273'\253\262\213\333x\261&\247\230\4\236\235\253\217\351\265\352\360\346?k\22x\262q\255i\357\345\335\341\251\325\2373#\345D\372\320\205b/\2604|u\0B\303R\255Vs%\250\242\25\266\326T\0s6\15\216@J\352F\371\13<\310j\212\344\350\320\221t\17\12\314\263\2 \241\250n\372\311\307\240\25x\353\374#\16\222"\277X\376\341\321^s!\253+\5\303\324;\335\221\14`|\276u\21%s\326\361\367yf`\324\326\1\332\1\23\237\266\15\0m\2651x\316\5[Z7%\354\21\10\322\256\24)LZ|\241\15\303\7\200\5XEji\230J\275Z\0\371\326k\334\334h\271j\325j\1\255+!\6\314^\271..\321\251\5\240\213l\353\270.\243\326\2326Y2(\372]\247\327\226\227~x\226GF(\232uY\200\364\344\34\226>\267\211\376`F\344\202\13\26\6!\2365A\301[\215H\277\244\260\364 N;\376\206j/\365]U\374\15\20q:\356\370#\324\221\327\374Y)\234\217h\342,\205\277CO\351\353\342\3167\263\353+=W8\15[\15\253\216\371\252p\233\263\245\217\10\237\11\2169\355RO\230\334iS$S\221\241\242\251v\11I\357\21M\245\225\221\333G;\247[\332'\35\201\7\273\244\10\270q%j\20K\302\2646\216,v\30\204\371W9\210QvO\361\375j\216P\244\375\5\320\256\273\337\2359c\361\217\252_\36\7\243\261\243?\200S\36\200\271\26\325\15`\344\12\275\3\227\305\225\30\2413AB|\261T\252\217S\250\31\360M<\352\27\371\2010\365\245\276\212\276\357w\3\325;\340OM\250\225\246\203\20\336\31\365\370t\360X\346\375\217\262k\336\377 \246~", ) \277X\376\341\321^s!\253+\5\303\324;\335\221\14`|\276u\21%s\326\361\367yf`\324\326\1\332\1\23\237\266\15\0m\2651x\316\5[Z7%\354\21\10\322\256\24)LZ|\241\15\303\7\200\5XEji\230J\275Z\0\371\326k\334\334h\271j\325j\1\255+!\6\314^\271..\321\251\5\240\213l\353\270.\243\326\2326Y2(\372]\247\327\226\227~x\226GF(\232uY\200\364\344\34\226>\267\211\376`F\344\202\13\26\6!\2365A\301[\215H\277\244\260\364 N;\376\206j/\365]U\374\15\20q:\356\370#\324\221\327\374Y)\234\217h\342,\205\277CO\351\353\342\3167\263\353+=W8\15[\15\253\216\371\252p\233\263\245\217\10\237\11\2169\355RO\230\334iS$S\221\241\242\251v\11I\357\21M\245\225\221\333G;\247[\332'\35\201\7\273\244\10\270q%j\20K\302\2646\216,v\30\204\371W9\210QvO\361\375j\216P\244\375\5\320\256\273\337\2359c\361\217\252_\36\7\243\261\243?\200S\36\200\271\26\325\15`\344\12\275\3\227\305\225\30\2413AB|\261T\252\217S\250\31\360M<\352\27\371\2010\365\245\276\212\276\357w\3\325;\340OM\250\225\246\203\20\336\31\365\370t\360X\346\375\217\262k\336\377 \246~", ) == 0x0
 03830   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "i(wMi(wTi(wYi(wxi(w\217i(w\246i(w\27j(w\351j(w\275i(w\351j(w\32k(w\324i(w\351j(w\353i(w\363i(w\371i(w\272j(wU\213\354\203\354\20VW\213}\10\205\377\17\204\203\0\0\0\213M\14\205\311t|f\213\21\213u\30f;\362u\11QW\350\15\20\0\0\353mR\350P\347\377\377\205\300t\33V\350F\347\377\377\205\300t\21V\377u\24\377u\20QW\377\25\234\5+w\353Hf\367\306\0@u5\366\306 u0\366\306@t!Q\215E\360P\350(\346\377\377\205\300u)V\377u\24\215E\360\377u\20PW\350\375\374\377\377\353\26V\377u\24\377u\20Q\353\356\270\5\0\2\200\353\5\270W\0\7\200_^\311\302\24\0U\213\354V3\3669u\10tB\350\12,\373\377\205\300t\17j\20\377u\10\377\25\\24\33w\205\300u*9u\14t%\350\2,\373\377\205\300t\17j@\377u\14\377\25X\24\33w\205\300u\15\377u\14\377u\10\350\216\242\0\0\353\5\276W\0\7\200\213\306^]\302\10\0U\213\354\203}\14\0Vt?\350\307+\373\377\205\300t\17j\20\377u\14\377\25X\24\33w\205\300u'j\37\377u\10\350\346m\1\0\213\360\205\366|\34\377u\14\377u\10\377u\10\377\25h\24\33wP\350\225\243\0\0\353\5\276W\0\7\200\213\306^]\302\10\0V\213\361\203~\10\0u\35\215F\14P\377\25\250\30\33w\205\300}\10P\350\360\7\0\0^\303\307F\10\1\0\0\03\300^\303j\14h\270\224\34w\350\261N\1\0\213\361\211u\344\307\6p\224\34w\307FPh\224\34w\203f \0\213E\10\211F\34\350\273\201\0\0\203e\374\0\215F$", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03831   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\366\372\357\227\316\11\0\200", ) , ) == 0x0
 03832   896   NtReadFile  (192, 0, 0, 0, 2510, 0x0, 0, ... {status=0x0, info=2510},  (192, 0, 0, 0, 2510, 0x0, 0, ... {status=0x0, info=2510}, "g\341h\244\14\356zM\334\3167\376\303\241+\273\27\30B\324\2003@\224Q\277w\25\353\233?\221\224l\200k&\21\314\256F\232\23\357\16\303\324\15$a\367V\17\3354\223\237\321M\305\13\336\3356u%\335&\271h\270\312n\372O\31\377\244?\270\\211M\205\2\207\336\361\16\316M\33M\3F|\341\222_\227\347r\324p|i$\26\300\26s\305\256\251\225\10\207\247cn\237\306<\30N\256s\376:\337n{\316-\213\254\344Y\375\276K\20B`a\241d\363\6\21\25\364H\7!\2\5\200\375\210\13^\15\220\305\314\343h\340<\352\244\263\243\345\342\257r\307\270i\204\360\275`\0B\353s(4\374\1\217\215\347\36k{\351\210\34\2630\352W2\341,{\231\306<\4\0\235`q\273\337\275\251W\V\200\335u\233F\260\276\335\0\207\347![\301+\301\316\0\370\20\246\322ZCch\266\322\202\37m;\220\231o\0\4\215\370\31B\5\343p\370\13\354\221w\317\347\234\30~\266O4\335\302\207\333\300N\302.H\159\200\317Cg\22\350)\31\334\214B\11\30,U\267o?=\300\255\265\241j\262\31Q\314\313\376\06~L\3371\265\14\253z\6\10\241\321\263Sq\3x\353\13\206\257\3405\373J\300\242X\16\214\251\341\0\340\251\2p\374\344\362v\234\331\350\0\211B\314t\1\202\210[\253\343\251\16K\340`\343\25\340\314`X\372~\346\242M\353\205\252\364\26\266T\357x\334\201\356W8\222\26\337/\200Y\11>\226A\373u7\206>\0\365\277b\256=b|\347\202\341\342\364\11:\213\33\334\310cw\262\233YpFI]\322q, ) , ) == 0x0
 03833   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\350E\4\364\377\205\300Yt\16\377s\30\213\310\350D\374\377\377\213\370\353\23\377\205\377u\7\276\16\0\7\200\353-j\0\377u\14\213\317\377s\24\350\214\372\377\377\213\360\205\366|\16\213E\243\366\2118\353\17\276W\0\7\200\205\377t\6\213\7W\377P\10\213[\30\213\3S\377P\20_\213\306^[]\302\20\0VW\213\361V\377\25p\24\33w\213\370\205\377u\17\205\366t\21j\1\213\316\350"\372\377\377\205\377}\43\300\353\2\213\307_^\303V\213t$\10W\213\371\307\7\240\226\34w\213F\10\213\10j\377P\377Q\14\377v\10\213\317\350\246\373\377\377\213F\20\211G\20\377v\14\377\25t\24\33w\213F\14\211G\14\213v\10\213\6V\377P\20\213\307_^\302\4\0V\213\361\213F\10\307\6\240\226\34w\213\10P\377Q\10\213N\14\205\311^t\5\351n\377\377\377\303V\213\361\350\330\377\377\377\366D$\10\1t\7V\350+\3\364\377Y\213\306^\302\4\0V\213t$\14W3\377;\367tD\350\363\253\372\377\205\300t\15j\4V\377\25X\24\33w\205\300u.j\24\211>\350\14\3\364\377;\307Yt\15\377t$\14\213\310\350A\377\377\377\353\23\300;\307u\7\277\16\0\7\200\353\2\211\6\213\307\353\5\270W\0\7\200_^\302\10\0V\213t$\10\213F\20\205\300t\10\213\10P\377Q\10\353&W\215F P\377\25p\24\33w\213\370\205\377u\22\215F\30P\350\26Q\0\0j\1\213\316\3509\373\377\377\213\307_^\302\4\0U\213\354\201\354\34\4\0\0\203e\364\0S\213]\10\213C\30\213\10VWj\377P\377Q\14\213}\14\215\205\364\373\377\377\211\205\344\373\377\377\215\205\364\373\377\377W\215\215\344\373\377\377\307\205\350\373\377\377@\0\0\0\211\205\354\373\377", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \372\377\377\205\377}\43\300\353\2\213\307_^\303V\213t$\10W\213\371\307\7\240\226\34w\213F\10\213\10j\377P\377Q\14\377v\10\213\317\350\246\373\377\377\213F\20\211G\20\377v\14\377\25t\24\33w\213F\14\211G\14\213v\10\213\6V\377P\20\213\307_^\302\4\0V\213\361\213F\10\307\6\240\226\34w\213\10P\377Q\10\213N\14\205\311^t\5\351n\377\377\377\303V\213\361\350\330\377\377\377\366D$\10\1t\7V\350+\3\364\377Y\213\306^\302\4\0V\213t$\14W3\377;\367tD\350\363\253\372\377\205\300t\15j\4V\377\25X\24\33w\205\300u.j\24\211>\350\14\3\364\377;\307Yt\15\377t$\14\213\310\350A\377\377\377\353\23\300;\307u\7\277\16\0\7\200\353\2\211\6\213\307\353\5\270W\0\7\200_^\302\10\0V\213t$\10\213F\20\205\300t\10\213\10P\377Q\10\353&W\215F P\377\25p\24\33w\213\370\205\377u\22\215F\30P\350\26Q\0\0j\1\213\316\3509\373\377\377\213\307_^\302\4\0U\213\354\201\354\34\4\0\0\203e\364\0S\213]\10\213C\30\213\10VWj\377P\377Q\14\213}\14\215\205\364\373\377\377\211\205\344\373\377\377\215\205\364\373\377\377W\215\215\344\373\377\377\307\205\350\373\377\377@\0\0\0\211\205\354\373\377", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03834   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "z:\332\24\222\16\0\200", ) , ) == 0x0
 03835   896   NtReadFile  (192, 0, 0, 0, 3730, 0x0, 0, ... {status=0x0, info=3730},  (192, 0, 0, 0, 3730, 0x0, 0, ... {status=0x0, info=3730}, "\304\25\3\260\324\252\327\22\203V8\352<\347\301\357\243\330\354\3062\3445\273qO|\3100\351\325\2\363\330\230\35eg(\314i\374\310@4~\301\240\223>\31 \5\245\3769\211\363\331c\300\343QPO\222l\313\3414ll\224\350&+\310E\323\372\3221\367s\253>'__#\335\206"\377B\3334s\355\270\243\260Z\3646\3063/[C\201'\317\216\331\240\357\371\35\312\304\323\221\333\264S\362<\340:9\35\201\362\375,\357@v\365\225\220\231\341\0\2244\363\276\230\34JK\255&\236-L\215\354\216\345\312l\0\324v\255N;\0h\274\36f\252<\0"m|GS\34\200\266\271\0]\326=\35\177\204\27\270\261\367\223d\253\\312\334A[\225\300\257\230\13\235^9\0\360\263l\346\347\26\226\210o@e\342\360R\25V8\32\27e\201\247\321\\350#\312\271\202\275\262\312}\204\20g\232\267\14\217+\307\243\237\347H\242\245\331\232|\207\301\357\276\334\220\337\13/w\253\244>\271or\11\322\23\23\12|\242\326|\5\202\21\245\17\221R\376J\201\234\310~%\262\351\216\10p\246\335_\242\25\26b\201>\356\314;^\1\3\276!\307\312\32p\255\345e_\3076\227J<\35\226\30\315\3622K\322\230V\0s\4\2\355\275\342\0fL\337G<\32\357'\223\363\7\24-\3442\263\366U\265\360T\2dp1\266\255\10\336\211\271\7.\30\6\302\370\274=\21v~\274.\16!f^\210\21WC\233g(\30\34xn\306\214\223\252\15a\213}\303}\341\332\362\246\317+\327\221Z\370\336\267J>\323\215HO\366\2\263Nx,0\336\241\240L\16W\204\200bi@\330x\337\241g\330l\270.6\27A\24\311\15", ) \377B\3334s\355\270\243\260Z\3646\3063/[C\201'\317\216\331\240\357\371\35\312\304\323\221\333\264S\362<\340:9\35\201\362\375,\357@v\365\225\220\231\341\0\2244\363\276\230\34JK\255&\236-L\215\354\216\345\312l\0\324v\255N;\0h\274\36f\252<\0 (192, 0, 0, 0, 3730, 0x0, 0, ... {status=0x0, info=3730}, "\304\25\3\260\324\252\327\22\203V8\352<\347\301\357\243\330\354\3062\3445\273qO|\3100\351\325\2\363\330\230\35eg(\314i\374\310@4~\301\240\223>\31 \5\245\3769\211\363\331c\300\343QPO\222l\313\3414ll\224\350&+\310E\323\372\3221\367s\253>'__#\335\206"\377B\3334s\355\270\243\260Z\3646\3063/[C\201'\317\216\331\240\357\371\35\312\304\323\221\333\264S\362<\340:9\35\201\362\375,\357@v\365\225\220\231\341\0\2244\363\276\230\34JK\255&\236-L\215\354\216\345\312l\0\324v\255N;\0h\274\36f\252<\0"m|GS\34\200\266\271\0]\326=\35\177\204\27\270\261\367\223d\253\\312\334A[\225\300\257\230\13\235^9\0\360\263l\346\347\26\226\210o@e\342\360R\25V8\32\27e\201\247\321\\350#\312\271\202\275\262\312}\204\20g\232\267\14\217+\307\243\237\347H\242\245\331\232|\207\301\357\276\334\220\337\13/w\253\244>\271or\11\322\23\23\12|\242\326|\5\202\21\245\17\221R\376J\201\234\310~%\262\351\216\10p\246\335_\242\25\26b\201>\356\314;^\1\3\276!\307\312\32p\255\345e_\3076\227J<\35\226\30\315\3622K\322\230V\0s\4\2\355\275\342\0fL\337G<\32\357'\223\363\7\24-\3442\263\366U\265\360T\2dp1\266\255\10\336\211\271\7.\30\6\302\370\274=\21v~\274.\16!f^\210\21WC\233g(\30\34xn\306\214\223\252\15a\213}\303}\341\332\362\246\317+\327\221Z\370\336\267J>\323\215HO\366\2\263Nx,0\336\241\240L\16W\204\200bi@\330x\337\241g\330l\270.6\27A\24\311\15", ) \363\7\24-\3442\263\366U\265\360T\2dp1\266\255\10\336\211\271\7.\30\6\302\370\274=\21v~\274.\16!f^\210\21WC\233g(\30\34xn\306\214\223\252\15a\213}\303}\341\332\362\246\317+\327\221Z\370\336\267J>\323\215HO\366\2\263Nx,0\336\241\240L\16W\204\200bi@\330x\337\241g\330l\270.6\27A\24\311\15", ) == 0x0
 03836   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\370\1\7\203}\34\0\213\7t'+E\314V\377u\304\213\313P\377u\10\377u\24\350a\351\377\377\203>\0\17\214v\1\0\0\213E\360\213M\350\1H\4\213K\34\205\311t$\203}\370\0}\24\213\3+\301\3E\300Q\213M\370P\3\301P\350\213\334\377\377\377u\370\213\313\350\345\351\377\377\213E\330\213M\310\3\301\3E\350\17\204\1\1\0\0\212C\31\200e\37\0$\30<\10u\4\306E\37\1\203e\374\0\203}\10\0\17\206\342\0\0\0\213E\20\213}\24\211E\330\203\307\10\213\7\203\370\3t\16\203\370\5t\11\203\370\4\17\205\253\0\0\0\213G\370Vj\0P\213\313\211E\20\350\244\357\377\377\203>\0\17\214\327\0\0\0\203}\20\0u\10\203 \0\351\203\0\0\0\213W\374V\211U\304\215U\24R3\311\215U\274RQQ\377w\370\211M\24\215M\304QP3\300f\213C\14P\377u\330\350-\31\377\377\203>\0\17\214\223\0\0\0\213\133\322f\213Q\2f;U\24w\3\213U\24\200}\37\0f\211Q\2t2f\201{\14\260\4t*\203}\20\14u\20\215M\320QPj\1\213\313\350/\356\377\377\353\24\203}\20\15u\16\215M\320QPj\1\213\313\350\334\355\377\377\377E\374\213E\374\203E\330\20\203\307\14;E\10\17\202*\377\377\377\213M\370\205\311}\30\213}\300\213C$\213\20VSj\1\3\371WP\377R,\203>\0|\21\213M\30\205\311t\12\213E\244f\211C\14f\211\1\200}\264\0t\10\377u\260\350x\202\363\377\203>\0}B3\377\213]\14;\337t9\213E\324;\307t2\203}\10\1t\2\213\33;\307~\25\215s\4\211E\24\3776\350J\202\363\377\203\306\10\377M\24u\361\203}\10\1t\13S\3506\202\363\377\213E\14\2118", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03837   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\2022\22\3020\35\0\200", ) , ) == 0x0
 03838   896   NtReadFile  (192, 0, 0, 0, 7472, 0x0, 0, ... {status=0x0, info=7472},  (192, 0, 0, 0, 7472, 0x0, 0, ... {status=0x0, info=7472}, "\231\276\357\353*\313\350\265-w\347>\356t\334\236\214\217\33\362L\321v\333\210o\3121+\274\315\22T\337z\320\352\205+\12k\200\37+\7\27\313O\230\357\310g\177\246.}t)\202\222$i\246\367\343!_\361^\177N4\21\223\365\315\340\357\324/Ao\363\356&\300\231\324;\377\20Nx\37\341I\257W:\241E\372\210\356\313\335\12<\317\204\347\236_\23\33T\351q\273C\207\32.\320\341z\210u\6\247M2A\313\207\351w\305D^\343\3>~\370Bq]\304k-]\267\307\354q\264\375\376l\304\334\357\177\2\321a\222#>\347k\376p\364\367\361\360\247+\366\324\322\32*\340L{\256\317n\\347^\354\301\265\201\306\349\242\371\302\272\367C\30\371\10\33\276\213\237\252U\227%\27\33\\251c.~\375\1\223J\270\231hN\37\7\254\301\200\271\237\337s\216\256\315\272\250e!A\356O\217meYw\333\2761\215\237\237\13\377Me\37\356D\320Z\10/\331T&\252\365\246\275]\20J\335=\207\327\363\217vO\264\366u\346C\267*\230\361\342v\247l\265\307t\251\245vN\273\207Q\327|$\300\247\321\262\3749\17\246\317\271Pi\17vs\377r\23l\276\273\3536~\277\213\374\364\7\35\252\222\2568S\317/\206\234\276\320]Y\2\240\22\246\310\212oW\362E}\13\265>\24X\6\327\337)\347\300\365\14\14\346\377\5\231cEErkO\333%J\331WJ\347|\330\27\366UK\277\247\11\304\227\351)\305\31\234\201G\35\34]\0\13_\226v\234\2652\216\360Af%\352/\356\313\252\350\220TN\233\261\221\12\177\274\377/SZ\245\247\301y\157\344\347\267\331**`\5e\346vn\36\17?\355\221pDmL\214b\375CM\254\204\303\250\227\53\310\254R\222", ) , ) == 0x0
 03839   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\0\0\311\303U\215l$\214\201\354\244\0\0\0SV\213u|W3\377\301\356\2\211Mp\211}l\213A\10\213\320\200\342 \367\326\203\346\1\366\332\33\322\201\342\2\1\3\200\213\332\17\214;\6\0\0\204\300x\12\273\5\0\3\200\351-\6\0\0\366Ah\1tK\215E`P\350BD\363\377\213\330;\337\17\214\24\6\0\0\213Up\203\302\9:t\22d\241\30\0\0\0\213\200\200\17\0\0\213\10\3\12\353\23\311\377ud\377u`j\1\350\216\24\0\0\213\330;\337\17\214\337\5\0\0\213Mp\366A\12\4t\20\366E|\1t\12\273\377\0\3\200\351\306\5\0\0W\350\210\365\377\377\213\330;\337\17\214\266\5\0\0\213Mp\366A\10\2\17\205\204\0\0\0\366Ah\1t6\350\33\316\375\377\205\300u#\213Up\203\302X9:t\22d\241\30\0\0\0\213\200\200\17\0\0\213\10\3\12\353\23\311\350t\355\375\377\213Ep\200`h\376\213Mp9ydu<\366E|\10t\13\377u|\350'\374\377\377\213Mp\215Ql9:t\22d\241\30\0\0\0\213\200\200\17\0\0\213\10\3\12\353\23\311V\350u \363\377\213\330;\337\17\214,\5\0\03\300\351'\5\0\0\203yd\1\17\205f\1\0\0\215Qx9:t\25d\241\30\0\0\0\213\200\200\17\0\0\213\0\3\2\213Mp\353\23\300\366@,\4t:\203\301x99t\22d\241\30\0\0\0\213\200\200\17\0\0\213\0\3\1\353\23\300\213@\24\215MlQh\200\0\0\0P\350L\335\363\377\213\330;\337\17\214\300\4\0\0\213Mp\215Ql9:t\22d\241\30\0\0\0\213\200\200\17\0\0\213\10\3\12\353\23\311\377u|\350\363\331\363\377\213\330;\337\17\214\211\2\0\0\366E|\1t\16\213Mp\350", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03840   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\222\240C\234J\26\0\200", ) , ) == 0x0
 03841   896   NtReadFile  (192, 0, 0, 0, 5706, 0x0, 0, ... {status=0x0, info=5706},  (192, 0, 0, 0, 5706, 0x0, 0, ... {status=0x0, info=5706}, "\326UU\0\314\205]\217t\205\253\302\343\270\254\0\5\270Id\10\361\312.\21\252\13ME\313`\271\263\273v\210s\201\17\27\27\202!4 D\30\227l\25\271\241\331\10\17\210\212\241\361\264V.\250!\264\13Wq\17g\203\324"\351\10\345\31C\306\15\376\206\254\27\6\214\215\20\331\327\271\310F\24\256\230Q\346\7\255bUd\207\223\241\367,E\354]\372\1}\210QPC\334A\365oWb\24\371\301\226x7$\17C\17\211\303\312P\366\370\376\357%Xb'\261\22R\242\341v\357u\27~\321*\244\211\232ppH\274\327\\337\205.\26\200u\24\377\251\376\11r\301\33l%\34"\352\30O@.\277\6\353\206\270\341\223`\22\11\302\347\361#0\374\302\223\366\206\374\320U\350\12\212\2\250\370\344=QO\24\342\303\365\203sA\212\265`3\360\216\\343Q\320\206\206\1\367\343\307Q\205\346\242\377\255\274\262\367\4^\241\252\342dt\345~\315_0\354*qltN\375\231\221\234)\212m\332t\1\6V}\225v\254:\237Z\341\33\365\324\352)\4\232\230\2R\232\273\234)\264z\361\234\262\257\273\276\251\337\357\236)5u\303=\260YE\306\243\251j\346\314sM]\311^]\227m\312\177\271\261^\25\367\336\345&\276~*\247\265\272\373V\324\306\213\217w\262-\266\304?\274{\353U\254u\267\267U|&\246\211\3653\335\245|\240\306\246,i\332M\223\274i\260\245;\243\267\310\36^wt\307\316\375,\315\337\221\320\1!\333V\354\336\301\251\231\362P\203\376\253W[\277\266\260$6en\30~\325\3319\12o<\326\217ue\305\273;\327\272\362V\313I\355\12b)\202\231\253\235SM\312\17i\234(\320\251\33\214h0}\30\3701\1g\275*\312\322C\255\236_\254", ) \351\10\345\31C\306\15\376\206\254\27\6\214\215\20\331\327\271\310F\24\256\230Q\346\7\255bUd\207\223\241\367,E\354]\372\1}\210QPC\334A\365oWb\24\371\301\226x7$\17C\17\211\303\312P\366\370\376\357%Xb'\261\22R\242\341v\357u\27~\321*\244\211\232ppH\274\327\\337\205.\26\200u\24\377\251\376\11r\301\33l%\34 (192, 0, 0, 0, 5706, 0x0, 0, ... {status=0x0, info=5706}, "\326UU\0\314\205]\217t\205\253\302\343\270\254\0\5\270Id\10\361\312.\21\252\13ME\313`\271\263\273v\210s\201\17\27\27\202!4 D\30\227l\25\271\241\331\10\17\210\212\241\361\264V.\250!\264\13Wq\17g\203\324"\351\10\345\31C\306\15\376\206\254\27\6\214\215\20\331\327\271\310F\24\256\230Q\346\7\255bUd\207\223\241\367,E\354]\372\1}\210QPC\334A\365oWb\24\371\301\226x7$\17C\17\211\303\312P\366\370\376\357%Xb'\261\22R\242\341v\357u\27~\321*\244\211\232ppH\274\327\\337\205.\26\200u\24\377\251\376\11r\301\33l%\34"\352\30O@.\277\6\353\206\270\341\223`\22\11\302\347\361#0\374\302\223\366\206\374\320U\350\12\212\2\250\370\344=QO\24\342\303\365\203sA\212\265`3\360\216\\343Q\320\206\206\1\367\343\307Q\205\346\242\377\255\274\262\367\4^\241\252\342dt\345~\315_0\354*qltN\375\231\221\234)\212m\332t\1\6V}\225v\254:\237Z\341\33\365\324\352)\4\232\230\2R\232\273\234)\264z\361\234\262\257\273\276\251\337\357\236)5u\303=\260YE\306\243\251j\346\314sM]\311^]\227m\312\177\271\261^\25\367\336\345&\276~*\247\265\272\373V\324\306\213\217w\262-\266\304?\274{\353U\254u\267\267U|&\246\211\3653\335\245|\240\306\246,i\332M\223\274i\260\245;\243\267\310\36^wt\307\316\375,\315\337\221\320\1!\333V\354\336\301\251\231\362P\203\376\253W[\277\266\260$6en\30~\325\3319\12o<\326\217ue\305\273;\327\272\362V\313I\355\12b)\202\231\253\235SM\312\17i\234(\320\251\33\214h0}\30\3701\1g\275*\312\322C\255\236_\254", ) , ) == 0x0
 03842   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "ile\0\0z\5wcsncpy\0\270\0NtMapViewOfSection\0\0\21\5_ftol\0\340\2RtlRaiseStatus\0\0o\0NtCreateFile\0\0G\2RtlGetCurrentDirectory_U\0\0c\0NtClose\09\2RtlFreeHeap\0\377\1RtlDosPathNameToNtPathName_U\0\0U\5qsort\0'\5_ultoa\0\0ntdll.dll\0A\3RtlUnwind\0d\0MesHandleFree\0b\0MesEncodeFixedBufferHandleCreate\0\0_\0MesDecodeBufferHandleCreate\0\336\1UuidCreate\0\0-\0I_RpcFreeBuffer\0\245\1RpcServerTestCancel\0>\1RpcAsyncGetCallStatus\0<\1RpcAsyncCancelCall\0\0\204\1RpcMgmtSetCancelTimeout\0\\1RpcCancelThreadEx\0?\1RpcAsyncInitializeHandle\0\0\325\1RpcStringFreeW\0\0K\1RpcBindingInqAuthInfo", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03843   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "}\371h"T\13\0\200", ) T\13\0\200", ) == 0x0
 03844   896   NtReadFile  (192, 0, 0, 0, 2900, 0x0, 0, ... {status=0x0, info=2900},  (192, 0, 0, 0, 2900, 0x0, 0, ... {status=0x0, info=2900}, "\317\14\345w\237\71\254\3229:\356\325\200!\256p\25\307\334>\263\356\15\330\315\7\337\274FG\305#_\231\337\331\235\361\236\342\23\367\307\37\177\337\237\364\35\335f\202Kz\360v8:\326\356\323\370\316\3628\334-\237Gw\342g\343\341\273\15\273\206\2677\33O\354\226\207\276oz\266\33\336|P\377\21\374\311F\30\3652M\234$\367\30\3712\302R\4NQ\234F\312\216\336\216\346\216\244\210\224w\21W\215\26\30\2754\6\10\247\332C\210(\242\245\245\232b?\2071(}\225R\25E\31D\353\357o\372e\234U\251\230\224\235\217\212\306e\177\346\314\250\377p=&\253\203\35\331)\201Q\224T9\370~-uu\261;\325\307\36n\260\343N)\232f\245v\252RTe3\342\267)\205+E\253\254\253\255\253\256W\213\256\32\256\276\230\372\260*\231\255\232\253\233\253\235\253\177\253\2W\15\256\15]\25]-]1]*\u\270-v\\11\272B\272j\272B\271\22\271\372\271\302\347\246\230,b\245W\216W^WZ\253\256\253\252U\324\312\351%\364\12q\252\351\12\351J\350\352\347\12\347\211\346\246XX)\225\243\225\327\225\326\252\353\252\352\25\365rz\11\275B\j\272B\272\22\272\372\271\302\271\242\271)VV\212\345(\345u\245u\352z\252\272E\275\234^B\257\20W\232\256\220\256\204\256~\256\332\25\352i;v\324&3\214SJ#\231FE\217\264\216\14\211\316\226\226B\245\3441\245~\12\3506\26\263\300v\264k\264\360\350Mv\30\301\223e\353\24\356I0\306\334\370\334\245?\222\365\377\12\5\225lq\325\343j\327U\337\325\362W\35\253\307\226\261el\331[v\226\35e\307\331\261vl\35[\307\226\261el\331[v\226\35e\307\331\261vl\35[\307\226\261el\331[v", ) , ) == 0x0
 03845   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, " \0P\377u\24\377u\20\377u\14\377u\10\350o\234\372\377]\302\24\0U\213\354\213E\10\213\10V\213u\30V\377u\24\377u\20\377u\14P\377Q \205\300}\3\203&\0^]\302\24\0U\213\354\213E\30\203 \0P\377u\24\377u\20\377u\14\377u\10\350f\234\372\377]\302\24\0U\213\354\213E\10\213\10V\213u\30V\377u\24\377u\20\377u\14P\377Q$\205\300}\3\203&\0^]\302\24\0\351\267\241\372\377\377t$\20\213D$\10\377t$\20\213\10\377t$\20P\377Q \302\20\03\300@\302\10\03\300@\302\4\0U\213\354\203}\24\0\270\334\335\33wu\5\270\274\335\33w\377u\24\377u\20P\377u\14\377u\10\350\235\241\372\377]\302\20\0\377t$\24\213D$\10\377t$\24\213\10\377t$\20P\377Q \302\24\0U\213\354\213E\34P\377u\303\311\377u\24\211\10QQ\377u\14\377u\10\350\232\234\372\377]\302\30\0U\213\354\213E\10\213\10V\213u V\377u\34\377u\30j\0\377u\14P\377Q\20\205\300}\3\203&\0^]\302\34\0\213D$\24P\377t$\243\311QQ\377t$\30\211\10\377t$\30\350\224\234\372\377\302\24\0\213D$\4\213\10V\213t$\34V\377t$\34j\0\377t$\30P\377Q,\205\300}\3\203&\0^\302\30\0V\377t$\103\366F\350\311\232\372\377;\306u\23\366\213\306^\302\4\0\213D$\4\213\10P\377Q\24H\367\330\33\300\367\330\302\4\0U\213\354Q\203e\374\0\215E\374P\377u\20\377u\14\377u\10\350Q\233\372\377\213M\24\205\311t\5\213U\374\211\21\311\302\20\0\213D$\20\213L$\4\203 \0\213\21P\377t$\20\377t$\20Q\377R\20\302\20\0U\213\354", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03846   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\0\257\32\347\10E\0\200", ) , ) == 0x0
 03847   896   NtReadFile  (192, 0, 0, 0, 17672, 0x0, 0, ... {status=0x0, info=17672},  (192, 0, 0, 0, 17672, 0x0, 0, ... {status=0x0, info=17672}, "\21\21\342\21}\376z\5j>\377\360\351\203\372\247\7\276Z\16\35n\356Y\375\37I\331\363[O\211\30$\325=\325\2038\327\252r\351puL\365HGt\17T'?\10\24T\16r\240\266\205+8\0\255\372\203p\374\345\7\277\\35s"/\1779c\230q\37\231j<\335\212\334\370h"/\177\357)\341\323\2728\22\341\371\333\25vO/\342P\304\201w\340\315\333\275M\223<\363\275M\211\336\341\213\354q\344\336\265\357\314\31b\354\335{\10F\275\3420\356\220\373D\1\251}\334\306\304\214\21\21\37\21\335Bx\24\234"\27c"\342""""#"\254ZN;\256\300?\34\270W.\232\352\242\255%\204\272\335V?@N\230t\207\233.\233\372.U\26\371s\317sN\266J\206\346\21&7\214Pa\303\277B\361\334,\6:\3\235\365\319\2379\375&\370w\21\337\224w\27\347\363\342^i]\22\321\366\351\32\15\325+\234l-\353\250\251Z\3657H\2169,\27!\347\273m\341\214Uq\344\213\16c\216l\315\37ujufx`Tu\311j\262\36\353\211M(p\2708\351\223\365\262F\252+w\243\326\370\22\304\241\364b\15u5\37\353\236N:\234\23"}\374* :L\226\223o\227\217\316F\15\35r\37tTLB\241\21\204.", ) '?\10\24T\16r\240\266\205+8\0\255\372\203p\374\345\7\277\\35s (192, 0, 0, 0, 17672, 0x0, 0, ... {status=0x0, info=17672}, "\21\21\342\21}\376z\5j>\377\360\351\203\372\247\7\276Z\16\35n\356Y\375\37I\331\363[O\211\30$\325=\325\2038\327\252r\351puL\365HGt\17T'?\10\24T\16r\240\266\205+8\0\255\372\203p\374\345\7\277\\35s"/\1779c\230q\37\231j<\335\212\334\370h"/\177\357)\341\323\2728\22\341\371\333\25vO/\342P\304\201w\340\315\333\275M\223<\363\275M\211\336\341\213\354q\344\336\265\357\314\31b\354\335{\10F\275\3420\356\220\373D\1\251}\334\306\304\214\21\21\37\21\335Bx\24\234"\27c"\342""""#"\254ZN;\256\300?\34\270W.\232\352\242\255%\204\272\335V?@N\230t\207\233.\233\372.U\26\371s\317sN\266J\206\346\21&7\214Pa\303\277B\361\334,\6:\3\235\365\319\2379\375&\370w\21\337\224w\27\347\363\342^i]\22\321\366\351\32\15\325+\234l-\353\250\251Z\3657H\2169,\27!\347\273m\341\214Uq\344\213\16c\216l\315\37ujufx`Tu\311j\262\36\353\211M(p\2708\351\223\365\262F\252+w\243\326\370\22\304\241\364b\15u5\37\353\236N:\234\23"}\374* :L\226\223o\227\217\316F\15\35r\37tTLB\241\21\204.", ) /\177\357)\341\323\2728\22\341\371\333\25vO/\342P\304\201w\340\315\333\275M\223<\363\275M\211\336\341\213\354q\344\336\265\357\314\31b\354\335{\10F\275\3420\356\220\373D\1\251}\334\306\304\214\21\21\37\21\335Bx\24\234 (192, 0, 0, 0, 17672, 0x0, 0, ... {status=0x0, info=17672}, "\21\21\342\21}\376z\5j>\377\360\351\203\372\247\7\276Z\16\35n\356Y\375\37I\331\363[O\211\30$\325=\325\2038\327\252r\351puL\365HGt\17T'?\10\24T\16r\240\266\205+8\0\255\372\203p\374\345\7\277\\35s"/\1779c\230q\37\231j<\335\212\334\370h"/\177\357)\341\323\2728\22\341\371\333\25vO/\342P\304\201w\340\315\333\275M\223<\363\275M\211\336\341\213\354q\344\336\265\357\314\31b\354\335{\10F\275\3420\356\220\373D\1\251}\334\306\304\214\21\21\37\21\335Bx\24\234"\27c"\342""""#"\254ZN;\256\300?\34\270W.\232\352\242\255%\204\272\335V?@N\230t\207\233.\233\372.U\26\371s\317sN\266J\206\346\21&7\214Pa\303\277B\361\334,\6:\3\235\365\319\2379\375&\370w\21\337\224w\27\347\363\342^i]\22\321\366\351\32\15\325+\234l-\353\250\251Z\3657H\2169,\27!\347\273m\341\214Uq\344\213\16c\216l\315\37ujufx`Tu\311j\262\36\353\211M(p\2708\351\223\365\262F\252+w\243\326\370\22\304\241\364b\15u5\37\353\236N:\234\23"}\374* :L\226\223o\227\217\316F\15\35r\37tTLB\241\21\204.", ) \342""" (192, 0, 0, 0, 17672, 0x0, 0, ... {status=0x0, info=17672}, "\21\21\342\21}\376z\5j>\377\360\351\203\372\247\7\276Z\16\35n\356Y\375\37I\331\363[O\211\30$\325=\325\2038\327\252r\351puL\365HGt\17T'?\10\24T\16r\240\266\205+8\0\255\372\203p\374\345\7\277\\35s"/\1779c\230q\37\231j<\335\212\334\370h"/\177\357)\341\323\2728\22\341\371\333\25vO/\342P\304\201w\340\315\333\275M\223<\363\275M\211\336\341\213\354q\344\336\265\357\314\31b\354\335{\10F\275\3420\356\220\373D\1\251}\334\306\304\214\21\21\37\21\335Bx\24\234"\27c"\342""""#"\254ZN;\256\300?\34\270W.\232\352\242\255%\204\272\335V?@N\230t\207\233.\233\372.U\26\371s\317sN\266J\206\346\21&7\214Pa\303\277B\361\334,\6:\3\235\365\319\2379\375&\370w\21\337\224w\27\347\363\342^i]\22\321\366\351\32\15\325+\234l-\353\250\251Z\3657H\2169,\27!\347\273m\341\214Uq\344\213\16c\216l\315\37ujufx`Tu\311j\262\36\353\211M(p\2708\351\223\365\262F\252+w\243\326\370\22\304\241\364b\15u5\37\353\236N:\234\23"}\374* :L\226\223o\227\217\316F\15\35r\37tTLB\241\21\204.", ) \254ZN;\256\300?\34\270W.\232\352\242\255%\204\272\335V?@N\230t\207\233.\233\372.U\26\371s\317sN\266J\206\346\21&7\214Pa\303\277B\361\334,\6:\3\235\365\319\2379\375&\370w\21\337\224w\27\347\363\342^i]\22\321\366\351\32\15\325+\234l-\353\250\251Z\3657H\2169,\27!\347\273m\341\214Uq\344\213\16c\216l\315\37ujufx`Tu\311j\262\36\353\211M(p\2708\351\223\365\262F\252+w\243\326\370\22\304\241\364b\15u5\37\353\236N:\234\2311\272\335\343\213\326\272\232Z\324G\264\\253\350p\365\264\317jR\351\244S\16\347\217\211K\271\377i (192, 0, 0, 0, 17672, 0x0, 0, ... {status=0x0, info=17672}, "\21\21\342\21}\376z\5j>\377\360\351\203\372\247\7\276Z\16\35n\356Y\375\37I\331\363[O\211\30$\325=\325\2038\327\252r\351puL\365HGt\17T'?\10\24T\16r\240\266\205+8\0\255\372\203p\374\345\7\277\\35s"/\1779c\230q\37\231j<\335\212\334\370h"/\177\357)\341\323\2728\22\341\371\333\25vO/\342P\304\201w\340\315\333\275M\223<\363\275M\211\336\341\213\354q\344\336\265\357\314\31b\354\335{\10F\275\3420\356\220\373D\1\251}\334\306\304\214\21\21\37\21\335Bx\24\234"\27c"\342""""#"\254ZN;\256\300?\34\270W.\232\352\242\255%\204\272\335V?@N\230t\207\233.\233\372.U\26\371s\317sN\266J\206\346\21&7\214Pa\303\277B\361\334,\6:\3\235\365\319\2379\375&\370w\21\337\224w\27\347\363\342^i]\22\321\366\351\32\15\325+\234l-\353\250\251Z\3657H\2169,\27!\347\273m\341\214Uq\344\213\16c\216l\315\37ujufx`Tu\311j\262\36\353\211M(p\2708\351\223\365\262F\252+w\243\326\370\22\304\241\364b\15u5\37\353\236N:\234\23"}\374* :L\226\223o\227\217\316F\15\35r\37tTLB\241\21\204.", ) , ) == 0x0
 03848   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "4\2504\2544\2604\2644\2704\2744\3004\3044\3104\3144\3204\3244\3304\3344\3404\3444\3504\3544\3604\3644\3704\3744\05\45\105\145\205\245\305\345 5$5(5,5054585<5@5D5H5L5P5T5X5\5`5d5h5l5p5t5x5|5\2005\2045\2105\2145\2205\2245\2305\2345\2405\2445\2505\2545\2605\2645\2705\2745\3005\3045\3105\3145\3205\3245\3305\3345\3405\3445\3505\3545\3605\3645\3705\3745\06\46\106\146\206\246\306\346 6$6(6,6064686<6@6D6H6L6P6T6X6\6`6d6h6l6p6t6x6|6\2006\2046\2106\2146\2206\2246\2306\2346\2406\2446\2506\2546\2606\2646\2706\2746\3006\3046\3106\3146\3206\3246\3306\3346\3406\3446\3506\3546\3606\3646\3706\3746\07\47\107\147\207\247\307\347 7$7(7,7074787<7@7D7H7L7P7T7X7\7`7d7h7l7p7t7x7|7\2007\2047\2107\2147\2207\2247\2307\2347\2407\2447\2507\2547\2607\2647\2707\2747\3007\3047\3107\3147\3207\3247\3307\3347\3407\3447\3507\3547\3607\3647\3707\3747\08\48\108\148\208\248\308\348 8$8(8,8084888<8@8D8H8L8P8T8X8\8`8d8h8l8p8t8x8|8\2008\2048\2108\214", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03849   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\16\201\2260\12!\0\200", ) , ) == 0x0
 03850   896   NtReadFile  (192, 0, 0, 0, 8458, 0x0, 0, ... {status=0x0, info=8458},  (192, 0, 0, 0, 8458, 0x0, 0, ... {status=0x0, info=8458}, "\222D\337\266VvV\355\14/\342^M\336\230\243\273h\356\376D\346'\352\231E\3642\22\355U"\274\316\375\206\27\311jr5\0-\217\201\356\\242\36\3\347\367)\267b\252\363L~_\320\3\354e\363\207\351<\334o\222_\202n\250\6\63\242rXt*\316%\226\256I\16\315j\350\261\31%\251\223\323Z\300\217\220\10\3373\222S\6\237\303\304\375\377m5D\247>\234\366\23\367u\220\321\211*L\320\311\337\204\355\1\3\27U2\347WV\22c.\13Q\262\2067@F \263\233\212Mh5\325\334m\227\361i\177:\373y\245@I\15\376M\353L\254\254k\244\32\341\217/\317Av\256"\322|Br\200x\255\374<\221/d\340\3618\351iO\327\205\11\254\17P\313\227@~\7\210\370\224\337.\32\243\337W\365\30\277S2\357\317g\27\270\210\10LsT\335>\374j\242ja\276e\120\270\276\17.\243<\1}n\262\237\371\233\24\211x\34J*\236%\59m&\357HX\371\275\267\235\223\365\31\36\266\324\20+\236\341\34\15D\213\220x\317\345\24\22\234Q\237\3346\266\333\266\336\10\272Ru/]\227\11\344\333\227\304\30w\355\17b\231\15\10C\14$E\310|Qu\212\236\365\354\363\326\352R\212\307)\256\212h\3\376l\204\320\230\366D\2734\230\2719{'\361\261Q1\206f\330\260BF\7\312x\316\300\324\313y\365\327\354.\32\216/\325\247G\224y\224$\205\200\311Fo\237\237\324\270\276|}\213\271\20\271ML\246\24\324\223\226O\355\342\12G\15\177N\24t\177\306\230\340\312\221E\321\364\322\247H\205\206\236\360F\302M\226\201~\265\17\263u\360\243\210\357\356E\355\2\375\32 \241b\225\353\17,z\306\271\255?,\34\202\206\363[\222\340\317\36\323\362\230T\274\227", ) \274\316\375\206\27\311jr5\0-\217\201\356\\242\36\3\347\367)\267b\252\363L~_\320\3\354e\363\207\351<\334o\222_\202n\250\6\63\242rXt*\316%\226\256I\16\315j\350\261\31%\251\223\323Z\300\217\220\10\3373\222S\6\237\303\304\375\377m5D\247>\234\366\23\367u\220\321\211*L\320\311\337\204\355\1\3\27U2\347WV\22c.\13Q\262\2067@F \263\233\212Mh5\325\334m\227\361i\177:\373y\245@I\15\376M\353L\254\254k\244\32\341\217/\317Av\256 (192, 0, 0, 0, 8458, 0x0, 0, ... {status=0x0, info=8458}, "\222D\337\266VvV\355\14/\342^M\336\230\243\273h\356\376D\346'\352\231E\3642\22\355U"\274\316\375\206\27\311jr5\0-\217\201\356\\242\36\3\347\367)\267b\252\363L~_\320\3\354e\363\207\351<\334o\222_\202n\250\6\63\242rXt*\316%\226\256I\16\315j\350\261\31%\251\223\323Z\300\217\220\10\3373\222S\6\237\303\304\375\377m5D\247>\234\366\23\367u\220\321\211*L\320\311\337\204\355\1\3\27U2\347WV\22c.\13Q\262\2067@F \263\233\212Mh5\325\334m\227\361i\177:\373y\245@I\15\376M\353L\254\254k\244\32\341\217/\317Av\256"\322|Br\200x\255\374<\221/d\340\3618\351iO\327\205\11\254\17P\313\227@~\7\210\370\224\337.\32\243\337W\365\30\277S2\357\317g\27\270\210\10LsT\335>\374j\242ja\276e\120\270\276\17.\243<\1}n\262\237\371\233\24\211x\34J*\236%\59m&\357HX\371\275\267\235\223\365\31\36\266\324\20+\236\341\34\15D\213\220x\317\345\24\22\234Q\237\3346\266\333\266\336\10\272Ru/]\227\11\344\333\227\304\30w\355\17b\231\15\10C\14$E\310|Qu\212\236\365\354\363\326\352R\212\307)\256\212h\3\376l\204\320\230\366D\2734\230\2719{'\361\261Q1\206f\330\260BF\7\312x\316\300\324\313y\365\327\354.\32\216/\325\247G\224y\224$\205\200\311Fo\237\237\324\270\276|}\213\271\20\271ML\246\24\324\223\226O\355\342\12G\15\177N\24t\177\306\230\340\312\221E\321\364\322\247H\205\206\236\360F\302M\226\201~\265\17\263u\360\243\210\357\356E\355\2\375\32 \241b\225\353\17,z\306\271\255?,\34\202\206\363[\222\340\317\36\323\362\230T\274\227", ) , ) == 0x0
 03851   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "=%>d>\334>\376>\15?\23?5?{?\240?\366?\0@\13\0\204\0\0\0\23000\0\2530 1I1^1t1\2071\2221\2521\2711\3041\3611\172\302W2|2\2172[3>4M4\2334\3304\3504\3634\3724\2125\3245\2716\3276\3736\227\31707<7x7\2307\3507\3618\6919\5:\372:Z;\324<\30=^=*>\367>\35?0?A?Z?f?x?\201?\223?\236?\272?\324?\0\0\0P\13\0\\0\0\0\320S0\2730\3560l1\2051\2261.2X2h3\2223?4\3274^5\2665\331547W7'8b8\2178\2468\2638\3248\279;:>;R;];c;y;\200;\207;\215;\223;H<,=\31>\336>\36?/?x?\0`\13\0<\0\0\0\3170\3250\3550\3630E1K1V1\1\122\202\3563\3643\3763\44U4[4x6H:\21;6<<\206>\304?\312?\342?\350?\0\0\0\220\13\0\224\0\0\070=0H0N0\3600\3660\3671\3751A2N2\3172\3733\114\174C4P4\3234\56\236\316N6T6\2416\2476\2616\2676\3706\376", 14525, 0x0, 0, ... {status=0x0, info=14525}, ) , 14525, 0x0, 0, ... {status=0x0, info=14525}, ) == 0x0
 03852   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 03853   896   NtClose  (200, ... ) == 0x0
 03854   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03855   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03856   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 03822  2016   NtUserWaitMessage  ... ) == 0x1
 03857  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03858  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 03859  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010051
 03860  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 03858  2016   NtUserRedrawWindow  ... ) == 0x1
 03857  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 03861  2016   NtUserWaitMessage  (...
 03856   896   NtUserMessageCall  ... ) == 0xc
 03862   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "\0\262\7\0\27584\0\0\0\345.\214a \0", ) , ) == 0x0
 03863   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03864   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03865   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256},  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "sp2\rpcrt4.dll\0\0\30\3\0\275\352;\0\0\0\345.\215a \0sp2\rpcss.dll\0> \0\0\275\2?\0\0\0\345.oc \0sp2\update\kb823980.cat\0\35\17\0\0\373"?\0\0\0\345.\212a \0sp2\update\update.inf\0\340\0\0\0\302?\0\0\0\345.\215a \0sp2\update\update.ver\0\3\340\342\345\345\0\200[\200\200\215\11\20\250fu\0"3`4\0\0\217\0\267\273\347e\273<\312\224s`\23N\34062U/\345K\375\355\262\333\234\355\225=\273\\313\313\271~\266\313\330\333\264\312\356\266\330\312\344y\162\322\263y\236\305 =$\301\11$\37\372\27\322-\325`jPQ~", ) ?\0\0\0\345.\212a \0sp2\update\update.inf\0\340\0\0\0\302?\0\0\0\345.\215a \0sp2\update\update.ver\0\3\340\342\345\345\0\200[\200\200\215\11\20\250fu\0 (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "sp2\rpcrt4.dll\0\0\30\3\0\275\352;\0\0\0\345.\215a \0sp2\rpcss.dll\0> \0\0\275\2?\0\0\0\345.oc \0sp2\update\kb823980.cat\0\35\17\0\0\373"?\0\0\0\345.\212a \0sp2\update\update.inf\0\340\0\0\0\302?\0\0\0\345.\215a \0sp2\update\update.ver\0\3\340\342\345\345\0\200[\200\200\215\11\20\250fu\0"3`4\0\0\217\0\267\273\347e\273<\312\224s`\23N\34062U/\345K\375\355\262\333\234\355\225=\273\\313\313\271~\266\313\330\333\264\312\356\266\330\312\344y\162\322\263y\236\305 =$\301\11$\37\372\27\322-\325`jPQ~", ) , ) == 0x0
 03866   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03867   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03868   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03869   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8aa64, 0, 688, 1, ...
 03861  2016   NtUserWaitMessage  ... ) == 0x1
 03870  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03871  2016   NtUserDefSetText  (655682, 8387704, ... ) == 0x1
 03872  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 03873  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03874  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03875  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03876  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03877  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03869   896   NtUserMessageCall  ... ) == 0x1
 03878   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\e5d4274d2caaef1b878fb5d282a5\sp2\rpcrt4.dll"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 03879   896   NtClose  (-2147481368, ... ) == 0x0
 03870  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 03880  2016   NtUserWaitMessage  (...
 03878   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 03881   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "MZ\220\0\3\0\0\0\4\0\0\0\377\377\0\0\270\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\360\0\0\0\16\37\272\16\0\264\11\315!\270\1L\315!This program cannot be run in DOS mode.\15\15\12$\0\0\0\0\0\0\04\224\0Np\365n\35p\365n\35p\365n\35\271\327D\35q\365n\35p\365o\35\245\365n\35\212\326w\35w\365n\35p\365n\35r\365n\35\212\326.\35s\365n\35\252\326r\35}\365n\35\252\326s\35\361\365n\35\212\326Q\35q\365n\35\347\326+\35q\365n\35\212\326S\35q\365n\35Richp\365n\35\0\0\0\0\0\0\0\0PE\0\0L\1\5\0\27#\7?\0\0\0\0\0\0\0\0\340\0\16!\13\1\7\0\0\\7\0\0Z\0\0\0\0\0\0Z\205\0\0\0\20\0\0\0p\7\0\0\0\0x\0\20\0\0\0\2\0\0\5\0\1\0\5\0\1\0\4\0\12\0\0\0\0\0\0\340\7\0\0\4\0\0\215\233\10\0\3\0\0\0\0\0\4\0\0\20\0\0\0\0\20\0\0\20\0\0\0\0\0\0\20\0\0\0\200\314\6\0\366B\0\0\24\271\6\0P\0\0\0\0\200\7\0\370\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\220\7\0$@\0\0`\23\0\0\34\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\0X\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0.text\0\0\0v\377\6\0", 18243, 0x0, 0, ... , 18243, 0x0, 0, ...
 03882   896   NtContinue  (-135750188, 0, ...
 03881   896   NtWriteFile  ... {status=0x0, info=18243}, ) == 0x0
 03883   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\362\333Z\257\326\27\0\200", ) , ) == 0x0
 03884   896   NtReadFile  (192, 0, 0, 0, 6102, 0x0, 0, ... {status=0x0, info=6102},  (192, 0, 0, 0, 6102, 0x0, 0, ... {status=0x0, info=6102}, "]\2157\230\377\14\202=#\244\17\370A\367\360<7\4R\34E\267\314T\314"R\236\37\7\260\14J\374\177\263\256{\305m\376@h\317\277\30\323\201z\211\10c\267r=D\225\254\3722)\332\241cq\116M&\3541\322\2475Ql)@\34\232\376\177}\245{\320\315\26v&_-\213F\342\220\374F\344\370\247\236W\13\305fNH\356\300\373\207v\33581\321\4\311\272z\11\220:\313\231\341\272!\252^Q\367\20\8\33c\32!\210\35\371C\2002\2O\213\232'\250\235W\245!\225\222R\22r<\311\17\350:z\274\7\250\305\376\230\243\336\377\23K6"\333h?\335\4\37\261\357\371,\241\216\173\204y\353\240\336\277\247\353\250\231=&\310\326LI\204\360\363\3544\324\325\354\5q \330\351{\2361B\270Yf\11Y\242,,\256"\250\227\223I\240j\227v\212\241l]\27\255U\375\226\276z\35\351\271\345\330\232K\2651/\353\177\27;\231\351$x(\357T\3732W\251n\205\235\216\11oYe\370\306S\371\22\300\313`p\373,\32\261\344\330s\233\111\240Yaa\377\202!f\346/5dS\206<\270\17=\370\331{'H\3203L!B\232/\32R\36\211h\251\304hv\223\23\322\350\253%\204\240\321\217,Bg\236\230\11n\244\250\237k\360A\35:]\33?\253\363i%\332b_\374\321]\343\322\253m\363\342\331^\265\23\327\317Yt\233[L\202\265\314u\355\347TQ\242\263\31\23Z\356\367\357\353\272\271\253`\202\362\224w\22\1P\373\314\245\262\357\3560\3[&!O.0B\352\367=\23u\321\264\305N\2\244C;\1\352j}\263\232\11%\322(\347\320\362\204l\3459Z|\334\342\331\232b\2739\222#&d\273\2\254\22\202!f\267\12\33\300\253", ) R\236\37\7\260\14J\374\177\263\256{\305m\376@h\317\277\30\323\201z\211\10c\267r=D\225\254\3722)\332\241cq\116M&\3541\322\2475Ql)@\34\232\376\177}\245{\320\315\26v&_-\213F\342\220\374F\344\370\247\236W\13\305fNH\356\300\373\207v\33581\321\4\311\272z\11\220:\313\231\341\272!\252^Q\367\20\8\33c\32!\210\35\371C\2002\2O\213\232'\250\235W\245!\225\222R\22r<\311\17\350:z\274\7\250\305\376\230\243\336\377\23K6 (192, 0, 0, 0, 6102, 0x0, 0, ... {status=0x0, info=6102}, "]\2157\230\377\14\202=#\244\17\370A\367\360<7\4R\34E\267\314T\314"R\236\37\7\260\14J\374\177\263\256{\305m\376@h\317\277\30\323\201z\211\10c\267r=D\225\254\3722)\332\241cq\116M&\3541\322\2475Ql)@\34\232\376\177}\245{\320\315\26v&_-\213F\342\220\374F\344\370\247\236W\13\305fNH\356\300\373\207v\33581\321\4\311\272z\11\220:\313\231\341\272!\252^Q\367\20\8\33c\32!\210\35\371C\2002\2O\213\232'\250\235W\245!\225\222R\22r<\311\17\350:z\274\7\250\305\376\230\243\336\377\23K6"\333h?\335\4\37\261\357\371,\241\216\173\204y\353\240\336\277\247\353\250\231=&\310\326LI\204\360\363\3544\324\325\354\5q \330\351{\2361B\270Yf\11Y\242,,\256"\250\227\223I\240j\227v\212\241l]\27\255U\375\226\276z\35\351\271\345\330\232K\2651/\353\177\27;\231\351$x(\357T\3732W\251n\205\235\216\11oYe\370\306S\371\22\300\313`p\373,\32\261\344\330s\233\111\240Yaa\377\202!f\346/5dS\206<\270\17=\370\331{'H\3203L!B\232/\32R\36\211h\251\304hv\223\23\322\350\253%\204\240\321\217,Bg\236\230\11n\244\250\237k\360A\35:]\33?\253\363i%\332b_\374\321]\343\322\253m\363\342\331^\265\23\327\317Yt\233[L\202\265\314u\355\347TQ\242\263\31\23Z\356\367\357\353\272\271\253`\202\362\224w\22\1P\373\314\245\262\357\3560\3[&!O.0B\352\367=\23u\321\264\305N\2\244C;\1\352j}\263\232\11%\322(\347\320\362\204l\3459Z|\334\342\331\232b\2739\222#&d\273\2\254\22\202!f\267\12\33\300\253", ) \250\227\223I\240j\227v\212\241l]\27\255U\375\226\276z\35\351\271\345\330\232K\2651/\353\177\27;\231\351$x(\357T\3732W\251n\205\235\216\11oYe\370\306S\371\22\300\313`p\373,\32\261\344\330s\233\111\240Yaa\377\202!f\346/5dS\206<\270\17=\370\331{'H\3203L!B\232/\32R\36\211h\251\304hv\223\23\322\350\253%\204\240\321\217,Bg\236\230\11n\244\250\237k\360A\35:]\33?\253\363i%\332b_\374\321]\343\322\253m\363\342\331^\265\23\327\317Yt\233[L\202\265\314u\355\347TQ\242\263\31\23Z\356\367\357\353\272\271\253`\202\362\224w\22\1P\373\314\245\262\357\3560\3[&!O.0B\352\367=\23u\321\264\305N\2\244C;\1\352j}\263\232\11%\322(\347\320\362\204l\3459Z|\334\342\331\232b\2739\222#&d\273\2\254\22\202!f\267\12\33\300\253", ) == 0x0
 03885   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\0\32I\4x\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0GL\4x@B\5x"A\5x\15N\4x\377\377\377\377\0\0\0\0\320K\4x\0\0\0\0\377\377\377\377\0\0\0\0\6P\4x\0\0\0\0[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x4c\4x4c\4x4c\4x4c\4x[_\4x\302f\4x[_\4x\337f\4x%g\4x\221h\4x\265g\4x\360g\4x\207g\4x\207g\4xHh\4xHh\4x\13d\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x\321a\4xcb\4xY`\4xv`\4xv`\4x4c\4x[_\4x[_\4xv`\4xv`\4x\245`\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x\0_\4x\11_\4xpMemory:                 %p\12\0\0\0\0pfnFree:                 %p\12\0\0\0\0NDR_PFNFREE_POINTER_QUEUE_ELEMENT\12\0\0\362`\4x\377\377\377\377\0\0\0\0\7c\4x\0\0\0\0\235t\4x\235t\4x\235t\4x\235t\4x\235t\4x\235t\4x\235t\4x\235t\4x\235t\4x\235t\4x\235t\4x\235t\4", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) A\5x\15N\4x\377\377\377\377\0\0\0\0\320K\4x\0\0\0\0\377\377\377\377\0\0\0\0\6P\4x\0\0\0\0[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x4c\4x4c\4x4c\4x4c\4x[_\4x\302f\4x[_\4x\337f\4x%g\4x\221h\4x\265g\4x\360g\4x\207g\4x\207g\4xHh\4xHh\4x\13d\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x\321a\4xcb\4xY`\4xv`\4xv`\4x4c\4x[_\4x[_\4xv`\4xv`\4x\245`\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x[_\4x\0_\4x\11_\4xpMemory:                 %p\12\0\0\0\0pfnFree:                 %p\12\0\0\0\0NDR_PFNFREE_POINTER_QUEUE_ELEMENT\12\0\0\362`\4x\377\377\377\377\0\0\0\0\7c\4x\0\0\0\0\235t\4x\235t\4x\235t\4x\235t\4x\235t\4x\235t\4x\235t\4x\235t\4x\235t\4x\235t\4x\235t\4x\235t\4", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03886   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "(\223\243\370\304\24\0\200", ) , ) == 0x0
 03887   896   NtReadFile  (192, 0, 0, 0, 5316, 0x0, 0, ... {status=0x0, info=5316},  (192, 0, 0, 0, 5316, 0x0, 0, ... {status=0x0, info=5316}, "'\13\310`t\225z\21\321)\34\25\363\30mQ\272\6\314\0\232\312\206\20M\225\224\322\242\0\233\250`\36\235:D\210\231\10\243\265#\241n\340]\210\322\20\244\12\241\25G\25B+z\2V*\226\267\212Zn\306\3214UW\250y\264x\207G:O\264%d\252\0"\1M`\11\324\32\3502|\2541\252\5\203\206\27@\272b\320\231V6+\310\353\223\250mt\225\253\301\32h\234i\350p\261\5\203\332*j\13PZb\352\30\337D>\21\3140r[)\34-\236\303\210v\32\10\316\31\233\303\273\334\345_\21\231\261w\351\35\323\243\256\254\300i\3677\340GP\242\0Snm\210\243\272\200w4\273\320\246<\311\334\11\230\212\273\203\222\216\14\332\3p\274S+G\315\357\201\241\20\330\271\335\343\262\3\310*\200\304a\24\3239>h(\375]\260A\302\256P\22\314\206\\203\23\241Bh\21\272\30\203:\314}3\264a|\349\33\317\272\17\3\22\205q|"\230\1\355\367{\320\366|C\212\224\333\265\202\320\301\241\277\342\215\252\356\2414En\263\262\233V\257\342\313\344\324@no\329\154\264\327\350\340I`\332\307\211>\324i\32\253\372!h\\360V\23\11m\36\265\332\350\350\24\362tj\263\25y\14jz\375\366#\302\232L\204\235\320\220\230\373\303I`o\3518f(k\354\331\360\24I\313_Q\355\373\214\\307\372\33\15h^\256X"PH\275\231KZ\23>W\210k\205M\364\212\15\370B\340h\j\232:."\2434\221W\254\245\306}cA\0\200\221?\12N\310\237\2\33\6X\303g\33[\324\216A\234\250G\244/ I=\32\264\313\270\256\30\5\2\253#ek}\344\264\315\355\252Q\214a\330\244\335\240\207\233;\207'\314\204\5\27\213pX\377\305"\274\22", ) \1M`\11\324\32\3502|\2541\252\5\203\206\27@\272b\320\231V6+\310\353\223\250mt\225\253\301\32h\234i\350p\261\5\203\332*j\13PZb\352\30\337D>\21\3140r[)\34-\236\303\210v\32\10\316\31\233\303\273\334\345_\21\231\261w\351\35\323\243\256\254\300i\3677\340GP\242\0Snm\210\243\272\200w4\273\320\246<\311\334\11\230\212\273\203\222\216\14\332\3p\274S+G\315\357\201\241\20\330\271\335\343\262\3\310*\200\304a\24\3239>h(\375]\260A\302\256P\22\314\206\\203\23\241Bh\21\272\30\203:\314}3\264a|\349\33\317\272\17\3\22\205q| (192, 0, 0, 0, 5316, 0x0, 0, ... {status=0x0, info=5316}, "'\13\310`t\225z\21\321)\34\25\363\30mQ\272\6\314\0\232\312\206\20M\225\224\322\242\0\233\250`\36\235:D\210\231\10\243\265#\241n\340]\210\322\20\244\12\241\25G\25B+z\2V*\226\267\212Zn\306\3214UW\250y\264x\207G:O\264%d\252\0"\1M`\11\324\32\3502|\2541\252\5\203\206\27@\272b\320\231V6+\310\353\223\250mt\225\253\301\32h\234i\350p\261\5\203\332*j\13PZb\352\30\337D>\21\3140r[)\34-\236\303\210v\32\10\316\31\233\303\273\334\345_\21\231\261w\351\35\323\243\256\254\300i\3677\340GP\242\0Snm\210\243\272\200w4\273\320\246<\311\334\11\230\212\273\203\222\216\14\332\3p\274S+G\315\357\201\241\20\330\271\335\343\262\3\310*\200\304a\24\3239>h(\375]\260A\302\256P\22\314\206\\203\23\241Bh\21\272\30\203:\314}3\264a|\349\33\317\272\17\3\22\205q|"\230\1\355\367{\320\366|C\212\224\333\265\202\320\301\241\277\342\215\252\356\2414En\263\262\233V\257\342\313\344\324@no\329\154\264\327\350\340I`\332\307\211>\324i\32\253\372!h\\360V\23\11m\36\265\332\350\350\24\362tj\263\25y\14jz\375\366#\302\232L\204\235\320\220\230\373\303I`o\3518f(k\354\331\360\24I\313_Q\355\373\214\\307\372\33\15h^\256X"PH\275\231KZ\23>W\210k\205M\364\212\15\370B\340h\j\232:."\2434\221W\254\245\306}cA\0\200\221?\12N\310\237\2\33\6X\303g\33[\324\216A\234\250G\244/ I=\32\264\313\270\256\30\5\2\253#ek}\344\264\315\355\252Q\214a\330\244\335\240\207\233;\207'\314\204\5\27\213pX\377\305"\274\22", ) PH\275\231KZ\23>W\210k\205M\364\212\15\370B\340h\j\232:. (192, 0, 0, 0, 5316, 0x0, 0, ... {status=0x0, info=5316}, "'\13\310`t\225z\21\321)\34\25\363\30mQ\272\6\314\0\232\312\206\20M\225\224\322\242\0\233\250`\36\235:D\210\231\10\243\265#\241n\340]\210\322\20\244\12\241\25G\25B+z\2V*\226\267\212Zn\306\3214UW\250y\264x\207G:O\264%d\252\0"\1M`\11\324\32\3502|\2541\252\5\203\206\27@\272b\320\231V6+\310\353\223\250mt\225\253\301\32h\234i\350p\261\5\203\332*j\13PZb\352\30\337D>\21\3140r[)\34-\236\303\210v\32\10\316\31\233\303\273\334\345_\21\231\261w\351\35\323\243\256\254\300i\3677\340GP\242\0Snm\210\243\272\200w4\273\320\246<\311\334\11\230\212\273\203\222\216\14\332\3p\274S+G\315\357\201\241\20\330\271\335\343\262\3\310*\200\304a\24\3239>h(\375]\260A\302\256P\22\314\206\\203\23\241Bh\21\272\30\203:\314}3\264a|\349\33\317\272\17\3\22\205q|"\230\1\355\367{\320\366|C\212\224\333\265\202\320\301\241\277\342\215\252\356\2414En\263\262\233V\257\342\313\344\324@no\329\154\264\327\350\340I`\332\307\211>\324i\32\253\372!h\\360V\23\11m\36\265\332\350\350\24\362tj\263\25y\14jz\375\366#\302\232L\204\235\320\220\230\373\303I`o\3518f(k\354\331\360\24I\313_Q\355\373\214\\307\372\33\15h^\256X"PH\275\231KZ\23>W\210k\205M\364\212\15\370B\340h\j\232:."\2434\221W\254\245\306}cA\0\200\221?\12N\310\237\2\33\6X\303g\33[\324\216A\234\250G\244/ I=\32\264\313\270\256\30\5\2\253#ek}\344\264\315\355\252Q\214a\330\244\335\240\207\233;\207'\314\204\5\27\213pX\377\305"\274\22", ) \274\22", ) == 0x0
 03888   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\360\3\0\0\367\330\33\300\203\340\5\353m\215E\364Pj8\215E\274Pj\12\377u\374\377\25\204\20\0x;\307t\21\377u\374\211~h\377\25h\21\0xj\5X\353C\213\216\214\0\0\0\203fh\0\215E\370P\215\276\270\0\0\0W\215E\304P\377u\374\350%\351\377\377\205\300u\369E\370t\11\377u\374\377\25h\21\0x\213\7\213H\4\211N`\213@\10\211Fd3\300_^\311\303U\213\354QQSVW3\333h\310\0\0\0\213\371\211]\374\3505\217\1\0;\303Yt\17\215M\374Q\213\310\350\261\324\377\377\213\360\353\23\3669]\374t\17;\363t\11\213\6j\1\213\316\377P\43\366;\363u\15\213E\10j\16\211\30X\351\363\0\0\0\215_pS\211]\370\377\25D\23\0xW\213\316\350%\374\1\0\205\300\211E\374t\36\213\6j\1\213\316\377P\4\213E\10\203 \0S\377\25@\23\0x\213E\374\351\271\0\0\0\213Gh\211Fh\213\207\274\0\0\0\211\206\274\0\0\0\213\207\304\0\0\0\215\237\270\0\0\0\211\206\304\0\0\0\213\3\205\300t"\213\217\214\0\0\0P\350\377\350\377\377\213\3\211\206\270\0\0\0\213\3\213H\4\211N`\213@\10\211Fd\213\207\214\0\0\0\211\206\214\0\0\0\213\217\220\0\0\0\205\311t\15\350,\346\1\0\211\206\220\0\0\0\353\7\203\246\220\0\0\0\0\213\207\224\0\0\0\211\206\224\0\0\0\213\207\214\0\0\0\205\300t\35\203\300\24P\377\25l\21\0x\203}\14\0t\15\213\207\214\0\0\0\307@l\1\0\0\0\377u\370\377\25@\23\0x\213E\10\21103\300_^[\311\302\10\0U\213\354\203\354\20SVW\215E\364P3\377j\13\211}\374\350\220\325\377\377\3775\34x\7x\211E\374\377\25D\23\0x", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \213\217\214\0\0\0P\350\377\350\377\377\213\3\211\206\270\0\0\0\213\3\213H\4\211N`\213@\10\211Fd\213\207\214\0\0\0\211\206\214\0\0\0\213\217\220\0\0\0\205\311t\15\350,\346\1\0\211\206\220\0\0\0\353\7\203\246\220\0\0\0\0\213\207\224\0\0\0\211\206\224\0\0\0\213\207\214\0\0\0\205\300t\35\203\300\24P\377\25l\21\0x\203}\14\0t\15\213\207\214\0\0\0\307@l\1\0\0\0\377u\370\377\25@\23\0x\213E\10\21103\300_^[\311\302\10\0U\213\354\203\354\20SVW\215E\364P3\377j\13\211}\374\350\220\325\377\377\3775\34x\7x\211E\374\377\25D\23\0x", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03889   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "e\200\210\356\202\21\0\200", ) , ) == 0x0
 03890   896   NtReadFile  (192, 0, 0, 0, 4482, 0x0, 0, ... {status=0x0, info=4482},  (192, 0, 0, 0, 4482, 0x0, 0, ... {status=0x0, info=4482}, "\261E\5sd\5\312\200L\0\214\251\360A\14\234\11KGA\11A@\335\10\345\32\331\35\254\2\0\216NNH\21%\33\2742`\5\200\6B\21P\203\323K\207\230X\262\22\37\375Y\206 K~\352}\5\320\6\350\300r\200\274p\17\277\355\201Gn\312\2:\22)rS!iZ\23\302\34\303J\357(8\204\310\272G\340\260\260)4\263\302\216\26ux\351\206O2\353*!Y\367O\220=\205|\223\302E\1>\201R\351\256Z$\210\370\375\336u&\2\360\1\226\1R\302]_\13\327\0\302Q\300\307\340\223\370N\302\51\367\302G\321\236B\322\310\264>\212R\4\347X*\2665N\20>X\212f\215\324\214\200b\230\10&\3504\12\10\272\225\13\341\34\321\36\371d\302\1}\21V\5-7\263'\0E\242\245\3|\22\364\366\202\331\231\311\300DS"\2002|\312T\16@\200\252Q\325+p\233\311\37N\207\36\227"\3\310\245\264\216\321\373D\30z\321\244I\315\252*\270\3&\300B\324\235x\372\4/\32\360G\265\371\240U\5\232@\17\201\251\201;\276`O\200T\35UuF\274\307(\35\266<\231\240 \354\260\255\232\\24\321\11\321\351\32+\272\4\334!\277\378\3127j0.a\256\340sg\235\201B}\3648\200\314,\352)\257\148@T\17<\17\240\322As{\68\270\245L\362\323\257q\304fyh%\210\22\261\202\30Z\303E\324X\346k*~\212\34\246R\3\307\14\13&\4\33\201\232\2\178\4\206l\1\206WD\326)H\305\22\345\360w@\202\37\10m\273\2%8\343\267\242\151\210\4J\3|\22\ \301\222\1\266\24\10\333O\366\1122t\205\250\1>\25>GF$E1?\234\360v\1\240\213p\21E\302\200\302\300?\1\276\201RK,", ) \2002|\312T\16@\200\252Q\325+p\233\311\37N\207\36\227 (192, 0, 0, 0, 4482, 0x0, 0, ... {status=0x0, info=4482}, "\261E\5sd\5\312\200L\0\214\251\360A\14\234\11KGA\11A@\335\10\345\32\331\35\254\2\0\216NNH\21%\33\2742`\5\200\6B\21P\203\323K\207\230X\262\22\37\375Y\206 K~\352}\5\320\6\350\300r\200\274p\17\277\355\201Gn\312\2:\22)rS!iZ\23\302\34\303J\357(8\204\310\272G\340\260\260)4\263\302\216\26ux\351\206O2\353*!Y\367O\220=\205|\223\302E\1>\201R\351\256Z$\210\370\375\336u&\2\360\1\226\1R\302]_\13\327\0\302Q\300\307\340\223\370N\302\51\367\302G\321\236B\322\310\264>\212R\4\347X*\2665N\20>X\212f\215\324\214\200b\230\10&\3504\12\10\272\225\13\341\34\321\36\371d\302\1}\21V\5-7\263'\0E\242\245\3|\22\364\366\202\331\231\311\300DS"\2002|\312T\16@\200\252Q\325+p\233\311\37N\207\36\227"\3\310\245\264\216\321\373D\30z\321\244I\315\252*\270\3&\300B\324\235x\372\4/\32\360G\265\371\240U\5\232@\17\201\251\201;\276`O\200T\35UuF\274\307(\35\266<\231\240 \354\260\255\232\\24\321\11\321\351\32+\272\4\334!\277\378\3127j0.a\256\340sg\235\201B}\3648\200\314,\352)\257\148@T\17<\17\240\322As{\68\270\245L\362\323\257q\304fyh%\210\22\261\202\30Z\303E\324X\346k*~\212\34\246R\3\307\14\13&\4\33\201\232\2\178\4\206l\1\206WD\326)H\305\22\345\360w@\202\37\10m\273\2%8\343\267\242\151\210\4J\3|\22\ \301\222\1\266\24\10\333O\366\1122t\205\250\1>\25>GF$E1?\234\360v\1\240\213p\21E\302\200\302\300?\1\276\201RK,", ) , ) == 0x0
 03891   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "H\24\213E\374\213\210\224\0\0\0\213\200\230\0\0\0\213I\20\211H\20\213E\374\213\210\224\0\0\0\213\200\230\0\0\0f\213I\6f\211H\6\213M\374\213\1\215\221\34\1\0\0R\377P<\213E\374\213\200\224\0\0\0\17\267@\32Pj\36\277\265\6\0\0Wj\2\350<\374\0\0\213E\374SVW\377\260\230\0\0\0\350&\364\377\377\351\240\3\0\0\211\230\234\0\0\0\213E\374\213\200\234\0\0\0\213\0\366@\4\1t\16\213\3\5\374\0\0\0P\377\25l\21\0x\213\13\215E\370P\213E\374\50\1\0\0P\377s\10\350]1\0\0\213E\374\213\210\224\0\0\0\17\267I\36\211\210,\1\0\0\213E\374\211\200\34\1\0\0\213E\374\215\210H\1\0\0\211\2108\1\0\0\213E\374\307\200 \1\0\0\20\0\0\0\213E\374\213\210\224\0\0\0\366A\35\1t \307\200\240\0\0\0\1\0\0\0\213E\374\213\260\224\0\0\0\203\306 \215\270\330\0\0\0\245\245\245\245d\241\30\0\0\0\213\270\34\17\0\0\213E\374\203'\0\213w@\211G\20\213\3\203x\20\0\211u\354\17\204\235\0\0\0\377u\374\213\313\350\227\333\377\377\205\300\17\204\213\0\0\0\213E\374\213\210\224\0\0\0\213Q\10\213\200\230\0\0\0\211P\10\213I\14\211H\14\213E\374\213\210\224\0\0\0\213\200\230\0\0\0\213I\24\211H\24\213E\374\213\210\224\0\0\0\213\200\230\0\0\0\213I\20\211H\20\213E\374\213\210\224\0\0\0\213\200\230\0\0\0f\213I\6f\211H\6\213M\374\213\1\215\221\34\1\0\0R\377P<\213E\3743\366V\377u\360j\5\377\260\230\0\0\0\350\304\362\377\377\211w\20\2117\3519\2\0\0\205\366\17\204\212\0\0\0\272\0\0\376\177\213\2\367b\4\17\254\320\30\211F\4f\307F\2", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03892   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\2424\7\3V\20\0\200", ) , ) == 0x0
 03893   896   NtReadFile  (192, 0, 0, 0, 4182, 0x0, 0, ... {status=0x0, info=4182},  (192, 0, 0, 0, 4182, 0x0, 0, ... {status=0x0, info=4182}, "Qwz\3404Ji\215\17\12\241\354\333\224\34\276\251\172\217\377\346[\373\372\206j\353\326\3\357\213;H\347\252\356\14\341\31\373\300!\216\310d3\35\306\3\343.\375\300\23e_p\242e\260c\327\236`]\30\346\3351W]jn\11\314.\360p\350,2\16`\307X\26j\271nK|\320\22\226;$\271\217\217\242\335?$\347\374\2103o\324o\277\204\15r\334\23\373GH1i\2225*\341S \6D\1\321\345\216\2028\200L\312"f(\203\230 \246.6\242\231;NFy&\15\2038D\346b\210\25[\346\32\234H\363As V\261Q\312\263\540f\204\261N\11\235\242\330\225\1\267\270\27`\1\351\36\320\22\361\245\343\320}E%}).\334\260^\332\16\350\373Wl>\246Wu\224Na\207\31\260\220 \15\235\340N!O&\363\366`\370\10\3va\346\344\31\360\220 +\20*Dt\241\361\7\234\303L\25\253\301\301H\236\201\216\303\314\360!-\251\13\206\243s\26\277\203\223\330[\345\12ax!\262X\253\35\220\252\2\16G\373\2060\6\3160\216YW\203\243\34\263;;0_\267\203g\262\302=\36\342\244\276\217\23\352/\324\301\303\16\17\226\207\241\253\17\234[\352\32k\230\363\320\361\337k\230\257\366\230\227\262\3548I\357\2225<\341\30\200&\313\303})\346\251\251\25.\16v\230Yp\3\243^\16\307J\201\23B\2332\316\1\23P\234\22\3\203O\271\351!\303L\210y/\270\362u\203\377K\332\3576*|\235\202\35\323L\345\233P%~\351G\13\306\325\3523\366\204h^oc\264\F\236&\355\224\266kr\371\311{\233?m}\321\376\227\375\262\232\314\321R\301\221\240,\243u\330\250\11\261`\324\201\364\32\31\3152\264\235k\11\361K\263}"\366\215", ) f(\203\230 \246.6\242\231;NFy&\15\2038D\346b\210\25[\346\32\234H\363As V\261Q\312\263\540f\204\261N\11\235\242\330\225\1\267\270\27`\1\351\36\320\22\361\245\343\320}E%}).\334\260^\332\16\350\373Wl>\246Wu\224Na\207\31\260\220 \15\235\340N!O&\363\366`\370\10\3va\346\344\31\360\220 +\20*Dt\241\361\7\234\303L\25\253\301\301H\236\201\216\303\314\360!-\251\13\206\243s\26\277\203\223\330[\345\12ax!\262X\253\35\220\252\2\16G\373\2060\6\3160\216YW\203\243\34\263;;0_\267\203g\262\302=\36\342\244\276\217\23\352/\324\301\303\16\17\226\207\241\253\17\234[\352\32k\230\363\320\361\337k\230\257\366\230\227\262\3548I\357\2225<\341\30\200&\313\303})\346\251\251\25.\16v\230Yp\3\243^\16\307J\201\23B\2332\316\1\23P\234\22\3\203O\271\351!\303L\210y/\270\362u\203\377K\332\3576*|\235\202\35\323L\345\233P%~\351G\13\306\325\3523\366\204h^oc\264\F\236&\355\224\266kr\371\311{\233?m}\321\376\227\375\262\232\314\321R\301\221\240,\243u\330\250\11\261`\324\201\364\32\31\3152\264\235k\11\361K\263} (192, 0, 0, 0, 4182, 0x0, 0, ... {status=0x0, info=4182}, "Qwz\3404Ji\215\17\12\241\354\333\224\34\276\251\172\217\377\346[\373\372\206j\353\326\3\357\213;H\347\252\356\14\341\31\373\300!\216\310d3\35\306\3\343.\375\300\23e_p\242e\260c\327\236`]\30\346\3351W]jn\11\314.\360p\350,2\16`\307X\26j\271nK|\320\22\226;$\271\217\217\242\335?$\347\374\2103o\324o\277\204\15r\334\23\373GH1i\2225*\341S \6D\1\321\345\216\2028\200L\312"f(\203\230 \246.6\242\231;NFy&\15\2038D\346b\210\25[\346\32\234H\363As V\261Q\312\263\540f\204\261N\11\235\242\330\225\1\267\270\27`\1\351\36\320\22\361\245\343\320}E%}).\334\260^\332\16\350\373Wl>\246Wu\224Na\207\31\260\220 \15\235\340N!O&\363\366`\370\10\3va\346\344\31\360\220 +\20*Dt\241\361\7\234\303L\25\253\301\301H\236\201\216\303\314\360!-\251\13\206\243s\26\277\203\223\330[\345\12ax!\262X\253\35\220\252\2\16G\373\2060\6\3160\216YW\203\243\34\263;;0_\267\203g\262\302=\36\342\244\276\217\23\352/\324\301\303\16\17\226\207\241\253\17\234[\352\32k\230\363\320\361\337k\230\257\366\230\227\262\3548I\357\2225<\341\30\200&\313\303})\346\251\251\25.\16v\230Yp\3\243^\16\307J\201\23B\2332\316\1\23P\234\22\3\203O\271\351!\303L\210y/\270\362u\203\377K\332\3576*|\235\202\35\323L\345\233P%~\351G\13\306\325\3523\366\204h^oc\264\F\236&\355\224\266kr\371\311{\233?m}\321\376\227\375\262\232\314\321R\301\221\240,\243u\330\250\11\261`\324\201\364\32\31\3152\264\235k\11\361K\263}"\366\215", ) , ) == 0x0
 03894   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "t\377\377\377\203~<\0u\361^\303U\213\354QQS\213]\10V3\300W\213\361\213M\14\215{h\203\303\30\211\1\366C\3\200\211E\370u\4f\213CL@\213\313\211E\374\350[\354\377\377\205\300tt\212\7\204\300t\17<\1t\13f\203cJ\0\200c\3\177\353_\213\313\350;\354\377\377\203\370\20r\351\213\313\350/\354\377\377\17\267O\16\215\14\215\20\0\0\0;\301r\323\213E\10\366@\34\20u\6W\350\364\356\377\377f\201\177\14\377\377u\5f\203g\14\0f\213G\14f\213\216\336\1\0\0f;\301\17\204\373\0\0\0f\211\206\336\1\0\0\17\202\367\0\0\0f\213NL\213U\374f;\321\17\202\347\0\0\0f;VN\17\207\335\0\0\0\203fT\0*\321\215\206\330\1\0\0\3\20\203\342\37\211\20\213E\374f;\206\334\1\0\0f\211FLv\11j\0\213\316\350|\376\377\377\213\313\350\226\353\377\377\205\300\17\204\231\0\0\0f\203\177\16\0t\6\213G\20\211FTf\203\177\2 v\6f\307G\2 \0f\213G\2f9FJf\211FHv\4f\211FJ\213F\20\213O\4\213@\30;\310v\2\213\310\215\206\4\2\0\0\213\30\17\267\321\211SD\17\267W\2\213\03\377f9}\374\211PHu69~Tu1\17\267F(;\310s)f\211N(\213\316\350<\363\377\377\213F@\17\267N*H3\322\367\361f\211~N\211~Pf\3FLf\211\206\334\1\0\0\213E\14\307\0\1\0\0\0\213\6\213\316\377\20\211E\370\213E\370_^[\311\302\10\0V\213\361\350\5\22\1\0\213\306^\303\351\27\22\1\0V\213\361\213\16\203y\20\0tD\213F\20;\201\0\1\0\0u\11\213D$\14;F\10t0SW\213|$\20W\350^\271\377\377\213", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03895   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\303\20\223\243\230\26\0\200", ) , ) == 0x0
 03896   896   NtReadFile  (192, 0, 0, 0, 5784, 0x0, 0, ... {status=0x0, info=5784},  (192, 0, 0, 0, 5784, 0x0, 0, ... {status=0x0, info=5784}, "\250\3\35\273\251\6;\24\356\253\336Q\264\314\324\26\260U,\306[\264\2\362\2Z\242\235#\3\202'\344\300\223a*#"&\201[\345\335\261Z0\243\333\354\206w\7`(\25\330\3531P\312\226_\211$\204RIn\0G\370n4\266d\370@\35g\315\335\307\336\370\276\244\24\350\244\244\215H\21u\360\14\256.\270O\330\273\326\11\214\355p\275\354\2328+\261\232\324n\12\366\307\351\32{\207\263\27\253\3\261"+T\353\37\351*\201\257\214\346\307\303*"hD;L\31\230\275\266\255\230\17\363c\6aR\302\332\15fY\214\255Xa\262\330\242\341\264+u\6\321\316\7\217\354\202\307|e\371\3v\275t~`\11wH\3761p\352\246'C\367\326\200VE\261'+c\224p\368\362\12\312\310\306\354\273JJG\14\311;%\26\320\312\14\14\375@\356B0\204TFP@v\21\204\231\205\242\220\22\202\2620\313\340\301\201h\27\260\3235\5\17\20x\350\225`\264I\311\311\6@]\214\345\33\310(Y\202\350\320\230\256u\261\14\323\333\301U\230\12\326:`\25\7\225\36\216\223\327\7\35+\333\204N\210Xn\34\305\314:x\207s\21\15c\24a\243\2\7.1\:\311\273\355\300|\251&3c8\301\37\7N\246\2\204a\206R\242\35\303()\235\27\206\260\234+\340P)e\203#*+GB\7rf\350\252\3038'\7\324g\205\16\234\32\31C\235\356\350D*Q\27\203\340\314\317Lft>\320))hX\323a\33\306`RA\301\253\241\356UB\207\33V\344\14\330\331\20\231\372\307\276\26\352\207`\305\242~A\242\202k\20'\203\321\216O\262\204\2168Y/\20\334\303\255Ql\213\7z\26\17:{\325h\263iz\27\2545\367\361\226\226T0.\331`:?p\22\331*", ) &\201[\345\335\261Z0\243\333\354\206w\7`(\25\330\3531P\312\226_\211$\204RIn\0G\370n4\266d\370@\35g\315\335\307\336\370\276\244\24\350\244\244\215H\21u\360\14\256.\270O\330\273\326\11\214\355p\275\354\2328+\261\232\324n\12\366\307\351\32{\207\263\27\253\3\261 (192, 0, 0, 0, 5784, 0x0, 0, ... {status=0x0, info=5784}, "\250\3\35\273\251\6;\24\356\253\336Q\264\314\324\26\260U,\306[\264\2\362\2Z\242\235#\3\202'\344\300\223a*#"&\201[\345\335\261Z0\243\333\354\206w\7`(\25\330\3531P\312\226_\211$\204RIn\0G\370n4\266d\370@\35g\315\335\307\336\370\276\244\24\350\244\244\215H\21u\360\14\256.\270O\330\273\326\11\214\355p\275\354\2328+\261\232\324n\12\366\307\351\32{\207\263\27\253\3\261"+T\353\37\351*\201\257\214\346\307\303*"hD;L\31\230\275\266\255\230\17\363c\6aR\302\332\15fY\214\255Xa\262\330\242\341\264+u\6\321\316\7\217\354\202\307|e\371\3v\275t~`\11wH\3761p\352\246'C\367\326\200VE\261'+c\224p\368\362\12\312\310\306\354\273JJG\14\311;%\26\320\312\14\14\375@\356B0\204TFP@v\21\204\231\205\242\220\22\202\2620\313\340\301\201h\27\260\3235\5\17\20x\350\225`\264I\311\311\6@]\214\345\33\310(Y\202\350\320\230\256u\261\14\323\333\301U\230\12\326:`\25\7\225\36\216\223\327\7\35+\333\204N\210Xn\34\305\314:x\207s\21\15c\24a\243\2\7.1\:\311\273\355\300|\251&3c8\301\37\7N\246\2\204a\206R\242\35\303()\235\27\206\260\234+\340P)e\203#*+GB\7rf\350\252\3038'\7\324g\205\16\234\32\31C\235\356\350D*Q\27\203\340\314\317Lft>\320))hX\323a\33\306`RA\301\253\241\356UB\207\33V\344\14\330\331\20\231\372\307\276\26\352\207`\305\242~A\242\202k\20'\203\321\216O\262\204\2168Y/\20\334\303\255Ql\213\7z\26\17:{\325h\263iz\27\2545\367\361\226\226T0.\331`:?p\22\331*", ) hD;L\31\230\275\266\255\230\17\363c\6aR\302\332\15fY\214\255Xa\262\330\242\341\264+u\6\321\316\7\217\354\202\307|e\371\3v\275t~`\11wH\3761p\352\246'C\367\326\200VE\261'+c\224p\368\362\12\312\310\306\354\273JJG\14\311;%\26\320\312\14\14\375@\356B0\204TFP@v\21\204\231\205\242\220\22\202\2620\313\340\301\201h\27\260\3235\5\17\20x\350\225`\264I\311\311\6@]\214\345\33\310(Y\202\350\320\230\256u\261\14\323\333\301U\230\12\326:`\25\7\225\36\216\223\327\7\35+\333\204N\210Xn\34\305\314:x\207s\21\15c\24a\243\2\7.1\:\311\273\355\300|\251&3c8\301\37\7N\246\2\204a\206R\242\35\303()\235\27\206\260\234+\340P)e\203#*+GB\7rf\350\252\3038'\7\324g\205\16\234\32\31C\235\356\350D*Q\27\203\340\314\317Lft>\320))hX\323a\33\306`RA\301\253\241\356UB\207\33V\344\14\330\331\20\231\372\307\276\26\352\207`\305\242~A\242\202k\20'\203\321\216O\262\204\2168Y/\20\334\303\255Ql\213\7z\26\17:{\325h\263iz\27\2545\367\361\226\226T0.\331`:?p\22\331*", ) == 0x0
 03897   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\1t#S\215E\14P\377u\10V\350\335\360\377\377\205\300u\21\203}\14\1t\13\213\36V\350\31\364\377\377\211_P^_[]\302\10\0U\213\354Qd\241\30\0\0\0\213\200\34\17\0\0\205\300u\43\300\311\303\213@P\205\300t\365\215M\374QP\350\316\357\377\377\367\330\33\300\367\320#E\374\311\303Vd\241\30\0\0\0\213\260\34\17\0\0\205\366t.W\213~P\205\377t%\203~\20\0t\37S\377t$\20\350\34C\376\377\377w$\213\330\350\22C\376\377;\303[t\6V\350.C\376\377_^\302\4\0U\213\354\203\354$\213E\14W3\377+\307tGHt\23Ht\13Ht\20jWX\351\256\1\0\0\211}\20\353*\211}\309}\20t\353\213E\24\203\370\1t\24\203\370\2t\17\203\370\3t\12\203\370\4t\5\203\370\5u\317\203}\14\3u\159}\30u\10\353\302\211}\20\211}\30SV\213u\10;\367\17\204\246\0\0\0\215E\334PV\350?\300\376\377;\307\211E\10\17\205N\1\0\0\215E\10P\215E\334P\350\326\321\377\377\205\300u\12\270\330\6\0\0\3513\1\0\0\215E\360PV\350y\300\376\377;\307\211E\10\17\205\36\1\0\0\215E\364PW\215E\370P\215E\374PW\377u\360\350\240\7\0\0\211E\10\215E\360P\350\241\10\0\0\213E\10;\307\17\205\361\0\0\0\215E\354PV\350;F\376\377;\307\211E\10t3\215E\374P\350|\10\0\0\215E\370P\350s\10\0\0\215E\364P\350j\10\0\0\213E\10\351\275\0\0\0\211}\370\211}\374\211}\364\307E\354\5\0\0\0j8\350\254F\376\377\213\330;\337u$;\367t\33\215E\374P\3508\10\0\0\215E\370P\350/\10\0\0\215E\364P\350&\10\0\0j\16X\353", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03898   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "tN5\372\354\21\0\200", ) , ) == 0x0
 03899   896   NtReadFile  (192, 0, 0, 0, 4588, 0x0, 0, ... {status=0x0, info=4588},  (192, 0, 0, 0, 4588, 0x0, 0, ... {status=0x0, info=4588}, "\345\254\10\320\340C\321\207q\244\324\245\375 \234\231\233\7:\305\212\267\271\350\31\300\327,\243\16\3w:\375\367\317h\234\254\361\273\233\320\342\307\344\7\355\235\274c\367\362'\2567\2206\257\231=o\312\356\237O\326\352%\335\374\23\325F\311\267uW\367s\235+y0\13\372\321\267\377f\12k\357\352\341*\33\353\25\27\341\371\232\252o\336\206\354Z\22p Ti\240\362\33\322e\370\372\3048)\2150\355\23412G\234T\276n\14x6\204\214\25\257\\237\222\276\352\200M\345\305\360q\322-/\232\226X\0y\374\320N{\267\4.|\311\265\3004\1\31\331.\12\200\264\237c@\274N\373]\22\2235\266\275\342\4\222\21\13\265a\374\232\354\241\30l\361\310\225In=\202+\256\221\320N\10\217"?~[\334m@[\244\213"\342)\340\311,J\240\0\343\224x.k\3\241\237\377\232\231\344I\331\371\13\224hi\323\252\235\21\2731\0 T\360\241\360y\335\244\2473!\246[8\2371\17\236\265Y\36\373\36\2174\13\214\320\14\241\34\241\222\230;g\337\}\314\233\11\225IH\3057[\256\4\311\364<1\256\22\202!\332\201\376\6\267\367\374G>/\230%\221\245]A\11\334K\25\325\371u\0n\304\270j\351\377\356L\220,\254*'l\366Q\374\270:\212&\3"dDe\11\335\227\273\236\11\17\273\373\5N\326\30x\360\240\345\212\11\26\210\330u\12\341En\341O\250\231\2434\225v\10\334\354W\3405m\222\330J\220\216\345\@Q'\211\334V\20#\251\334\270Q'h\253k\311\250Q\12\361Qrs\33\327\332\201,\374mI,NbB\310\261dNd\221\332\4U,\350\276G\36\13<\217l^*0\375\310\346\273\'\356i\37\21\366\250\222\17\240\336\23_\21cc\355", ) ?~[\334m@[\244\213 (192, 0, 0, 0, 4588, 0x0, 0, ... {status=0x0, info=4588}, "\345\254\10\320\340C\321\207q\244\324\245\375 \234\231\233\7:\305\212\267\271\350\31\300\327,\243\16\3w:\375\367\317h\234\254\361\273\233\320\342\307\344\7\355\235\274c\367\362'\2567\2206\257\231=o\312\356\237O\326\352%\335\374\23\325F\311\267uW\367s\235+y0\13\372\321\267\377f\12k\357\352\341*\33\353\25\27\341\371\232\252o\336\206\354Z\22p Ti\240\362\33\322e\370\372\3048)\2150\355\23412G\234T\276n\14x6\204\214\25\257\\237\222\276\352\200M\345\305\360q\322-/\232\226X\0y\374\320N{\267\4.|\311\265\3004\1\31\331.\12\200\264\237c@\274N\373]\22\2235\266\275\342\4\222\21\13\265a\374\232\354\241\30l\361\310\225In=\202+\256\221\320N\10\217"?~[\334m@[\244\213"\342)\340\311,J\240\0\343\224x.k\3\241\237\377\232\231\344I\331\371\13\224hi\323\252\235\21\2731\0 T\360\241\360y\335\244\2473!\246[8\2371\17\236\265Y\36\373\36\2174\13\214\320\14\241\34\241\222\230;g\337\}\314\233\11\225IH\3057[\256\4\311\364<1\256\22\202!\332\201\376\6\267\367\374G>/\230%\221\245]A\11\334K\25\325\371u\0n\304\270j\351\377\356L\220,\254*'l\366Q\374\270:\212&\3"dDe\11\335\227\273\236\11\17\273\373\5N\326\30x\360\240\345\212\11\26\210\330u\12\341En\341O\250\231\2434\225v\10\334\354W\3405m\222\330J\220\216\345\@Q'\211\334V\20#\251\334\270Q'h\253k\311\250Q\12\361Qrs\33\327\332\201,\374mI,NbB\310\261dNd\221\332\4U,\350\276G\36\13<\217l^*0\375\310\346\273\'\356i\37\21\366\250\222\17\240\336\23_\21cc\355", ) dDe\11\335\227\273\236\11\17\273\373\5N\326\30x\360\240\345\212\11\26\210\330u\12\341En\341O\250\231\2434\225v\10\334\354W\3405m\222\330J\220\216\345\@Q'\211\334V\20#\251\334\270Q'h\253k\311\250Q\12\361Qrs\33\327\332\201,\374mI,NbB\310\261dNd\221\332\4U,\350\276G\36\13<\217l^*0\375\310\346\273\'\356i\37\21\366\250\222\17\240\336\23_\21cc\355", ) == 0x0
 03900   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "q\7x\377\25\224\21\0xV\377\25@\23\0x_^3\300[\302\20\0V\377\25@\23\0x_^[\377%$q\7xV\213\361\203~\24\0Wt\26\213|$\14\205\377u\37\215F\30P\377\25l\21\0x\205\300~\213\300_^\302\4\0h\310\0\0\0\350\224\243\376\377\213F\24\203x\10\0\177\355\211x\343\300@\353\340\213A\24\213P \203\352\0t^JtNJt>Jt'Jt\23Jt\43\300\353N\377t$\4j\0P\377P$\353?Pj\0\377p(\377p$\377\25$q\7x\353.\377p0\377p,\377p(\377p$\377\25L\21\0x\353\26j\0\377t$\10\350\211\376\377\377\353\11\377p$\377\25t\21\0x\205\300t\2613\300@\302\4\0V\377t$\10\213\361\350C\377\377\377\205\300t\15\377t$\10\213\316\350v\377\377\377\353\23\300^\302\4\0\350\307\351\377\377\205\300t\43\300@\303\350\370\375\375\377\205\300u\363\350\231\314\0\0\367\330\33\300\367\330\303U\213\354Q\213E\14SV\2130\215^\7\203\343\370;\336Wu\5\213E\10\353J\215D\33\2P\350\211\216\377\377\213\370\205\377Y\211}\374t;\215D6\2\213u\10\213\310\213\321\301\351\2\363\245\377u\10\213\312\203\341\3\363\244\213}\10\213\310\301\351\23\300\363\253\213\312\203\341\3\363\252\350W\216\377\377\213E\374Y\213M\14\211\31_^[\311\302\10\0V\213t$\10\213\6\205\300Wt!\215~\4WP\350y\377\377\377\205\300\211\6tc\213\17j\0\321\341QP\350{\340\3\0\205\300|R\213F\10\205\300t"\215~\14WP\350Q\377\377\377\205\300\211F\10t:\213\17j\0\321\341QP\350R\340\3\0\205\300|)\213F\20\205\300t-\215~\24WP\350(\377", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \215~\14WP\350Q\377\377\377\205\300\211F\10t:\213\17j\0\321\341QP\350R\340\3\0\205\300|)\213F\20\205\300t-\215~\24WP\350(\377", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03901   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "3\12\331\365z\20\0\200", ) , ) == 0x0
 03902   896   NtReadFile  (192, 0, 0, 0, 4218, 0x0, 0, ... {status=0x0, info=4218},  (192, 0, 0, 0, 4218, 0x0, 0, ... {status=0x0, info=4218}, "}\4(!\202A\210\304&\227\237)\236\274p\6\251^\202\202R\224\300x>\204\336\214\326\11\344\2335\300\300\320^\356p\324\206\16\311\6!\317[\31\266\300\24\206\250DI\350\331\342Q\330\321\225\3\316\3[('7H\221\3\32\236H\337\266I\301\11\343=\320\7P\7\250\223\372L\265\35@\326\355\252\13\356\324\30\6\316\351\352ox\31f\340\1D\235\313\342]\26H\256\264{\376\277\376\224\366a\301\23\336%A\252\252M\372\212\23\352\267\367\301\223\0K&0\205\223\301\365?\16\68\255O\264\302]\17}\363h\350B\243\323\345\304A"Y\14(|'\266f\340\341\272\214\15d\355\2\370\340\356\306^\213F\277X*8\344\34\4\364xy\10a\15\276*\253\204\223\16>'5oj\335a'\\325\13\2268$\250\306\262B\33\347\20\15}\271\315(\12\206\367\212\220\210'\261\323\300\36338\340\311b\34xl\233\5\315\304\211\270\304\13W\236O2\246\24\303\372\11\32d\246\23\227%\4\316_\336\236M\20\357Y\250\32:\270\2645R\217&\21\251\213\371\260\303\371=Q\340V`\10Nj\336\330\317\303-T|\10\11\245,\213\233|/u\321\36\357\360\16\237&\14xv\244+]@9\230#\340\227\341wsVez5\303:\255\36019\256\345\241\221\204\17\253\363T\365\241\371\23>\342\327@\335\202\235J\232\235\260\362\342U\25X\355\247\332,v\350L\300\330\13X\245\306q\300,\260\307\2&\254N/\200\227\367\300s\337\12[\340\247\247;\200\16\226\22yc\0\21\25\24\7\5!\246s'\366mv2\263\363\244\2410\313\2141\37\240Q\232!{\347\338\235\253\243\261\227&\13\236<\257\360\30\356"i\20\332\\215\216\3s\\343\274\310M\241\222\341A]zv\300\221", ) Y\14(|'\266f\340\341\272\214\15d\355\2\370\340\356\306^\213F\277X*8\344\34\4\364xy\10a\15\276*\253\204\223\16>'5oj\335a'\\325\13\2268$\250\306\262B\33\347\20\15}\271\315(\12\206\367\212\220\210'\261\323\300\36338\340\311b\34xl\233\5\315\304\211\270\304\13W\236O2\246\24\303\372\11\32d\246\23\227%\4\316_\336\236M\20\357Y\250\32:\270\2645R\217&\21\251\213\371\260\303\371=Q\340V`\10Nj\336\330\317\303-T|\10\11\245,\213\233|/u\321\36\357\360\16\237&\14xv\244+]@9\230#\340\227\341wsVez5\303:\255\36019\256\345\241\221\204\17\253\363T\365\241\371\23>\342\327@\335\202\235J\232\235\260\362\342U\25X\355\247\332,v\350L\300\330\13X\245\306q\300,\260\307\2&\254N/\200\227\367\300s\337\12[\340\247\247;\200\16\226\22yc\0\21\25\24\7\5!\246s'\366mv2\263\363\244\2410\313\2141\37\240Q\232!{\347\338\235\253\243\261\227&\13\236<\257\360\30\356 (192, 0, 0, 0, 4218, 0x0, 0, ... {status=0x0, info=4218}, "}\4(!\202A\210\304&\227\237)\236\274p\6\251^\202\202R\224\300x>\204\336\214\326\11\344\2335\300\300\320^\356p\324\206\16\311\6!\317[\31\266\300\24\206\250DI\350\331\342Q\330\321\225\3\316\3[('7H\221\3\32\236H\337\266I\301\11\343=\320\7P\7\250\223\372L\265\35@\326\355\252\13\356\324\30\6\316\351\352ox\31f\340\1D\235\313\342]\26H\256\264{\376\277\376\224\366a\301\23\336%A\252\252M\372\212\23\352\267\367\301\223\0K&0\205\223\301\365?\16\68\255O\264\302]\17}\363h\350B\243\323\345\304A"Y\14(|'\266f\340\341\272\214\15d\355\2\370\340\356\306^\213F\277X*8\344\34\4\364xy\10a\15\276*\253\204\223\16>'5oj\335a'\\325\13\2268$\250\306\262B\33\347\20\15}\271\315(\12\206\367\212\220\210'\261\323\300\36338\340\311b\34xl\233\5\315\304\211\270\304\13W\236O2\246\24\303\372\11\32d\246\23\227%\4\316_\336\236M\20\357Y\250\32:\270\2645R\217&\21\251\213\371\260\303\371=Q\340V`\10Nj\336\330\317\303-T|\10\11\245,\213\233|/u\321\36\357\360\16\237&\14xv\244+]@9\230#\340\227\341wsVez5\303:\255\36019\256\345\241\221\204\17\253\363T\365\241\371\23>\342\327@\335\202\235J\232\235\260\362\342U\25X\355\247\332,v\350L\300\330\13X\245\306q\300,\260\307\2&\254N/\200\227\367\300s\337\12[\340\247\247;\200\16\226\22yc\0\21\25\24\7\5!\246s'\366mv2\263\363\244\2410\313\2141\37\240Q\232!{\347\338\235\253\243\261\227&\13\236<\257\360\30\356"i\20\332\\215\216\3s\\343\274\310M\241\222\341A]zv\300\221", ) , ) == 0x0
 03903   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\12h\300\6\0\0\351\200\0\0\0W\215\216\244\1\0\0Q\213\216\240\1\0\0\3\312Q\213H\10\213@\14k\300\34\215\14\211\213L\213\4\213D\1\10+\302PR\3775\244z\7x\215F\30P\377\266$\1\0\0\215\206(\1\0\0P\350\275i\0\0\203?\0tG\215^,S\377\25D\23\0x\201\276 \1\0\0\240\0\0\0u\27\3777\213\316\350\371\357\377\377\2135@\23\0xS\377\326S\377\326\353\32S\353\21\377\266\260\1\0\0\213\316\350\333\357\377\377\203\306,V\377\25@\23\0x_^][\303\314\314\314\314\314\314\314\314\314\314\314\314\203\354\24SV\213\361\213\206x\2\0\0W\213|$$\5\377\375\377\377\203\370\5\215_\30\17\207{\2\0\0U\377$\205\230V\3x\213C<\215K\30\213\21\211D$ \213A\4\211T$\20\213Q\10\211D$\24\213A\14\213\216\204\2\0\0\211T$\30\211D$\34\213\211\250\0\0\0\205\311t"\215T$\20R\350\375/\376\377\205\300u\24\213\206\204\2\0\0\213\210\250\0\0\0\211\216\210\2\0\0\353"\213\15\260w\7x\215T$\20R\350J<\376\377\213\216\204\2\0\0\211\206\210\2\0\0\211\201\250\0\0\0\213\206\210\2\0\0\205\300u\7\275\265\6\0\0\353y\213\25\260w\7x\213\212\340\0\0\0\205\311u=\366@\4\1u7\213\206\204\2\0\0\213H\14\213Ax\205\300\275\273\6\0\0tN3\377\213\25\260w\7x\213\202\340\0\0\0\205\300u\20jd\377\25\204\21\0xG\203\377d|\342\353,\213\216\210\2\0\0\215C\10P\350\3306\376\377\213\350\205\355u\27\213\206\204\2\0\0\201\270 \1\0\0\242\0\0\0u`\275\277\6\0\0\213D$(3\311\212K\2\301\351\4\367\321\203\341\1\205\300\213\371t\14\213\15", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \215T$\20R\350\375/\376\377\205\300u\24\213\206\204\2\0\0\213\210\250\0\0\0\211\216\210\2\0\0\353 (200, 0, 0, 0, "\12h\300\6\0\0\351\200\0\0\0W\215\216\244\1\0\0Q\213\216\240\1\0\0\3\312Q\213H\10\213@\14k\300\34\215\14\211\213L\213\4\213D\1\10+\302PR\3775\244z\7x\215F\30P\377\266$\1\0\0\215\206(\1\0\0P\350\275i\0\0\203?\0tG\215^,S\377\25D\23\0x\201\276 \1\0\0\240\0\0\0u\27\3777\213\316\350\371\357\377\377\2135@\23\0xS\377\326S\377\326\353\32S\353\21\377\266\260\1\0\0\213\316\350\333\357\377\377\203\306,V\377\25@\23\0x_^][\303\314\314\314\314\314\314\314\314\314\314\314\314\203\354\24SV\213\361\213\206x\2\0\0W\213|$$\5\377\375\377\377\203\370\5\215_\30\17\207{\2\0\0U\377$\205\230V\3x\213C<\215K\30\213\21\211D$ \213A\4\211T$\20\213Q\10\211D$\24\213A\14\213\216\204\2\0\0\211T$\30\211D$\34\213\211\250\0\0\0\205\311t"\215T$\20R\350\375/\376\377\205\300u\24\213\206\204\2\0\0\213\210\250\0\0\0\211\216\210\2\0\0\353"\213\15\260w\7x\215T$\20R\350J<\376\377\213\216\204\2\0\0\211\206\210\2\0\0\211\201\250\0\0\0\213\206\210\2\0\0\205\300u\7\275\265\6\0\0\353y\213\25\260w\7x\213\212\340\0\0\0\205\311u=\366@\4\1u7\213\206\204\2\0\0\213H\14\213Ax\205\300\275\273\6\0\0tN3\377\213\25\260w\7x\213\202\340\0\0\0\205\300u\20jd\377\25\204\21\0xG\203\377d|\342\353,\213\216\210\2\0\0\215C\10P\350\3306\376\377\213\350\205\355u\27\213\206\204\2\0\0\201\270 \1\0\0\242\0\0\0u`\275\277\6\0\0\213D$(3\311\212K\2\301\351\4\367\321\203\341\1\205\300\213\371t\14\213\15", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03904   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "6aPx*\25\0\200", ) , ) == 0x0
 03905   896   NtReadFile  (192, 0, 0, 0, 5418, 0x0, 0, ... {status=0x0, info=5418},  (192, 0, 0, 0, 5418, 0x0, 0, ... {status=0x0, info=5418}, "\201\156\260\300\6\327\255o\0\355\3\227+r\201t\371\302~\207h8qfB\225\17@G\17\336\244\212l%\362\24\37\237\232\252\316\321\250\233\330JN/\354\30\377\17)\307\241\255b\327\13D\317\341\253h\210\7~'\2673,\5@1\201\312b\23!oR2\300\16\234\370\201fD\319\320\11\261p\23\4\177\376r\30!ST\323$dve\257\322)h]%.r\304Y\245\24\2&U\223\340\2\35B\341\278>\226K\200"\255\340P\361\312Q4\3420\360\344\211\215p\14\222'\301\17\247\345{\204.zV\244\251i\300\6\227\377\324}\336\20\212Z:\27\25\303\233S\255L\204Y\221.\261\20u\310j\224\377Fwv\256x_L\320\363Yc\363\324d\6\275\262\33\15e%\267c\345\3217\211\27\214\365x\226\205\243\244\310K\35\342\37/|\220 Q\270G\354\372\34\343\262\207\325\12|\25\12\31?\375\251\352\276\\364\234>\177\300C\230\250w6\244\3464\374?\211;SH\357\315+^\351\344\251\355\211L\355\352\266\212\224\26\327\3753'H\\255\302+LI\273\301\244\223\254e\271\361@b\207\305\311\321\265\242\57;\333\311\215t(WcpCN\14\366\17\335\317\301-", ) e\257\322)h]%.r\304Y\245\24\2&U\223\340\2\35B\341\278>\226K\200 (192, 0, 0, 0, 5418, 0x0, 0, ... {status=0x0, info=5418}, "\201\156\260\300\6\327\255o\0\355\3\227+r\201t\371\302~\207h8qfB\225\17@G\17\336\244\212l%\362\24\37\237\232\252\316\321\250\233\330JN/\354\30\377\17)\307\241\255b\327\13D\317\341\253h\210\7~'\2673,\5@1\201\312b\23!oR2\300\16\234\370\201fD\319\320\11\261p\23\4\177\376r\30!ST\323$dve\257\322)h]%.r\304Y\245\24\2&U\223\340\2\35B\341\278>\226K\200"\255\340P\361\312Q4\3420\360\344\211\215p\14\222'\301\17\247\345{\204.zV\244\251i\300\6\227\377\324}\336\20\212Z:\27\25\303\233S\255L\204Y\221.\261\20u\310j\224\377Fwv\256x_L\320\363Yc\363\324d\6\275\262\33\15e%\267c\345\3217\211\27\214\365x\226\205\243\244\310K\35\342\37/|\220 Q\270G\354\372\34\343\262\207\325\12|\25\12\31?\375\251\352\276\\364\234>\177\300C\230\250w6\244\3464\374?\211;SH\357\315+^\351\344\251\355\211L\355\352\266\212\224\26\327\3753'H\\255\302+LI\273\301\244\223\254e\271\361@b\207\305\311\321\265\242\57;\333\311\215t(WcpCN\14\366\17\335\317\301-", ) , ) == 0x0
 03906   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\3511\3\301\367\321#\301\17\276\17G\203\3512\211}\20t\22IIt\12\203\351\4u\245\213M\370\353\7\213\313\353\3\213M\10\3\321\367\321#\321\353\221@\203\340\376\353\213\203\3714t%\203\3718t\25\203\371a~\251\203\371c\177\244\212\12\210\10@B\351l\377\377\377\203\300\7\203\340\370\351a\377\377\377\203\300\3\203\340\374\351V\377\377\377\203\351f\17\2044\1\0\0II\17\204\10\1\0\0j\4^+\316\17\204$\1\0\0+\316\17\204\343\0\0\0\203\351\3tl+\316tL\203\351\3\17\205M\377\377\377\213r\374\203\300\3\203\340\374\2110\212\17\203\300\4G\200\3712\211u\24\211}\20u\5\321\346\211u\24\213\316\213\331\301\351\2\213\362\213\370\3E\24\363\245\213\313\213]\374\203\341\3\3U\24\363\244\351\335\376\377\377\213M\10\3\321@\367\321#\321f\213\12\203\340\376f\211\10@@BB\351\301\376\377\377\17\276\17\203\300\3\203\340\374G\203\3511\211}\20t5I\17\205\250\376\377\377f\213\123\333\215p\10Cf\205\311\213\372f\211\16t\21+\362GGf\213\17Cf\205\311f\211\14>u\361\213\313\2154\33\213]\374\353\30\212\123\366F\210H\10\353\10\212\142F\210L0\7\204\311u\364\213\316\203 \0\203\300\4\211\10\215D0\4\3\326\351O\376\377\377\203\300\3\203\340\374\213\313\3\323\367\321\3\306#\321\353\347\213M\370\3\321\367\321\203\300\7#\321\213\12\203\340\370\211\10\213J\4\211H\4\203\300\10\203\302\10\351\31\376\377\377j\4^\213\313\3\323\367\321\203\300\3#\321\213\12\203\340\374\211\10\3\306\353\252U\213\354QQ\200}\24\0\213E\14\213@\10SV\213u\10Wt\3\376M\24\17\266M\24\213\371\213\331\203\347\1\203\343\3\203\341\7\211}\24\211]\10\211", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03907   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\274vINH\17\0\200", ) , ) == 0x0
 03908   896   NtReadFile  (192, 0, 0, 0, 3912, 0x0, 0, ... {status=0x0, info=3912},  (192, 0, 0, 0, 3912, 0x0, 0, ... {status=0x0, info=3912}, "\317\13v\363\354\340\16\255W\213\303P\341>\370\270\2\323S8**\1\231\237\212\350\3\346(\2525\36\306\25\320\7\260M\311\371=n\6\332\334L%\36q\214ko\333\310\232\203s\373\354*\16sF|\334r\317\217\355r\10\363\343\36jX\356$\357\204iD\34s>\213~\303\343)s\364\225\214'\270NT\261>\333\331vp\254\322QgI\234QK\212\342\344\0\246[\212\204\372\330\224\251N\23\341\340\0M\24\375\213\322H\23+?\311\24\201\333T\221V\37\203\245"\25B\303\303\264\241\217\365\253\340\266\256\356\7/fi~(\340\352^\370\304\271|\23\203\304Y\323\37\13N\344\344H\204\\13\215\261\274\225\363\10\256\25,\353@%Nm+v\253\210i\326x\206\17\1\355\12#\34S\352\212\11\365TIsX\372\257\335\363\30^E\231\366\330\216\347\345@\250\375\252\343\79]\320\213\333\2\224\274\37V\302\330\17/\275\3606\241\300\351P\1\211t\3117\275\271\6(\206\375U\7\212{J>\25\241%VW\322\304\260\322R\271\230\325\250\273\244\215\3116\12\221\10\345\212i\2058\313U\343\206s`\2407\237\307A\345\35\337\215j\22\307\321\240\223\320"\307\241\243m)8\220J\374\306\201\326\225\364x\13\324\353\34\202^\332]\211f\25\267"\12\312\30\242\244\265`\340dHj\344#6W-?c<:\355\215\345\10\301\216\257O\343n]\252\14\304\242h\242\322yX\274,\253\24[\346!\1J\230\322H\370\36\232T\232'\302MDG.\275\216\73\327\366\3\222U\215\373\260\36+\274\3\360\261]>4\305\247*\25\214\361\332\324\200`\261\26+\303\303\254\207\224\365\356r\37\262\313\177\242\241`M\315{\35a\325L^\340[\233\221\273\345f\20\231\336\305\3428\313\252\331\303", ) \25B\303\303\264\241\217\365\253\340\266\256\356\7/fi~(\340\352^\370\304\271|\23\203\304Y\323\37\13N\344\344H\204\\13\215\261\274\225\363\10\256\25,\353@%Nm+v\253\210i\326x\206\17\1\355\12#\34S\352\212\11\365TIsX\372\257\335\363\30^E\231\366\330\216\347\345@\250\375\252\343\79]\320\213\333\2\224\274\37V\302\330\17/\275\3606\241\300\351P\1\211t\3117\275\271\6(\206\375U\7\212{J>\25\241%VW\322\304\260\322R\271\230\325\250\273\244\215\3116\12\221\10\345\212i\2058\313U\343\206s`\2407\237\307A\345\35\337\215j\22\307\321\240\223\320 (192, 0, 0, 0, 3912, 0x0, 0, ... {status=0x0, info=3912}, "\317\13v\363\354\340\16\255W\213\303P\341>\370\270\2\323S8**\1\231\237\212\350\3\346(\2525\36\306\25\320\7\260M\311\371=n\6\332\334L%\36q\214ko\333\310\232\203s\373\354*\16sF|\334r\317\217\355r\10\363\343\36jX\356$\357\204iD\34s>\213~\303\343)s\364\225\214'\270NT\261>\333\331vp\254\322QgI\234QK\212\342\344\0\246[\212\204\372\330\224\251N\23\341\340\0M\24\375\213\322H\23+?\311\24\201\333T\221V\37\203\245"\25B\303\303\264\241\217\365\253\340\266\256\356\7/fi~(\340\352^\370\304\271|\23\203\304Y\323\37\13N\344\344H\204\\13\215\261\274\225\363\10\256\25,\353@%Nm+v\253\210i\326x\206\17\1\355\12#\34S\352\212\11\365TIsX\372\257\335\363\30^E\231\366\330\216\347\345@\250\375\252\343\79]\320\213\333\2\224\274\37V\302\330\17/\275\3606\241\300\351P\1\211t\3117\275\271\6(\206\375U\7\212{J>\25\241%VW\322\304\260\322R\271\230\325\250\273\244\215\3116\12\221\10\345\212i\2058\313U\343\206s`\2407\237\307A\345\35\337\215j\22\307\321\240\223\320"\307\241\243m)8\220J\374\306\201\326\225\364x\13\324\353\34\202^\332]\211f\25\267"\12\312\30\242\244\265`\340dHj\344#6W-?c<:\355\215\345\10\301\216\257O\343n]\252\14\304\242h\242\322yX\274,\253\24[\346!\1J\230\322H\370\36\232T\232'\302MDG.\275\216\73\327\366\3\222U\215\373\260\36+\274\3\360\261]>4\305\247*\25\214\361\332\324\200`\261\26+\303\303\254\207\224\365\356r\37\262\313\177\242\241`M\315{\35a\325L^\340[\233\221\273\345f\20\231\336\305\3428\313\252\331\303", ) \12\312\30\242\244\265`\340dHj\344#6W-?c<:\355\215\345\10\301\216\257O\343n]\252\14\304\242h\242\322yX\274,\253\24[\346!\1J\230\322H\370\36\232T\232'\302MDG.\275\216\73\327\366\3\222U\215\373\260\36+\274\3\360\261]>4\305\247*\25\214\361\332\324\200`\261\26+\303\303\254\207\224\365\356r\37\262\313\177\242\241`M\315{\35a\325L^\340[\233\221\273\345f\20\231\336\305\3428\313\252\331\303", ) == 0x0
 03909   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\24\203f4\0\211M\350\213]\374\213E\14\213\0\203E\14\4WPV\350\324\374\377\377Ku\354\200}\13\0t\4\200f9\337\200}\354\0t\14\213F\24\211F4\213E\350\211F\24\213U\20\367\332\33\322#U\360_\211\226\210\0\0\0^[\311\302\14\0\200e\13\0\353\215h\306\6\0\0\350\2&\375\377\314U\213\354\203\354\14\17\266U\30\17\266\212\30^\0xSV\213u\10\213F\24\3\301\367\321#\301\211F\24\17\266\212\330^\0x\3\310W\213}\20j\2\211N\24[\3\373f\213\7f\301\350\14\17\266\300\3\310\367\320#\3103\300\211N\24f\213\7\3\373%\377\17\0\0\205\300t\23\213\17\203\307\4;M\24t\5\3\373Hu\361\205\300u\21f\201?\377\377u\12h\305\6\0\0\350\203%\375\3773\300f\213\7f\205\300\17\204\305\0\0\0\213\310f\201\341\0\377f\201\371\0\200u'\17\266\320\17\266\212\30^\0x\213F\24\3\301\367\321#\301\211F\24\17\266\212\330^\0x\3\310\211N\24\351\220\0\0\0\17\277\300\3\3703\300\212\7P\350\255\245\0\0\204\303tg3\3229V0t\21\213F\24\203\300\3\203\340\374\203\300\4\211F\24\353e9V4\213E\14\213\10tH\213F\24\203\300\3\203\340\374\203\300\4\211F\24\213F4;\302\17\225E\374\200}\374\0t\13\213^\24\211F\24\211V4\353\3\213]\370WQV\350c\373\377\377\200}\374\0t!\213F\24\211F4\211^\24\353\26\213M\143\300\212\7WQ\213\15\200t\7xV\203\340?\377\24\201_^[\311\302\24\0U\213\354\203\354\20\213E\20\213\0\17\266\10\203\351GSV\213u\10\213V\34W\211U\360t#It\12h\346\6\0\0\350}$\375\377\200x\1J\213~, 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03910   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "E6\225Af\11\0\200", ) , ) == 0x0
 03911   896   NtReadFile  (192, 0, 0, 0, 2406, 0x0, 0, ... {status=0x0, info=2406},  (192, 0, 0, 0, 2406, 0x0, 0, ... {status=0x0, info=2406}, "{\17\220{\330\250\262\301\352\14\214\4\217U\225\13\213]\362\374\263+CJ\326y\11\7%'C\374\330\364Il\33\206\270\242I;\26\352\2\305)\11M\7Fu\240g\263\304\242\201\244\0?\330\317h\310\227e\200\36\344\330:LK\326,2\315i\331\217\347JC\235i\222a\253\371\313,L\5=\270ff&\271=\334\363\221\300o\212\220U\27\3374\243Jx"\11{&d8\247\22\331\303c&\23\321VW\204z\7\207%OB\262\36\21\263W\341*\244\275`\1B"\367.\232\256T\12?\207cK"S\327~p\342\311z H8\250\205I#\17p-\245\225\325\202'G\6\321\356\253\277C\370\343\17\217\3518\273(\11A!|\26\334]\352\322\367R\17O\273\30\350i\367\257V\365rB\315,\320\247\236b\333\205\203U\274{9\315\315\266\3535\341N\16t\204\263\320\3248\306hj\266\251\30q\\340\\305\12\322\252M\255\264\16O\14\23d\7\360Eu\335g\302\26\223.Mf\236\20\355lj\276\234\37\214\220\376\266\255B\3257\15\36/\2235S\224\15hi\27\237<\261\222x\333\24\242&<)\321\273\2\206\236EQ\206!\3365\265\215\350P\310O\35\226\267\255\34\6\\177\15n&Q\16>\35\277\11oL\224\335\36R\12\11\336\245\247\224\340\235\3413\274\231uxS\276F\225\221 \323\11o\272\242\21=\31Z3\30\0\246\360s\367kU\217\3066\205\14\302G6<\357.\370#_X[\361\272)y\37qD\315\336&\256\373\360\21*M\17\230Rb\271m\200\327Ye\253\320]\233\253\7\272\251\2\36713\325\230\211\212>#\211\242\266[\255\356We\245\227E\270df>r\37\2077C]\2061!\213\14o\322\365\202\231\233\310\201\303\361L\356J", ) \11{&d8\247\22\331\303c&\23\321VW\204z\7\207%OB\262\36\21\263W\341*\244\275`\1B (192, 0, 0, 0, 2406, 0x0, 0, ... {status=0x0, info=2406}, "{\17\220{\330\250\262\301\352\14\214\4\217U\225\13\213]\362\374\263+CJ\326y\11\7%'C\374\330\364Il\33\206\270\242I;\26\352\2\305)\11M\7Fu\240g\263\304\242\201\244\0?\330\317h\310\227e\200\36\344\330:LK\326,2\315i\331\217\347JC\235i\222a\253\371\313,L\5=\270ff&\271=\334\363\221\300o\212\220U\27\3374\243Jx"\11{&d8\247\22\331\303c&\23\321VW\204z\7\207%OB\262\36\21\263W\341*\244\275`\1B"\367.\232\256T\12?\207cK"S\327~p\342\311z H8\250\205I#\17p-\245\225\325\202'G\6\321\356\253\277C\370\343\17\217\3518\273(\11A!|\26\334]\352\322\367R\17O\273\30\350i\367\257V\365rB\315,\320\247\236b\333\205\203U\274{9\315\315\266\3535\341N\16t\204\263\320\3248\306hj\266\251\30q\\340\\305\12\322\252M\255\264\16O\14\23d\7\360Eu\335g\302\26\223.Mf\236\20\355lj\276\234\37\214\220\376\266\255B\3257\15\36/\2235S\224\15hi\27\237<\261\222x\333\24\242&<)\321\273\2\206\236EQ\206!\3365\265\215\350P\310O\35\226\267\255\34\6\\177\15n&Q\16>\35\277\11oL\224\335\36R\12\11\336\245\247\224\340\235\3413\274\231uxS\276F\225\221 \323\11o\272\242\21=\31Z3\30\0\246\360s\367kU\217\3066\205\14\302G6<\357.\370#_X[\361\272)y\37qD\315\336&\256\373\360\21*M\17\230Rb\271m\200\327Ye\253\320]\233\253\7\272\251\2\36713\325\230\211\212>#\211\242\266[\255\356We\245\227E\270df>r\37\2077C]\2061!\213\14o\322\365\202\231\233\310\201\303\361L\356J", ) S\327~p\342\311z H8\250\205I#\17p-\245\225\325\202'G\6\321\356\253\277C\370\343\17\217\3518\273(\11A!|\26\334]\352\322\367R\17O\273\30\350i\367\257V\365rB\315,\320\247\236b\333\205\203U\274{9\315\315\266\3535\341N\16t\204\263\320\3248\306hj\266\251\30q\\340\\305\12\322\252M\255\264\16O\14\23d\7\360Eu\335g\302\26\223.Mf\236\20\355lj\276\234\37\214\220\376\266\255B\3257\15\36/\2235S\224\15hi\27\237<\261\222x\333\24\242&<)\321\273\2\206\236EQ\206!\3365\265\215\350P\310O\35\226\267\255\34\6\\177\15n&Q\16>\35\277\11oL\224\335\36R\12\11\336\245\247\224\340\235\3413\274\231uxS\276F\225\221 \323\11o\272\242\21=\31Z3\30\0\246\360s\367kU\217\3066\205\14\302G6<\357.\370#_X[\361\272)y\37qD\315\336&\256\373\360\21*M\17\230Rb\271m\200\327Ye\253\320]\233\253\7\272\251\2\36713\325\230\211\212>#\211\242\266[\255\356We\245\227E\270df>r\37\2077C]\2061!\213\14o\322\365\202\231\233\310\201\303\361L\356J", ) == 0x0
 03912   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\374\213}\14f\213\17f\301\351\14\17\266\311\3\301\367\321#\301\211F\43\300f\213\7%\377\17\0\0GG\205\300t\22\213\17\203\307\4;\312t\5GGHu\362\205\300u\21f\201?\377\377u\12h\305\6\0\0\351\270\0\0\03\300f\213\7f\205\300t7\213\310f\201\341\0\377f\201\371\0\200u7\204\333t,\17\266\300\17\266\210\30^\0x\213F\4\3\301\367\321#\301\211F\4\17\266\17\17\266\211\330^\0x\3\310\211N\4_^[]\302\20\03\300\212\7P\353!\17\277\300\3\3703\300\212\7P\3508&\0\0\366\304\2t;\213F4\205\300t4\204\333u\12j\10V\350\331\370\377\377\353\311\213^\4\203f4\0\203\303\3W\203\343\374SV\211F\4\350{\373\377\377\213F\4\203\303\4\211F4\211^\4\353\243\213\15\224t\7x3\300\212\7SWV\203\340?\377\24\201\353\216h\346\6\0\0\350]\245\374\377\32\323\4x#\323\4x5\323\4x,\323\4x>\323\4x@\324\4x\0\0\1\2\3\2\4\4\5\5\5\3\4\213D$\103\311\212H\1\200\371\t\14Q\377t$\10\350U\370\377\377\353)\213L$\4\203\300\6\366Ap t\2@@\17\277\20\377t$\14\3\3023\322\212\20P\241\224t\7xQ\203\342?\377\24\220\302\14\0\200|$\14\0uC\213D$\10\203\300\10V\17\2770\3\3603\300\212\6P\350P%\0\0\250\1t\203\300\212\6P\377t$\14\350\367\367\377\377\353\27\213\15\224t\7x3\300\212\6j\0V\377t$\20\203\340?\377\24\201^\302\14\0U\213\354\213E\14\203\300\10V\17\2770\3\3603\300\212\6P\350\10%\0\0\250\1t\34\200}\20\0\17\205\276\0\0\03\300\212\6P\377u\10\350\246\367\377\377\351", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03913   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\247\34\213M >\0\200", ) , ) == 0x0
 03914   896   NtReadFile  (192, 0, 0, 0, 15904, 0x0, 0, ... {status=0x0, info=15904},  (192, 0, 0, 0, 15904, 0x0, 0, ... {status=0x0, info=15904}, "\201\156\260\332\7\201\234./\246F\30\211Y?\314\6\351A6p\310\263\232\3021\01\360\201\324a\217\363\5;\357m\257u\311\377c\23N\334\277\26\277\275\374\310?\330#Bo\376\322\365\362\6}\235\0$\373S\336`\357\366\345\375DN\2106\245\200\276]|t'\340{[\169\247#\31\213\37\325Q8\256\272\337\201\227\345\313\316\224\366f\365\341gC\210\357\227\2319\\307T\363\371[g\341\377\332\336\10\322s\312\376Y\260\21\2363\230h\235rm\331G\314\207FtR\255\223\4\245~\374<{y\224\350\331\320\357!s\247\311\213\367\307\245\200o-e=\353T+\227w\335\376\351\314\\261N\367i\16\16\320\220\30\235\6\232Og\307\210P\371y\254\323\231\317\241\213\366o=O\253=\256\260\230\240\17\223\35\212\247\357w\340\217?N\350\345\320\344X\312\266\220\343\10\33\231W\14}>r\30T\265a\260\254\241'\250O\352\231*WF\327\364%\373\373\334\17\32n\256\267\222QS\322kN\370\234h\221\271\267\335v\344\6Ty\377\324r\314\300\27\247\367\344'\334\243i\21\332m\272Z\265~g\335l\237\3]6j\344\273m>*\12D=\225\221\377{\313\36`N\241\215L\324e\205(N?\251JJLj\246\340\11\246\201\25\277\251NO\25\222\251\325\374llw[9f\334P\347S\313\330\260\363!\373 \237L9\267\345y\222k&\333z\337L\345A\323\347gl\226ec8`\323\220\275\307\243\261\1h\25464\260\221\260\253\20\2371\22\337s\330\247\31\314\305\265#\357ftvo\271Z2\333\350\150^ v\340\333\3763\256<\1\217\265\16\320*L\310\16\\350`\27\332\1\336\267\267\260\305A\222\275(\216S\250ci~;*Mhg\377\337\10D\247", ) , ) == 0x0
 03915   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\1\0\0\377\340\213D$\4\213@\20\211D$\4\213\0\213\200X\1\0\0\377\340\213D$\4\213@\20\211D$\4\213\0\213\200\\1\0\0\377\340\213D$\4\213@\20\211D$\4\213\0\213\200`\1\0\0\377\340\213D$\4\213@\20\211D$\4\213\0\213\200d\1\0\0\377\340\213D$\4\213@\20\211D$\4\213\0\213\200h\1\0\0\377\340\213D$\4\213@\20\211D$\4\213\0\213\200l\1\0\0\377\340\213D$\4\213@\20\211D$\4\213\0\213\200p\1\0\0\377\340\213D$\4\213@\20\211D$\4\213\0\213\200t\1\0\0\377\340\213D$\4\213@\20\211D$\4\213\0\213\200x\1\0\0\377\340\213D$\4\213@\20\211D$\4\213\0\213\200|\1\0\0\377\340\213D$\4\213@\20\211D$\4\213\0\213\200\200\1\0\0\377\340\213D$\4\213@\20\211D$\4\213\0\213\200\204\1\0\0\377\340\213D$\4\213@\20\211D$\4\213\0\213\200\210\1\0\0\377\340\213D$\4\213@\20\211D$\4\213\0\213\200\214\1\0\0\377\340\213D$\4\213@\20\211D$\4\213\0\213\200\220\1\0\0\377\340\213D$\4\213@\20\211D$\4\213\0\213\200\224\1\0\0\377\340\213D$\4\213@\20\211D$\4\213\0\213\200\230\1\0\0\377\340\213D$\4\213@\20\211D$\4\213\0\213\200\234\1\0\0\377\340\213D$\4\213@\20\211D$\4\213\0\213\200\240\1\0\0\377\340\213D$\4\213@\20\211D$\4\213\0\213\200\244\1\0\0\377\340\213D$\4\213@\20\211D$\4\213\0\213\200\250\1\0\0\377\340\213D$\4\213@\20\211D$\4\213\0\213\200\254\1\0\0\377\340\213D$\4\213@\20\211D$\4\213\0\213\200\260\1\0\0\377\340\213D$\4\213@\20\211D$\4\213", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03916   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\322\22\3401|1\0\200", ) , ) == 0x0
 03917   896   NtReadFile  (192, 0, 0, 0, 12668, 0x0, 0, ... {status=0x0, info=12668},  (192, 0, 0, 0, 12668, 0x0, 0, ... {status=0x0, info=12668}, "\261\267z\237-5\363:\230\270\334z\15\374m\243\317\14.\301\270\242\333\245\3717\253G\365\326_\10m\231\37Q\236\262J4\201\344\354\5\237\265.\242\27\25$\236\20\341\3305\24\234\367o\231\335\215 \201\373\215\11\355\267#\261v\314\260\344@1,\324\27\360\221\331\312\251`\220J7\345&\247\372f\353N'H\370\242:\16\217\225\301\37\250\356>\345\277n\35\243|U\240YT>){\230m\247\275\6ss\6\226\371x\2750}\312%\224\4\264T\3654U|R\25\275\21\326\311\177<\224r\363\253,\326\10r]\306Vg\235\324\374\363&\12d\347\265\360\177\234VM%\310\330J;~\311\5\35d\351\306\363H\377\226\12|\227\215y\363C\337\3645\361\257\363\20\35\212\3124\256\314\311_\343p\245\303\271\322\340%\202h\4\224#?N\247Tp\177\242\277n\343\275@\310\310c\334\347K{\214\361\234\323\350\37k\16\227\371d\373\32\356\27\337\372\206\264\302/3#\376\31\303\26\222}\202\177\362\273V\342Oq\274\215F8.\25P\341\246\232y\372,'\20\254\230X\\12X;\305\3\330\2725\6\341\344\25721\267\241\251\37\210\370\312^j^\377\3415\263\26Qc\356{\205R\221\376\24\315n\226m3=\23\327\377\3406\202L%\307\273\362\315\205\222Rd\357\341\332\5\317[\236\350y\304\235\236\337\303j\177\271\323\22,\332\233\304GW\302|^Zy\277\361$\325\214m\345\213\345\353:uT\232\343\335\373\371\344^\334\2138\351\207\266\307M\333\!m\307>\204\232D_\257\36\307\242\353\361d\314X\14l\361\272"\347\311\244\324\272\305p\277\322\262\276\305\372Z\345\251\265\16 \300\251\371r\23\217\377|\343>\37G\301\342Z|\354\234\265\357\245`\357\203\356&t!\213\303\343P", ) \347\311\244\324\272\305p\277\322\262\276\305\372Z\345\251\265\16 \300\251\371r\23\217\377|\343>\37G\301\342Z|\354\234\265\357\245`\357\203\356&t!\213\303\343P", ) == 0x0
 03918   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\377\377\213\330\203}\374\0t\11\213\313\350\36\220\377\377\353[\213M\354\205\311\211^\10\211s\4t\15\215E\374P\350\235\217\377\377\213\360\353\23\366\203}\374\0t\27\213\316\350w\217\377\377\377u\374\213\3\213\313\377P\24\213\3\213\313\3530\213M\364\215E\374PW\377u\350\211s\10\211^\4\350-\226\377\377\203}\374\0t\34\307\0\254m\0x\377u\374\213\6\213\316\377P\24\213\6\213\316\377P\34\351X\377\377\377\213M\370\211F\10\211p\4\211A\14\213M\10\211C\14\211F\14\211\1\213E\374_^[\311\302\4\0\213D$\4V\213\361\1F4\213F4=\10\4\0\0r\16P\350\332\343\377\377\205\300t\4\203f4\0^\302\4\0U\213\354\203\354\20Sh\254\1\0\0\211M\360\350\355\216\374\3773\333;\303Y\211E\370u\10j\16X\351\357\0\0\0V\215p8\211u\364W\203\306p\215~\24\213\317\211\237\340\0\0\0\307\207\344\0\0\0\247v\5x\350$\364\377\377;\363\307G\4\20\0\0\0\211]\374t\24\211^\14\211^\4\211^\10\211~\20\307\60s\0x\213\3363\3669u\374t\33\213\317\307\3\254m\0x\350v\213\377\377\377u\370\350\202\216\374\377Y\351\201\0\0\0\213M\364;\316\211\237\334\0\0\0t\21\215E\374P\3775\354v\7x\350\336\215\377\377\213\360\203}\374\0t\27\213\316\350\214\215\377\377\377u\374\213\3\213\313\377P\24\213\3\213\313\3530\213M\370\215E\374PW\377u\360\211s\10\211^\4\350\206\225\377\377\203}\374\0t\31\307\0\254m\0x\377u\374\213\6\213\316\377P\24\213\6\213\316\377P\34\353\202\213M\10\211F\10\211p\4\211C\14\211F\14\211\1\213E\374_^[\311\302\4\0U\215l$\234\201\354\220\0\0\0S\213]l", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03919   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\302-\377\221\320\32\0\200", ) , ) == 0x0
 03920   896   NtReadFile  (192, 0, 0, 0, 6864, 0x0, 0, ... {status=0x0, info=6864},  (192, 0, 0, 0, 6864, 0x0, 0, ... {status=0x0, info=6864}, "\240\273\247\352\6\250\332PO.'\2776\346CLy\217cF\210\370Qy\350l\236\37\223\14M +\241\315u\3248\276\364\4eE\311T\255\301V7fD\310\357b\347\354'\361\206\307\320$\311\335\2261\372\207\261\204i\7Cz\305\315zE\253g\6BV\321~?<\323\334qP\306\325\360\21\346\252\312\224~\370\31\\367O6\307WO\222.\342\361\352\247\247\233\376\232L\3658\342\370\343W\4RdQ\217\357\234\25xz\356\313L\344\2y\315e\215\274\220\305\372\310)J-\37\274:\306\201\210\177\233#\260\273\371\312X\303\246\321\237\311\13qH\320\311]\212\276\355\3\266F^8\237\337\243(\202\207B#\306\244\3642\355yz\202,\335\16\342\211L=\341\350\31\177Q\6+\327i\222<\2018\11\224\367\272(\3559\272/\341\305\315\6\243\306\372\371\214\277\313\25?\149E\303\337c\353\217\3"\4\217X9\23B\35s\227\344\3015\344\217\276\221\246\377\361|\331\14\245\2qE\351\320Q.\\350\374S\244\326ad\375}e\3076\1\221>/\277\215GM\203\375\32'\304\364\335t>2\301\342\3456\12\212\3\356y\304jQ\224\342\245\327\352H\261\24\206\232\366\333\314\2149\204\274\337i\327\3350\222\226A\254\356\372:\32\321\34\245\312\375'\177\3476"\304\370\311_M<\217\366\320\257\5\313\21\341n\32\373\363a\340\336\246\0\202 \342\271\225\240\1777\177\325\371\357\206\304\301\46AS<\355\254\221\260\267K<\277\25^\272\362\250\37\324\337N\240d\201\306\365JA\360*\314D\341\212\36\313\31\203\313\336\177;\3035\352~\314+_\277G\302\277\303\342;\201g\2751`\365\2117\311C\272\332\215&D~\253\262\234\356\223H\313\326\37|\212SszH\277,g\374\324", ) \4\217X9\23B\35s\227\344\3015\344\217\276\221\246\377\361|\331\14\245\2qE\351\320Q.\\350\374S\244\326ad\375}e\3076\1\221>/\277\215GM\203\375\32'\304\364\335t>2\301\342\3456\12\212\3\356y\304jQ\224\342\245\327\352H\261\24\206\232\366\333\314\2149\204\274\337i\327\3350\222\226A\254\356\372:\32\321\34\245\312\375'\177\3476 (192, 0, 0, 0, 6864, 0x0, 0, ... {status=0x0, info=6864}, "\240\273\247\352\6\250\332PO.'\2776\346CLy\217cF\210\370Qy\350l\236\37\223\14M +\241\315u\3248\276\364\4eE\311T\255\301V7fD\310\357b\347\354'\361\206\307\320$\311\335\2261\372\207\261\204i\7Cz\305\315zE\253g\6BV\321~?<\323\334qP\306\325\360\21\346\252\312\224~\370\31\\367O6\307WO\222.\342\361\352\247\247\233\376\232L\3658\342\370\343W\4RdQ\217\357\234\25xz\356\313L\344\2y\315e\215\274\220\305\372\310)J-\37\274:\306\201\210\177\233#\260\273\371\312X\303\246\321\237\311\13qH\320\311]\212\276\355\3\266F^8\237\337\243(\202\207B#\306\244\3642\355yz\202,\335\16\342\211L=\341\350\31\177Q\6+\327i\222<\2018\11\224\367\272(\3559\272/\341\305\315\6\243\306\372\371\214\277\313\25?\149E\303\337c\353\217\3"\4\217X9\23B\35s\227\344\3015\344\217\276\221\246\377\361|\331\14\245\2qE\351\320Q.\\350\374S\244\326ad\375}e\3076\1\221>/\277\215GM\203\375\32'\304\364\335t>2\301\342\3456\12\212\3\356y\304jQ\224\342\245\327\352H\261\24\206\232\366\333\314\2149\204\274\337i\327\3350\222\226A\254\356\372:\32\321\34\245\312\375'\177\3476"\304\370\311_M<\217\366\320\257\5\313\21\341n\32\373\363a\340\336\246\0\202 \342\271\225\240\1777\177\325\371\357\206\304\301\46AS<\355\254\221\260\267K<\277\25^\272\362\250\37\324\337N\240d\201\306\365JA\360*\314D\341\212\36\313\31\203\313\336\177;\3035\352~\314+_\277G\302\277\303\342;\201g\2751`\365\2117\311C\272\332\215&D~\253\262\234\356\223H\313\326\37|\212SszH\277,g\374\324", ) , ) == 0x0
 03921   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "R\350\307H\372\377\213\306^\302\10\0j`X\303j\30X\303U\213\354\203}\14,\213U\10Vr<\377u\14R\350\351\372\377\377\205\300t/f\203z\22\3u(f\203z\20\20u!\2038\15u\34\213M\20;H\4u\24\203x\10\6u\16\213H\14\213u\24\211\16\203x\20\2t\7\276\300\6\0\0\353\12\213@\24\213M\30\211\13\366R\350YH\372\377\213\306^]\302\24\0\203|$\10\30r%\377t$\10\213T$\10R\350\203\372\377\377\205\300t\23f\203z\22\1u\14f\203z\20\0u\5\2038\12t\7\270\300\6\0\0\353\23\300\302\10\0\203|$\10 r4\377t$\10\213T$\10R\350K\372\377\377\205\300t"f\203z\22\2u\33f\203z\20\0u\24\2038\15u\17\213L$\14;H\4u\6\203x\10\12t\7\270\300\6\0\0\353\23\300\302\14\0V\377t$\20\377t$\20\377t$\20\350\247\377\377\377\377t$\10\213\360\350\266G\372\377\213\306^\302\14\0U\213\354\203}\14\30\213U\10Vr8\377u\14R\350\340\371\377\3773\366;\306t)3\311Af9J\22u f9r\20u\32\213\0\203\370\12u\7\213E\20\211\10\353\21\203\370\11u\7\213E\20\2110\353\5\276\300\6\0\0R\350`G\372\377\213\306^]\302\14\0\203|$\10\30\213T$\4Vr!\377t$\14R\350\211\371\377\377\205\300t\23f\203z\22\1u\14f\203z\20 u\5\2038\12t\7\276\300\6\0\0\353\23\366R\350\35G\372\377\213\306^\302\10\0\203|$\10\34\213T$\4Vr5\377t$\14R\350G\371\377\377\205\300t'f\203z\22\1u f\203z\20\2u\31\2038\5u\24\213@\4=\20'\0\0\213L$\20\211\1s\13\205", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) f\203z\22\2u\33f\203z\20\0u\24\2038\15u\17\213L$\14;H\4u\6\203x\10\12t\7\270\300\6\0\0\353\23\300\302\14\0V\377t$\20\377t$\20\377t$\20\350\247\377\377\377\377t$\10\213\360\350\266G\372\377\213\306^\302\14\0U\213\354\203}\14\30\213U\10Vr8\377u\14R\350\340\371\377\3773\366;\306t)3\311Af9J\22u f9r\20u\32\213\0\203\370\12u\7\213E\20\211\10\353\21\203\370\11u\7\213E\20\2110\353\5\276\300\6\0\0R\350`G\372\377\213\306^]\302\14\0\203|$\10\30\213T$\4Vr!\377t$\14R\350\211\371\377\377\205\300t\23f\203z\22\1u\14f\203z\20 u\5\2038\12t\7\276\300\6\0\0\353\23\366R\350\35G\372\377\213\306^\302\10\0\203|$\10\34\213T$\4Vr5\377t$\14R\350G\371\377\377\205\300t'f\203z\22\1u f\203z\20\2u\31\2038\5u\24\213@\4=\20'\0\0\213L$\20\211\1s\13\205", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03922   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\367\217\377\374J\13\0\200", ) , ) == 0x0
 03923   896   NtReadFile  (192, 0, 0, 0, 2890, 0x0, 0, ... {status=0x0, info=2890},  (192, 0, 0, 0, 2890, 0x0, 0, ... {status=0x0, info=2890}, "\261^\314\300\334\325\361\227\206\304W6\320\6E5\265\37+S\344f\262\30\33G\303\235}mf\35\3305\320\222\340\351\2241m\351\3330\244\26\251\231(\336\21\213&\227\247L\276\371e\22\3445N\335\353\6-\364L\341q\15UQ_\235(Kn\326\2729\327\272\336b\241\225\5\261\350f\354\202\263\260\274j\241vl\117\320\220Hj\320N\374\276nV\241\354\6\263\251\316\235\241\320)n\351\324\3158\353*\23\315\264\365\32\244\233\255\21\254\33g\356\362\237q_C\12X\222\356\223\313\204\31\330\244\231\351\230\222\322\356\25\243\3160d\300lT\31\332\32\365\341_E}\232\356\6\222)\266\330,4\11;\276\235d\314$\334\314\335\23\315\314\352\201\307g\353\3101\3406;\250j\334/0\366@\316\32\301\314\215s\20\353G\372!\262l\232jF\304\235\311\3155h\332#\264P\274\204\340'\25\364\255p\302\206\231\35k\33\332F\357\315&a\336Y\201jB\311\24j\245\20\\205P;\3Z\5q\236\365P,\200\334\4\16(\324N\201|\15\3406\333c\307\14fB\300\31\1h\5\244,xja.\11f\332\31.L\30n\302\360\23\205\242*8\\341\200\15\3206 \357\263\306,\35597h\12\303U\6\266\33\302nH\210\201\310\355\334\3302\220\314\300~\202!\17C\330\15S-\210(\241\247\264\334(\34\254\214\302p\32\270Y\320\243\331\226\301\2\231\267\6\225\16:\237a\330\203ai\16`\33\350[\200M\302\31\270\4\216(\310\240\1d\5\2405!\356\206\267\22\362R{\32I\7\340\320AP4\206\244\32\240k\310\334\341\273\203z\7V\14\241\326\263q\241P@\5\2204\6\256\33\266n\20#\1\346\356\301b\14.'\304F\341\240\12pv\203\327\16g\22\362\304m|\314", ) , ) == 0x0
 03924   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\0\314\27\1\0D$\1\0\2#\1\0\267\30\1\0\36\30\1\0\177\266\1\0\315\267\1\0\260\267\1\0*\31\1\0G\31\1\0e\266\1\0\307$\1\0J\270\1\0\374\267\1\0u\31\1\0\37\32\1\0\341$\1\0\31z\1\0\265\0\5\0\3\1\5\03\375\4\0@\1\5\0\14\4\5\0x\1\5\0\265\1\5\0\0\2\5\0@\2\5\0}\2\5\0\303\376\4\0\334\276\3\0=\277\3\0_\311\3\0\227\377\4\0\271\13\7\0\4\4\5\0\237\377\4\08\307\3\0\247\377\4\0\331\377\4\0\5\0\5\0x\0\5\0\276\261\1\0\217]\2\0\204\263\1\0L\\2\0\212]\2\0Y]\2\0V}\1\0\34G\4\0\30^\0\0\330^\0\0\230_\0\0\223a\2\0\333`\2\0\276&\2\0\335$\2\0\37&\2\0\16%\2\0M'\2\0\256\276\1\0~&\2\0-&\2\0I&\2\0\14\271\1\0\343%\2\0\210\306\3\0]\306\3\0\317\311\3\0\321\322\3\0\4\316\3\0\313\330\3\0N\330\3\0\16\333\3\0\216\327\3\0'\327\3\0\200\332\3\0X\332\3\0\347\332\3\0\204t\7\0\210t\7\0\200t\7\0\214t\7\0\277\331\3\0\214\331\3\0&\332\3\0\5\325\3\0H\321\3\0\266\317\3\0\357\340\6\0\5\341\6\0\34\341\6\05\341\6\0^\341\6\0\200\341\6\0\232\341\6\0\260\341\6\0\316\341\6\0\251\340\6\0\301\340\6\0\354\341\6\0\375\341\6\0\16\342\6\0 \342\6\02\342\6\0K\342\6\0f\342\6\0|\342\6\0\232\342\6\0\261\342\6\0\340\342\6\0\356\342\6\0\2\343\6\0\26\343\6\0*\343\6\0:\343\6\0K\343\6\0k\343\6\0\201\343\6\0\307\343\6\0\347\343\6\0\7\344\6\0%\344\6\0D\344\6\0a\344\6\0\177\344\6", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03925   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\222\332\260\347b0\0\200", ) , ) == 0x0
 03926   896   NtReadFile  (192, 0, 0, 0, 12386, 0x0, 0, ... {status=0x0, info=12386},  (192, 0, 0, 0, 12386, 0x0, 0, ... {status=0x0, info=12386}, "\336\37\321#\251$i\32jdAc_s\226\220\315\215\315/\237\342n\25\324\263\210\26\332D\246\351'\325\302\243u\353\35\311\320\221\307MR\177I\373#\211\26'\7\2474A%\244:5\203\16\226\303\3265\264\13\202\235\3248*#\347\231\277\3\2344\233\13\2g)\247\361\300\22aQ/\347rW\14\342\323\327X\3\247?\2353E\244Y\227&I\235v\271#\215\2264\26\256\252Za\323Fu*lM\255\257\207J\204!\14\37\216 O\5\205\372\24\274\227\302\236\344\231J\322\360\22\34\251Y*\376'\\233\344 F\375\330\254\312\226|\326\255\256M\2\15\204S\350_\230\220\326\336\17\373\6\2\23\263\230\261k\221!4N\353k4\207\327R`\203=\344d\375\277\374}]$<\7z\210\34\253\276\321\333\326\321\225\307\13\327\204#\366\3653\264\2704\211\266\365f\243\23M\235h\321\261\237\271\240\361\245\230\317\271\314\233\20\6h\305$^Ai\212\357KG\306G)\300\225\307\345\347n\300\226\375K5\306O9\251\341\32{F2\375\341\333\235:B\3143\355\345\35\300C\353\34:\301\230+\376+\374\224g\262\10e\31nY\251p\33*\306*\372\202\221G&CN\274(\227\361ELh\315_\3343\242\211\347\346wW\302\325b2\301\3453\267\13\303\32\366\205\342UD\213N[Q,|l\215\254\202l\31\275$ m1\233\214\334\26\273\11\212\36Pt(\252\277\246\362C\363+,\370\267\352, \203\226z\203\274\330J\\305\30Ed\33^\325\21\204\332\201\30Ae\32`\305\262K\375\205\245\247\323\347\247i\35_\263\263\270\242Cj\251\204+\13u\253\322\22\316\261IPV\223\344\357\324.1\266\265\242\27A\3355^B\340d\320\27\301\241,\4\261DP2\204\207x\207", ) , ) == 0x0
 03927   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "M\374\17\204\205\0\0\0S\213]\14VW\203\370\1t^\213M\374\213\31f\203{\26\1r\22\213K\20;\312t\13\215E\10P\377u\14\377\321\3533\211U\10\213\139\21t*\213s\4\213\242\213:\213u\14j\4Y3\322\363\247t\23\377E\10\213U\10\213\13\301\342\2\203<\12\0u\333\353\33\300@\203E\374\4\213M\3743\3229\21u\235;\302_^t\25\213M\20;\312t\2\211\31\213M\24;\312t\5\213U\10\211\21[\311\302\20\0U\213\354QQSV\215E\374P\350)\376\377\377\215E\370P\350}\376\377\377\213]\3703\3669u\20u\3\213]\374\213U\10\203\302\10f\203}\24\2s\3\203\352\49u\20t\27j\3\307\2\222 \7x\307B\4\251 \7x\307B\10\271 \7x^\213M\14;\361s,W\213}\374+\337+\372\215\4\262+\316\213\20\205\322u\10\215\24\37\213\24\2\353\10\203\372\377u\5\213\24\7\211\20\203\300\4Iu\342_\377u\374\350\331\375\377\377\377u\370\350.\376\377\377^[\311\302\20\0\213D$\4\213L$\10\203\300\20IIt\33It\21It\7\271h[\0x\353\23\271\340[\0x\353\14\271\270[\0x\353\5\271\220[\0xj\12Z+\310V\2038\0u\5\2134\1\2110\203\300\4Ju\360^\302\10\0\213L$\43\3009A\4\17\225\300\302\4\0U\213\354\203\354\24VW\215E\354P\377u\10\377\25ht\7x\213}\24\213\360\205\366|X\215E\374Ph\320d\0xj\0h\1\0\0\200\215E\354P\377\25Tt\7x\213\360\205\366|8\213E\374\213\10S\213]\14W\377u\20\377u\10SP\377Q\14\213\360\205\366|\17\203?\0t\12\205\333t\6\213\3S\377P\10\213E\374\213\10P\377Q", 27325, 0x0, 0, ... {status=0x0, info=27325}, ) , 27325, 0x0, 0, ... {status=0x0, info=27325}, ) == 0x0
 03928   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 03929   896   NtClose  (200, ... ) == 0x0
 03930   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03931   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03932   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 03880  2016   NtUserWaitMessage  ... ) == 0x1
 03933  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03934  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 03935  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010051
 03936  2016   NtGdiFlush  (... ) == 0x0
 03937  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 03934  2016   NtUserRedrawWindow  ... ) == 0x1
 03933  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 03938  2016   NtUserWaitMessage  (...
 03932   896   NtUserMessageCall  ... ) == 0xd
 03939   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "\0\30\3\0\275\352;\0\0\0\345.\215a \0", ) , ) == 0x0
 03940   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03941   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03942   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256},  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "sp2\rpcss.dll\0> \0\0\275\2?\0\0\0\345.oc \0sp2\update\kb823980.cat\0\35\17\0\0\373"?\0\0\0\345.\212a \0sp2\update\update.inf\0\340\0\0\0\302?\0\0\0\345.\215a \0sp2\update\update.ver\0\3\340\342\345\345\0\200[\200\200\215\11\20\250fu\0"3`4\0\0\217\0\267\273\347e\273<\312\224s`\23N\34062U/\345K\375\355\262\333\234\355\225=\273\\313\313\271~\266\313\330\333\264\312\356\266\330\312\344y\162\322\263y\236\305 =$\301\11$\37\372\27\322-\325`jPQ~\32\24J\2747\3152dl7\367\255%.\6i\264\1\220\14U\326\210\0 \330\1\377=S\353", ) ?\0\0\0\345.\212a \0sp2\update\update.inf\0\340\0\0\0\302?\0\0\0\345.\215a \0sp2\update\update.ver\0\3\340\342\345\345\0\200[\200\200\215\11\20\250fu\0 (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "sp2\rpcss.dll\0> \0\0\275\2?\0\0\0\345.oc \0sp2\update\kb823980.cat\0\35\17\0\0\373"?\0\0\0\345.\212a \0sp2\update\update.inf\0\340\0\0\0\302?\0\0\0\345.\215a \0sp2\update\update.ver\0\3\340\342\345\345\0\200[\200\200\215\11\20\250fu\0"3`4\0\0\217\0\267\273\347e\273<\312\224s`\23N\34062U/\345K\375\355\262\333\234\355\225=\273\\313\313\271~\266\313\330\333\264\312\356\266\330\312\344y\162\322\263y\236\305 =$\301\11$\37\372\27\322-\325`jPQ~\32\24J\2747\3152dl7\367\255%.\6i\264\1\220\14U\326\210\0 \330\1\377=S\353", ) , ) == 0x0
 03943   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03944   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03945   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03946   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8aa64, 0, 688, 1, ...
 03938  2016   NtUserWaitMessage  ... ) == 0x1
 03947  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03948  2016   NtUserDefSetText  (655682, 8387704, ... ) == 0x1
 03949  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 03950  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 03951  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 03952  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03953  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 03954  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03946   896   NtUserMessageCall  ... ) == 0x1
 03955   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\e5d4274d2caaef1b878fb5d282a5\sp2\rpcss.dll"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 03956   896   NtClose  (-2147481368, ... ) == 0x0
 03955   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 03957   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "MZ\220\0\3\0\0\0\4\0\0\0\377\377\0\0\270\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\340\0\0\0\16\37\272\16\0\264\11\315!\270\1L\315!This program cannot be run in DOS mode.\15\15\12$\0\0\0\0\0\0\0\346\306u\245\242\247\33\366\242\247\33\366\242\247\33\366X\204[\366\241\247\33\366\242\247\32\366\264\246\33\366X\204\2\366\263\247\33\366X\204$\366\243\247\33\3665\204^\366\243\247\33\366x\204\7\366\207\247\33\366x\204\6\366\361\247\33\366X\204&\366\243\247\33\366Rich\242\247\33\366\0\0\0\0\0\0\0\0PE\0\0L\1\4\0\30#\7?\0\0\0\0\0\0\0\0\340\0\16!\13\1\7\0\0\334\2\0\0\372\0\0\0\0\0\0(\202\0\0\0\20\0\0\0\360\2\0\0\0\205u\0\20\0\0\0\2\0\0\5\0\1\0\5\0\1\0\4\0\0\0\0\0\0\0\0\0\4\0\0\4\0\0s\257\3\0\3\0\0\0\0\0\4\0\0\20\0\0\0\0\20\0\0\20\0\0\0\0\0\0\20\0\0\0 \353\2\0y\0\0\0\214\321\2\0\264\0\0\0\0\300\3\0\350\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\320\3\0\270$\0\0\220\24\0\0\34\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\0\\4\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0.text\0\0\0\231\333\2\0\0\20\0\0\0\334\2\0\0\4\0\0\0\0\0\0", 5443, 0x0, 0, ... , 5443, 0x0, 0, ...
 03958   896   NtContinue  (-135750188, 0, ...
 03957   896   NtWriteFile  ... {status=0x0, info=5443}, ) == 0x0
 03959   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ...
 03947  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 03960  2016   NtUserWaitMessage  (...
 03959   896   NtReadFile  ... {status=0x0, info=8},  ... {status=0x0, info=8}, "5w\370\376\4\16\0\200", ) , ) == 0x0
 03961   896   NtReadFile  (192, 0, 0, 0, 3588, 0x0, 0, ... {status=0x0, info=3588},  (192, 0, 0, 0, 3588, 0x0, 0, ... {status=0x0, info=3588}, "\272\3656\353\271\226_\332\27\237\203\240\264\257V\227\250\5\302\312\353\366\177\360]iS\251\\326\255\351\315v\265\35b\212\17\315YT\352\265b\210om\364U]\371\233\6\215\366>\334#\241\352\244\210\3775\241\225\25M\374\2507\13\31\7*0\326\337\333.\316\215\13\241\304S\266X\235\243\26\13+\316\377?\365\375O\251Lz\372\212\256\263\244\371\247\273\304K\332\364XO\376dRY\257\246Y\273\353^%\210\213\322\251\204\15s\326\343x\246r\233\277\224(:\252#\25MW\33\2656th\370\276J\25\311\324\307\177\235Zp\273\217\\33\25q\260\16T\3048\203\331\304\246\231c\246\312+\330]j\313\327\222\356xA~\276$\263\222\235\345\303\344\11(\324F\31d\271vK\374\245\266\266\210\353(\317*\257\2661Z\7\26\375]\250\316\13\354\365*b\344\7\251]-uY\352\216\253#\245U\311\223\2416\307\241j\342\267\261O#\346\365\245S\227\33\352\224\222d\304\206\243\324\244Zy\34\232\267\256\343Z@\207\216YaCH6PR\315\345\3025\325!\2341\240?\25}\311\332b\222\3545\316\233\205u|;\212\304\215\356Y\263\262\220\240\31}MQCK\305\321\371\247\365;\231\272\35\270fia\311i\377\257\276Dm\273~\216\374ks\364\302\337\221\335(\275\351c\357\207X\366\365N\230\13\254\225]\35\205\216\263\351\364\235\\12\317\266\220z#\325\327\326\255Z\260\212\216\377lYu\362\223G\370,r\264\370yk\312\212\262C!\317,\230\342\264\237'\262\30 \243\314\200\354c\261.\232&Yk\346\256\26\235\360\375|\2124A\12k\236\325A\266\213\364\304\345\315\327\213\3660A{\261h\251\271\355\317\222o\235\245\263\314\223X\310\204[y{f\246M\315-K\321\371@\25\327\216", ) , ) == 0x0
 03962   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "uF{\206u\240U\206u\337U\206u\215C\206u\215C\206u\215C\206u\215C\206u\215C\206u\320V\206u\320V\206u\337V\206u\344V\206u\0\0\0\0I\0n\0p\0r\0o\0c\0S\0e\0r\0v\0e\0r\03\02\0\0\0\0\0I\0n\0p\0r\0o\0c\0H\0a\0n\0d\0l\0e\0r\03\02\0\0\0L\0o\0c\0a\0l\0S\0e\0r\0v\0e\0r\03\02\0\0\0L\0o\0c\0a\0l\0S\0e\0r\0v\0e\0r\0\0\0I\0n\0p\0r\0o\0c\0S\0e\0r\0v\0e\0r\0\0\0\0\0R\0e\0m\0o\0t\0e\0S\0e\0r\0v\0e\0r\0N\0a\0m\0e\0\0\0\0\0I\0n\0p\0r\0o\0c\0H\0a\0n\0d\0l\0e\0r\0\0\0I\0n\0p\0r\0o\0c\0S\0e\0r\0v\0e\0r\0X\08\06\0\0\0I\0n\0p\0r\0o\0c\0H\0a\0n\0d\0l\0e\0r\0X\08\06\0\0\0\0\0T\0h\0r\0e\0a\0d\0i\0n\0g\0M\0o\0d\0e\0l\0\0\0\0\0O\0L\0E\03\02\0.\0D\0L\0L\0\0\0A\0p\0a\0r\0t\0m\0e\0n\0t\0\0\0B\0o\0t\0h\0\0\0\0\0F\0r\0e\0e\0\0\0\0\0N\0e\0u\0t\0r\0a\0l\0\0\0P\0r\0o\0g\0i\0d\0\0\0\0\0A\0p\0p\0I\0D\0\0\0A\0p\0p\0I\0D\0\\0{\0x\0x\0x\0x\0x\0x\0x\0x\0-", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03963   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "I\b\325\272\16\0\200", ) , ) == 0x0
 03964   896   NtReadFile  (192, 0, 0, 0, 3770, 0x0, 0, ... {status=0x0, info=3770},  (192, 0, 0, 0, 3770, 0x0, 0, ... {status=0x0, info=3770}, "\345\211>\253_\330l\340\201\232\272\2430\220\370\373\255\202\20QY\215\354\27\377\6\215\352\274\277\250\224\346\342\366~+l\365\237i\253\317\327Q\334\375\277\2419\171\270\377\212\2632\261\263\376\225\362 \326?\307P\237KCY\300g/\335\370\2jK\20\216G\276\255E\374C\354\353`\274nzq\354\256E\365\204\255k\377\230\221\364\276\250\272 \376LY\232\332\330z\2165\30\214\\366k\220p\375;\342\11\3434\304@\355(\337\345\350\275\374\325\232\315\23\365\17\256\252$\35\374\246r\224\375\275Q\21\10\327od"\271\12\15\246\0\321\35\330\342\204\230=m\235\325)\207s;\26?A[\275:\205x\205\350\342\273Z\16\30n\306\330\306\220g\16\330l\212\33\251\210-\224\302`T\261\266\247\201C\301L\234\7q\6F\321\255\203S\15B\300\352\221\3@mKq\31\337\242\27K:\22\246!\276\245o\16\350H-l~k\342\360`\330=f\243\33\340q\262\26'\304\365+\227\320\1\337\201*N\204nb\3101l>E\253\241\246X\15B\20#\330\362\3143\32\207V\231y\312nz2\372\366\262\244-2\15\243\226\216>-\222\332\250Lk\215Z\3\204A\371\35\6\205i\2338\262\225(\6\231\372\201\375\362h\253\310\310\336\361\216\255\213\220oO\206\203yo\213j5\27\231\3356\267\207\30D\375\332\342\364\\6\312\205\342j\241\341Qb\3033$\33073\305Z\213\264\251hGruM\3510\1\36R\212\221\3\206\17N'\10\3\246\334\350\344\271i$#\236\256NT\3\370\261\213[\16\0\277f\317\375mWw\33\315\0\346&\223 k\2574Z\356\235p\30\0/\325\16t\263\2404\345\221;\216\340\250%\272)0\256!\354\\367\33*\310-O\343\323\370\236\210D\12\1]", ) \271\12\15\246\0\321\35\330\342\204\230=m\235\325)\207s;\26?A[\275:\205x\205\350\342\273Z\16\30n\306\330\306\220g\16\330l\212\33\251\210-\224\302`T\261\266\247\201C\301L\234\7q\6F\321\255\203S\15B\300\352\221\3@mKq\31\337\242\27K:\22\246!\276\245o\16\350H-l~k\342\360`\330=f\243\33\340q\262\26'\304\365+\227\320\1\337\201*N\204nb\3101l>E\253\241\246X\15B\20#\330\362\3143\32\207V\231y\312nz2\372\366\262\244-2\15\243\226\216>-\222\332\250Lk\215Z\3\204A\371\35\6\205i\2338\262\225(\6\231\372\201\375\362h\253\310\310\336\361\216\255\213\220oO\206\203yo\213j5\27\231\3356\267\207\30D\375\332\342\364\\6\312\205\342j\241\341Qb\3033$\33073\305Z\213\264\251hGruM\3510\1\36R\212\221\3\206\17N'\10\3\246\334\350\344\271i$#\236\256NT\3\370\261\213[\16\0\277f\317\375mWw\33\315\0\346&\223 k\2574Z\356\235p\30\0/\325\16t\263\2404\345\221;\216\340\250%\272)0\256!\354\\367\33*\310-O\343\323\370\236\210D\12\1]", ) == 0x0
 03965   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\10j\0\350\326\373\377\377\213\15\200\367\207u\350n\370\377\377^\311\302\10\0\377t$\14\377t$\14\377t$\14j\1\350\263\373\377\377\302\14\0U\213\354\203\354\20\213E\10SVW\213\371\213\10\213@\4\211E\374\215E\360\211M\370\213\15\234\367\207uP3\333\307E\360\220\32\205u\350\2221\0\0\213\360\205\366t&\203\307\10V\213\317\350\22g\0\0\205\300u\34V\213\317\350Lg\0\0\213\330\205\333u\16\213\6\213\316\377P\4\353\5\273w\7\0\0_^\213\303[\311\302\4\0U\213\354\203\354\20\213E\10VW\213\371\213\10\213@\4\211E\374\215E\360\211M\370\213\15\234\367\207uP\307E\360\220\32\205u\350*1\0\0\213\360\205\366t\33V\215O\10\350_f\0\0;\360\213\316u\7\213\6\377P\10\353\5\350"\372\377\377_^\311\302\4\0U\213\354QQV\213\361\377\25\234\21\205u+\6x\14\200~\30\0t\12\203~\14\0t\43\300\353 \203\306\10\203M\374\377\211u\370\353\7\213\20\213\310\377R\10\215M\370\350\242\370\377\377\205\300u\355@^\311\303V\213\361\213F\49F\10Wue\301\340\4P\350\372\350\377\377Y\213\3703\311;\371\17\204\232\0\0\09N\4Sv\33\213\26\213\301\301\340\3\213\34\20\211\348\213T\20\4A\211T8\4;N\4r\345\213^\4\215\4\33\353\24\377\25\234\21\205u\203d\337\4\0\211\4\337\213F\4C\321\340;\330r\350\3776\350\270\350\377\377\321f\4Y\211>[j\34j\0\3775\324\372\207u\377\25\24\362\207u\205\300t\25\377t$\24\213\310\377t$\24\377t$\24\350\356\373\377\377\353\23\300\205\300t\34\213V\14;V\4s\24\213>\215L\327\4\2039\0t\20B\203\301\10;V\4r\3623\300_^\302", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) \372\377\377_^\311\302\4\0U\213\354QQV\213\361\377\25\234\21\205u+\6x\14\200~\30\0t\12\203~\14\0t\43\300\353 \203\306\10\203M\374\377\211u\370\353\7\213\20\213\310\377R\10\215M\370\350\242\370\377\377\205\300u\355@^\311\303V\213\361\213F\49F\10Wue\301\340\4P\350\372\350\377\377Y\213\3703\311;\371\17\204\232\0\0\09N\4Sv\33\213\26\213\301\301\340\3\213\34\20\211\348\213T\20\4A\211T8\4;N\4r\345\213^\4\215\4\33\353\24\377\25\234\21\205u\203d\337\4\0\211\4\337\213F\4C\321\340;\330r\350\3776\350\270\350\377\377\321f\4Y\211>[j\34j\0\3775\324\372\207u\377\25\24\362\207u\205\300t\25\377t$\24\213\310\377t$\24\377t$\24\350\356\373\377\377\353\23\300\205\300t\34\213V\14;V\4s\24\213>\215L\327\4\2039\0t\20B\203\301\10;V\4r\3623\300_^\302", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03966   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, ",\2531\344\330\12\0\200", ) , ) == 0x0
 03967   896   NtReadFile  (192, 0, 0, 0, 2776, 0x0, 0, ... {status=0x0, info=2776},  (192, 0, 0, 0, 2776, 0x0, 0, ... {status=0x0, info=2776}, "\231.Oj\15\13\255\364\210\262\355)\212:\251U\372\2721\25?\326\373\205y\326C\17\277bPPzyy\2\330Q\237\313/*\200\202\363\254\260\13+q\232\334\214\27\12\13\241\324%\262\266\224N\220\345\26\3052\17g'A\235\305\304\13\307\260\223\21\272\10>\274\242.\26q\3227\300\2065\262\257\210;\366\33[>J\301S\320sRb\21\305%\223\14\252\320>\21\242\10\26\274\322>\303qDY\260\26:QT\217Dq3\377\217\34\316\36A\212 &"J\370\21\276\204\357\210Nj5\31\206\0jBPJ\374D\277e\304\3\263\210_\321\257\28\213T\344\363\21\300\35`\241y~\261\20\346\266\376\340\250Q\15}\350\10\230\352m\305&\36\235\245_\260\246Q=\1\371XZ\25\240\256\350\314\370\362\340L\371\200\3001 \213^!9;F\262\2643\353\10\11\324\324X\236\205\231^\2049\213\272!O>\254u\23\36,zc\346\273#.Kt\307\301\321\260\1\30\264lz\201\307\216\331\25\217\266\224nKY\364\31'\345\341{\365\250}\305Cm\332>D\224%\332\277_\312\2555\2h\0\321\310@\\14\271s\351\345\254\265\240\3\227<\310\322\324\325\276?U\372\2716\344\16\21511_\6\251\2232z\32\222_\227\243", ) \34\316\36A\212 & (192, 0, 0, 0, 2776, 0x0, 0, ... {status=0x0, info=2776}, "\231.Oj\15\13\255\364\210\262\355)\212:\251U\372\2721\25?\326\373\205y\326C\17\277bPPzyy\2\330Q\237\313/*\200\202\363\254\260\13+q\232\334\214\27\12\13\241\324%\262\266\224N\220\345\26\3052\17g'A\235\305\304\13\307\260\223\21\272\10>\274\242.\26q\3227\300\2065\262\257\210;\366\33[>J\301S\320sRb\21\305%\223\14\252\320>\21\242\10\26\274\322>\303qDY\260\26:QT\217Dq3\377\217\34\316\36A\212 &"J\370\21\276\204\357\210Nj5\31\206\0jBPJ\374D\277e\304\3\263\210_\321\257\28\213T\344\363\21\300\35`\241y~\261\20\346\266\376\340\250Q\15}\350\10\230\352m\305&\36\235\245_\260\246Q=\1\371XZ\25\240\256\350\314\370\362\340L\371\200\3001 \213^!9;F\262\2643\353\10\11\324\324X\236\205\231^\2049\213\272!O>\254u\23\36,zc\346\273#.Kt\307\301\321\260\1\30\264lz\201\307\216\331\25\217\266\224nKY\364\31'\345\341{\365\250}\305Cm\332>D\224%\332\277_\312\2555\2h\0\321\310@\\14\271s\351\345\254\265\240\3\227<\310\322\324\325\276?U\372\2716\344\16\21511_\6\251\2232z\32\222_\227\243", ) , ) == 0x0
 03968   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\374\213\10P\377Q\10\213E\360\213\10\215U\374R\377u\24P\377\21\213\360\213E\360\213\10P\377Q\10\205\366t\4\213\306\353\34\213E\374\213M\30\211\13\300\353\20\271\2@\0\200;\301\213\301t\5\270\5@\0\200_^[\311\302\30\0U\213\354\203\354\20\213E\30S3\333VW\213}\14;\373\211]\374\211]\360\211]\370\211\30t\20\213\7\215M\364Q\215M\370QW\377P\24\353\6\211]\370\211]\364\241 \373\207u;\303\213u\20t\35\213\10S\215U\374R\377u\24VWP\377Q\24\205\300u\11\307E\14\20\0\0\0\353~\241\344\372\207u;\303t;\215M\374Q\215M\14Q\377u\364\377u\370j\20V\3776P\350\277)\0\0\205\300u\36\377u\30\213E\374\377u\24\213\10P\377\21\213\360\213E\374\213\10P\377Q\10\351\221\0\0\0\366E\13 S\215U\374R\377u\24VWt\24\241\30\373\207u\213\10P\377Q\24\307E\14\10\0\0\0\353\22\241\20\373\207u\213\10P\377Q\24\307E\14\1\0\0\0;\303ue\241\344\372\207u;\303tR\366E\14\17tL\215M\360Q\377u\374\215M\14Q\377u\364\377u\370j\20V\3776P\350\357&\0\0\203\370\1u+\213E\374\213\10P\377Q\10\213E\360\213\10\215U\374R\377u\24P\377\21\213\360\213E\360\213\10P\377Q\10;\363t\4\213\306\353\12\213E\374\213M\30\211\13\300_^[\311\302\24\0U\213\354\203\354\20\213E\30S\213]\14VW3\377;\337\211}\374\211}\360\211}\370\2118t\20\213\3\215M\364Q\215M\370QS\377P\24\353\6\211}\370\211}\364\213u\10\213F ;\307\213}\20t9\213\10\215V\370\367\332\33\322#\326R\215U\374R\377u\24WSP\377Q\30\205\300u", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03969   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\364\273Sa\32\14\0\200", ) , ) == 0x0
 03970   896   NtReadFile  (192, 0, 0, 0, 3098, 0x0, 0, ... {status=0x0, info=3098},  (192, 0, 0, 0, 3098, 0x0, 0, ... {status=0x0, info=3098}, "\236,M\27\267an\6\260\1\257e\326\304,Oem|Ke-I\1\177\200\276s\2165\370/4\207MW\277\4MC\232\312|i\273\237\220\234a\204\351N\373\311\214Da\1na\212\302\13\1770C\354\346\346\10-x\217\260_\225]#\307\2547\222|m\354\362{\360\262\322\347\332\207\357\254\224a\257\30\261m\326[LE\211Zv\345\351\255\255G\354Q\227\304\257,\15\220\206\326@)\362l\276\220\307\310W\233\31\263\4\168}\276Q\335\253\30\372\346\15\221\336\217?\20\20\30\346`\207\3\253\330\226\307\267:y,\3405\335\336\203[\3554\362\364\0W\210\314}I\360f\242\34\3173Q\274\221*\332\255/V\27554\236\365\363\23\337h\261\2601j\2346\3753\36\33\355\345\3110\35`\245}`a\337\253<\352\204[\312\374\356Zy\360\225S\346\337\12\312T\271\200l\227\305\7\32%j\206)\201\233\334#Mf\337-\345 \262}\363\215\332\250\7\311\260\23\247\360{\222\334\333\347M~4\373\347Xh`\360\2423\257\260vQ\312\203,I%!\20\304\222\179\202!&\304%\20\20A@,\1\17\230\241F\356\24\246P_\305\345fj\317\31\267\345\253\276zn\\21\275\247Y\322\332'\7\\355\347\243Z\375\341\303\375y\373\201b\14\310\256\35b\10\202d\3542\26\300<\12\225\12A\201C7,\246\202^h\340\245}\237\270\213g\355\252\221\226q3\217\260\27\202-U\21\320\226U\204z\341Y\360\202\324\6\271vK\265+\273\242+x\342\265\270\256\337]\333\365\257\7h\365\327\0g\356\375\223\300^x\307C(\332E\303\366\317\310a\334Y\361"~\221\215y`\264]\235\365\327f\263!\315X\333@\324\15Km\34\3A\16I2g\240\20\312p\324\5\25\225\244", ) ~\221\215y`\264]\235\365\327f\263!\315X\333@\324\15Km\34\3A\16I2g\240\20\312p\324\5\25\225\244", ) == 0x0
 03971   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\323\0\0\0\213\206\260\0\0\0\213\210\314\1\0\0S\211\216\254\0\0\0\213\230\310\1\0\0;\337u\20\213N\14;\317\17\204\261\0\0\0\350\213T\377\377\213\216\260\0\0\0\211}\10\211}\364\211}\370\211}\374\350w\354\377\377\213\10WP\377Q\14\213\206\260\0\0\0\213\10\215U\10RhxO\205uP\377\21\205\300|'\213E\10\213\10\215U\374R\215U\370R\215U\364RP\377Q\249}\374u\15\213E\10\213\10WWj\377P\377Q\14\377u\360\213M\14V\350-\373\377\3779}\374\211E\354u\20\213E\10\213\10W\377u\370\377u\364P\377Q\14\213E\10;\307t\6\213\10P\377Q\10\213M\14\350\266\365\377\377;\337u\10\213N\14\350\365S\377\377\213E\354[_^\311\302\10\0\213M\14\350\230\365\377\377\270\5\0\7\200\353\352\213D$\4\203\300\7\203\340\370Pj\0\3775\324\372\207u\377\25\24\362\207u\302\4\0U\213\354\215E\10P\377u\10\377\25\304\22\205u\205\300u\14\203}\10\4t\16\203}\10\10t\10j\5\377\25\300\22\205u]\302\4\0U\213\354QQ\213E\10\205\300V\276W\0\7\200tT\213\10\203e\10\0\215U\10Rh`q\205uP\377\21\213\360\205\366|<\213E\10\205\300t5\213\10\215U\370R\215U\374RP\377Q\30\213\360\205\366|\30\213E\14\205\300t\5\213M\374\211\10\213E\20\205\300t\5\213M\370\211\10\213E\10\213\10P\377Q\10\213\306^\311\302\14\0V\213\3613\3119\216\350\1\0\0u39N \215\206\230\4\0\0\211\206\350\1\0\0u\25;\301t\5\203\300\10\353\23\300P\213\316\3504\334\0\0\353\15Qh\220q\205u\213\316\350A\361\0\0\213\206\350\1\0\0^\303\212A\34<\6t\13<\10t\7", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03972   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\345\366\245\311\234\12\0\200", ) , ) == 0x0
 03973   896   NtReadFile  (192, 0, 0, 0, 2716, 0x0, 0, ... {status=0x0, info=2716},  (192, 0, 0, 0, 2716, 0x0, 0, ... {status=0x0, info=2716}, ";-O)/e\313\300\327\350\251vO\36\23l\322\22\212\375/\350\213]\345\256\307=v]\316Ga\367\12P\245l\274\245g\354\373\227\16\264"\1 \0\230%\10U\376d\217\320\14\271\373\337\305\375n6\4\10\237\335\332\217DM\21\0\314\314X\10\333\270J\5?z\25\312$\37\10\350tx\37NM\275=(\356\3752\232\335?\34a\315\34\312\223\277\227G\321u\226U\32\343\323\202 .T\233\265\303\231lUY\211e\205v\226<\201\274\362* \301x\5\375b.\226\267\217V\36\230\227\274\36H\200Z-\364*\253$\10\334\356\3219\0*bN\364\256\315R\236\37 ;\366\303\206\243\177\230F\201gpF\225|\376\6\240o\343\226\300\1_9?j\256\32\274b\212#U\311\37\227\245v\346\0G=\2005\217"@\260\3768\221\265\12;\331\302\14\326\34\353;_\253\223\227(O8!c2\344e\205\351:\215\14\204\25\352\376\342l\345\256\361H\2x\206\322\262$\261\203\324\234\336\30\222"c_%A\37T\241\337\317\0 \224"\331\376(\307\210)a\21]E\311\36T\355\6\375\240!\347\35\34o\227\312jU\356\222\316\213\235\373\316\330U\373\365[\366\373C\357\346x\5+X\3754\321\276\33\312\220\362\35'\300\232\220\371i\200n!\240\316\231s\360tg\273\240\272\232H\304Lt\367\215\4\1a\211\307[\230g_\355\274\13l\252\262\254(\312'\305f\302D;\206\353I1\307\360\343'\302\310?\361\23\370?=V\277%2\204n\345.\243"%p\353\307`\366}\331Y\201\343H\255u\225\242\347\331yX\314g\304*\371\211\344\214\304\147nD\250\3344|\270\314\3\205\26^\215 \202o\362y\330\263\37\214\300g`\300\373C\0C\336\347\222v$b\203", ) \1 \0\230%\10U\376d\217\320\14\271\373\337\305\375n6\4\10\237\335\332\217DM\21\0\314\314X\10\333\270J\5?z\25\312$\37\10\350tx\37NM\275=(\356\3752\232\335?\34a\315\34\312\223\277\227G\321u\226U\32\343\323\202 .T\233\265\303\231lUY\211e\205v\226<\201\274\362* \301x\5\375b.\226\267\217V\36\230\227\274\36H\200Z-\364*\253$\10\334\356\3219\0*bN\364\256\315R\236\37 ;\366\303\206\243\177\230F\201gpF\225|\376\6\240o\343\226\300\1_9?j\256\32\274b\212#U\311\37\227\245v\346\0G=\2005\217 (192, 0, 0, 0, 2716, 0x0, 0, ... {status=0x0, info=2716}, ";-O)/e\313\300\327\350\251vO\36\23l\322\22\212\375/\350\213]\345\256\307=v]\316Ga\367\12P\245l\274\245g\354\373\227\16\264"\1 \0\230%\10U\376d\217\320\14\271\373\337\305\375n6\4\10\237\335\332\217DM\21\0\314\314X\10\333\270J\5?z\25\312$\37\10\350tx\37NM\275=(\356\3752\232\335?\34a\315\34\312\223\277\227G\321u\226U\32\343\323\202 .T\233\265\303\231lUY\211e\205v\226<\201\274\362* \301x\5\375b.\226\267\217V\36\230\227\274\36H\200Z-\364*\253$\10\334\356\3219\0*bN\364\256\315R\236\37 ;\366\303\206\243\177\230F\201gpF\225|\376\6\240o\343\226\300\1_9?j\256\32\274b\212#U\311\37\227\245v\346\0G=\2005\217"@\260\3768\221\265\12;\331\302\14\326\34\353;_\253\223\227(O8!c2\344e\205\351:\215\14\204\25\352\376\342l\345\256\361H\2x\206\322\262$\261\203\324\234\336\30\222"c_%A\37T\241\337\317\0 \224"\331\376(\307\210)a\21]E\311\36T\355\6\375\240!\347\35\34o\227\312jU\356\222\316\213\235\373\316\330U\373\365[\366\373C\357\346x\5+X\3754\321\276\33\312\220\362\35'\300\232\220\371i\200n!\240\316\231s\360tg\273\240\272\232H\304Lt\367\215\4\1a\211\307[\230g_\355\274\13l\252\262\254(\312'\305f\302D;\206\353I1\307\360\343'\302\310?\361\23\370?=V\277%2\204n\345.\243"%p\353\307`\366}\331Y\201\343H\255u\225\242\347\331yX\314g\304*\371\211\344\214\304\147nD\250\3344|\270\314\3\205\26^\215 \202o\362y\330\263\37\214\300g`\300\373C\0C\336\347\222v$b\203", ) c_%A\37T\241\337\317\0 \224 (192, 0, 0, 0, 2716, 0x0, 0, ... {status=0x0, info=2716}, ";-O)/e\313\300\327\350\251vO\36\23l\322\22\212\375/\350\213]\345\256\307=v]\316Ga\367\12P\245l\274\245g\354\373\227\16\264"\1 \0\230%\10U\376d\217\320\14\271\373\337\305\375n6\4\10\237\335\332\217DM\21\0\314\314X\10\333\270J\5?z\25\312$\37\10\350tx\37NM\275=(\356\3752\232\335?\34a\315\34\312\223\277\227G\321u\226U\32\343\323\202 .T\233\265\303\231lUY\211e\205v\226<\201\274\362* \301x\5\375b.\226\267\217V\36\230\227\274\36H\200Z-\364*\253$\10\334\356\3219\0*bN\364\256\315R\236\37 ;\366\303\206\243\177\230F\201gpF\225|\376\6\240o\343\226\300\1_9?j\256\32\274b\212#U\311\37\227\245v\346\0G=\2005\217"@\260\3768\221\265\12;\331\302\14\326\34\353;_\253\223\227(O8!c2\344e\205\351:\215\14\204\25\352\376\342l\345\256\361H\2x\206\322\262$\261\203\324\234\336\30\222"c_%A\37T\241\337\317\0 \224"\331\376(\307\210)a\21]E\311\36T\355\6\375\240!\347\35\34o\227\312jU\356\222\316\213\235\373\316\330U\373\365[\366\373C\357\346x\5+X\3754\321\276\33\312\220\362\35'\300\232\220\371i\200n!\240\316\231s\360tg\273\240\272\232H\304Lt\367\215\4\1a\211\307[\230g_\355\274\13l\252\262\254(\312'\305f\302D;\206\353I1\307\360\343'\302\310?\361\23\370?=V\277%2\204n\345.\243"%p\353\307`\366}\331Y\201\343H\255u\225\242\347\331yX\314g\304*\371\211\344\214\304\147nD\250\3344|\270\314\3\205\26^\215 \202o\362y\330\263\37\214\300g`\300\373C\0C\336\347\222v$b\203", ) %p\353\307`\366}\331Y\201\343H\255u\225\242\347\331yX\314g\304*\371\211\344\214\304\147nD\250\3344|\270\314\3\205\26^\215 \202o\362y\330\263\37\214\300g`\300\373C\0C\336\347\222v$b\203", ) == 0x0
 03974   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\377\377\0\0\15\0\0\7\200\353\354\213\7\205\300t5\213@\30\213u\10\211\206\304\1\0\0\213C@\250\1\211E\10u=\241$\271\210u\213\20\215M\374Qh\234\34\205u\215K Q\3777\377u\10P\377R\14\353\33\241 \271\210u\213\20\215M\374Qh\234\34\205u\215K QP\377R\14\213u\10\211E\203\3779}\374\270T\1\4\200t\59}\20t\15;\307\211E\20}\6;\300u|3\3779}\374t\33\377u\374\215\206\254\1\0\0\213\10P\377Q\24\213E\374\213\10P\377Q\10\211}\374\213\6SV\377P,\211\263\260\0\0\0\215\276\250\1\0\0\3534\203{\34\0\377u\14\215\206\244\1\0\0\213\10u\6P\377Q$\353\6j\0P\377Q(=\325\4\0\0\211E\20u\36\203}\334\0u\30\307E\334\1\0\0\0\213\7j\0j\3W\377P\14\205\300\211E\20}\273\203}\340\0t\15\213Cx\205\300t\6P\350\267\270\377\3773\366\213\203\300\0\0\0;\306t\6\213\10P\377Q\10\213E\344;\306t\6\213\10P\377Q\10\213\203\274\0\0\0;\306t\6\213\10P\377Q\10\213C\20;\306t\6P\350\322m\377\377\213C\14;\306t\6\213\10P\377Q\109u\330t\10\377s\10\350\340\310\376\377\213E\374_;\306^[t\6\213\10P\377Q\10\213E\20\311\302\14\0j0hX:\205u\350\331H\0\03\366\211u\344\211u\3403\333\211]\334\211u\330\211u\324\213E\14\2110\213E\10\213\10\215U\324Rh\320q\205uP\377\21\213E\324\213\10\215U\320RP\377Q0\213E\320\211\260\310\0\0\0\213E\3209pX\17\204\200\0\0\0\213\200\300\0\0\0\213\10\215U\344RP\377Q\30\213\3709u\344u\22;\376\17\214\372\2\0\0\277\5", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03975   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "\223\344\344&\352\37\0\200", ) , ) == 0x0
 03976   896   NtReadFile  (192, 0, 0, 0, 8170, 0x0, 0, ... {status=0x0, info=8170},  (192, 0, 0, 0, 8170, 0x0, 0, ... {status=0x0, info=8170}, "\251\27\231\244_\371\32h\357)\372\224(\15\360R\325\360e\205]\327\373\221\177\354\264 L{\17Y\335\273`'MX5\316d\325\373(\320c\372\351\241\262\300\31I:\261a\33\36\352zz\312\216z)\272Q\204\212\270\105\5\324L\204A\307\242\330\25\35\17\322\202\2220Y#\5 \1U/\363\212k\20TW\223\\334H\206E`\304Pd\273\2450\256\3743\344\27!\344\343xT\237\210b\333d\17\237i+\240\17R\250\340\302\13\205\364m\312\360w\371\354[I\203\236\316\360\204\272\373\307\270r:\312\16\334:\266J\241V\300\254y\300\341\322\334\347Jj5\311%\374\11[#P\23\35j\300\343\252\25,d\5\335\306E\221\322e\351\2\311\32\243\32\200\30$\15_\223^\212j\374\3\10\321b\346'\333\251\262"\345^\253\246\25,\235\235eY c\247"\246\204(\341i\244>\235\03\272F\300\33\335Y\323kX\33\327|WtW\31\354#\302\332\313\270\237t\351a\227\3705\17\325\324\356\222\364\305^\374\204J\270\213\377\16a\311\21-\3473\13Hf\240nd\215\270\222\323\304/\\216\307\221\233\222\202\3153y*\27Jx\22n\30\213%\314\10j\23-a\273&0\370\373[\11e\213\256\305\228\21\332}\36Wc\213\31\5\225\371\254\333\360)\3174\353g\311\25\2664c\250\326\340FT\233\372\305\366r\371\1Hy<\25\1z\32`\21\23\256APM\257\14Z#\211P\204\31L\215\226\336\226\254\20\274\267\22\322\33\11\2510\225\6\4\357\3023\4\7T\370m\6\34\333fn\2120]\32\242\242\332\353\30\13\315J\266w\350\31\232a\211QI\316\5l\325\312\352\313\366\342&-\34Y\211*\12NH\270\214\310 b\251\330n\255[\221\32045\12\225\210J\37.", ) \345^\253\246\25,\235\235eY c\247 (192, 0, 0, 0, 8170, 0x0, 0, ... {status=0x0, info=8170}, "\251\27\231\244_\371\32h\357)\372\224(\15\360R\325\360e\205]\327\373\221\177\354\264 L{\17Y\335\273`'MX5\316d\325\373(\320c\372\351\241\262\300\31I:\261a\33\36\352zz\312\216z)\272Q\204\212\270\105\5\324L\204A\307\242\330\25\35\17\322\202\2220Y#\5 \1U/\363\212k\20TW\223\\334H\206E`\304Pd\273\2450\256\3743\344\27!\344\343xT\237\210b\333d\17\237i+\240\17R\250\340\302\13\205\364m\312\360w\371\354[I\203\236\316\360\204\272\373\307\270r:\312\16\334:\266J\241V\300\254y\300\341\322\334\347Jj5\311%\374\11[#P\23\35j\300\343\252\25,d\5\335\306E\221\322e\351\2\311\32\243\32\200\30$\15_\223^\212j\374\3\10\321b\346'\333\251\262"\345^\253\246\25,\235\235eY c\247"\246\204(\341i\244>\235\03\272F\300\33\335Y\323kX\33\327|WtW\31\354#\302\332\313\270\237t\351a\227\3705\17\325\324\356\222\364\305^\374\204J\270\213\377\16a\311\21-\3473\13Hf\240nd\215\270\222\323\304/\\216\307\221\233\222\202\3153y*\27Jx\22n\30\213%\314\10j\23-a\273&0\370\373[\11e\213\256\305\228\21\332}\36Wc\213\31\5\225\371\254\333\360)\3174\353g\311\25\2664c\250\326\340FT\233\372\305\366r\371\1Hy<\25\1z\32`\21\23\256APM\257\14Z#\211P\204\31L\215\226\336\226\254\20\274\267\22\322\33\11\2510\225\6\4\357\3023\4\7T\370m\6\34\333fn\2120]\32\242\242\332\353\30\13\315J\266w\350\31\232a\211QI\316\5l\325\312\352\313\366\342&-\34Y\211*\12NH\270\214\310 b\251\330n\255[\221\32045\12\225\210J\37.", ) , ) == 0x0
 03977   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\363\247u\25\213\312\367\331\215\202\244\1\0\0\33\311#\310\213E\20\211\10\353(\213u\14S3\333\213\310\277`r\205u\363\247[t\331\213u\14\213\310\277@q\205u3\300\363\247t\311\213E\20\203 \0\2038\0t\12\213\2R\377P\43\300\353\12P\377u\14R\350\364\372\377\377_^]\302\14\0U\213\354\203\354\20\213E\10SV\215X\43\36693u!9\260|\376\377\377tvSh\0t\205u\215\210\\376\377\377\350\225\362\377\377;\306\17\214A\1\0\0\213E\24\2110\213\3\211u\3749p$W\211u\360uT\213@ \211E\3749u\374\17\205\365\0\0\0\213}\14j\4\270\230N\205uY\213\3603\322\363\247\17\204\236\0\0\0\213M\10\213\21\215u\374Vj\0PQ\377R\20\205\300\17\214\352\0\0\0\307E\360\1\0\0\0\351\262\0\0\0\270\377\377\0\200\351\332\0\0\09p\20\211u\370v\263\211u\364\213x\24\3}\364\213u\14j\4Y3\322\363\247\213u\370u\23V\213\310\350\237\366\377\377\213\3\213H\30\203<\261\0t\26\213\13\203E\364\20F;q\20\211u\370r\3113\366\351i\377\377\377\213E\10\213M\24\307\200\370\376\377\377\1\0\0\0\213\3\213@$\213\4\260\211E\374\211\1\213\10P\377Q\43\300\353i\213\133\3669q\20v[V\350H\366\377\377\213\13\213A\30\203<\260\0u\26\213E\10\307\200\370\376\377\377\1\0\0\0\213A$\213\4\260\211E\374\213\3F;p\20r\321\203}\374\0t&3\366\377u\24\213E\374\377u\14\213\0\377u\374\377\209u\360\213\370t\11\213E\374\213\10P\377Q\10\213\307\353\5\270\2@\0\200_^[\311\302\20\0U\213\354\203\354\14VW\213}\10\215G\43\36690u!9\267|\376", 32768, 0x0, 0, ... {status=0x0, info=32768}, ) , 32768, 0x0, 0, ... {status=0x0, info=32768}, ) == 0x0
 03978   896   NtReadFile  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8},  (192, 0, 0, 0, 8, 0x0, 0, ... {status=0x0, info=8}, "&\215\345\221T\5\3702", ) , ) == 0x0
 03979   896   NtReadFile  (192, 0, 0, 0, 1364, 0x0, 0, ... {status=0x0, info=1364},  (192, 0, 0, 0, 1364, 0x0, 0, ... {status=0x0, info=1364}, "/^\7>\274\346\230\202<\355\276z\374'\241\202\301L\240\353'a\2768?\216A\315!\6\277|C(/\377\363\373\377\350\320\10\357&\5D\317\361u\210\300\370\277\236+\336F\317\200\375\316\205\300\276\322C\203~\371;\257\357}\246A\364\10\177\326\360&\201\233\376\235W:U\11\27\233L\236\215\317\266\367/\225\354\276j\305Vs\361K\5S\211\341\262c}\313\316\263\242\363\23>\0\177\20\372\377\324\3\11Ke\276 \22R/\342\340\24\275>/\317\33\265b\350\365+\256g0?7w\206\251\36\336\230u\274\331\223\342&\351\312v\327\242\277+\320\177\217\240"\346\274\242)Wt\351\254)?\241\370s^\336\7\30\244\365\270F\15\322\363U?\357\202\35\240a\375\372\7W\364\341\273\252\316&\32\377\373\36.;\356\303\375\307\3f\257\272\351\3\233\5V\3371H8\262\222\20=Q$\377\303H\200\4`|L\346\373\224\37\304\372z0\317#\0=\361\355\256\1\347b`\371\10\375\240\327\35S\324q\347n2\357\266\15\15\357\204RT\272\376z\311\375\247\300\377\225\216\177\233\17E\244\361\342\274x/^\213\27\342\305x\361_\274x\341^\274\27/\305\213\361\342\277xg\335\211\233'\355N\3269\274\332\361\235\254-\267\314\251\27/p\350\343\310Um\227\7\227\214\oC\244\364_\273V\253\244\323\312\374\353=j\367e\222;M\246W\246\370!J\270v\16\327\253\264Nl\222z\325\337\11\227\3015\332\271\276?g\341\325o\355\333\12S\22\345\333\277rU?\276\254\373dg\337\205\240f\236;}\350\223d\2647\356\331\331(\33\371\177\256\272e\300\234%p\355\24\246\15\367P\307\255yN<\326E\360ho\347\263\206\20mo\340\337e\365>\373\217\15M}\3\361aM|4\204", ) \346\274\242)Wt\351\254)?\241\370s^\336\7\30\244\365\270F\15\322\363U?\357\202\35\240a\375\372\7W\364\341\273\252\316&\32\377\373\36.;\356\303\375\307\3f\257\272\351\3\233\5V\3371H8\262\222\20=Q$\377\303H\200\4`|L\346\373\224\37\304\372z0\317#\0=\361\355\256\1\347b`\371\10\375\240\327\35S\324q\347n2\357\266\15\15\357\204RT\272\376z\311\375\247\300\377\225\216\177\233\17E\244\361\342\274x/^\213\27\342\305x\361_\274x\341^\274\27/\305\213\361\342\277xg\335\211\233'\355N\3269\274\332\361\235\254-\267\314\251\27/p\350\343\310Um\227\7\227\214\oC\244\364_\273V\253\244\323\312\374\353=j\367e\222;M\246W\246\370!J\270v\16\327\253\264Nl\222z\325\337\11\227\3015\332\271\276?g\341\325o\355\333\12S\22\345\333\277rU?\276\254\373dg\337\205\240f\236;}\350\223d\2647\356\331\331(\33\371\177\256\272e\300\234%p\355\24\246\15\367P\307\255yN<\326E\360ho\347\263\206\20mo\340\337e\365>\373\217\15M}\3\361aM|4\204", ) == 0x0
 03980   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 701, 0x0, 0, ... {status=0x0, info=701}, ) , 701, 0x0, 0, ... {status=0x0, info=701}, ) == 0x0
 03981   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 03982   896   NtClose  (200, ... ) == 0x0
 03983   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03984   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 03985   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 03960  2016   NtUserWaitMessage  ... ) == 0x1
 03986  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 03987  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 03988  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010051
 03989  2016   NtGdiFlush  (... ) == 0x0
 03990  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 03987  2016   NtUserRedrawWindow  ... ) == 0x1
 03986  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 03991  2016   NtUserWaitMessage  (...
 03985   896   NtUserMessageCall  ... ) == 0xe
 03992   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "> \0\0\275\2?\0\0\0\345.oc \0", ) , ) == 0x0
 03993   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 03994   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03995   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256},  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "sp2\update\kb823980.cat\0\35\17\0\0\373"?\0\0\0\345.\212a \0sp2\update\update.inf\0\340\0\0\0\302?\0\0\0\345.\215a \0sp2\update\update.ver\0\3\340\342\345\345\0\200[\200\200\215\11\20\250fu\0"3`4\0\0\217\0\267\273\347e\273<\312\224s`\23N\34062U/\345K\375\355\262\333\234\355\225=\273\\313\313\271~\266\313\330\333\264\312\356\266\330\312\344y\162\322\263y\236\305 =$\301\11$\37\372\27\322-\325`jPQ~\32\24J\2747\3152dl7\367\255%.\6i\264\1\220\14U\326\210\0 \330\1\377=S\353\272\371\225\316\351t\207\16\316y\234\14f\356\233[\334\231\204\2646\3169I\251\266h#\372 ", ) ?\0\0\0\345.\212a \0sp2\update\update.inf\0\340\0\0\0\302?\0\0\0\345.\215a \0sp2\update\update.ver\0\3\340\342\345\345\0\200[\200\200\215\11\20\250fu\0 (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "sp2\update\kb823980.cat\0\35\17\0\0\373"?\0\0\0\345.\212a \0sp2\update\update.inf\0\340\0\0\0\302?\0\0\0\345.\215a \0sp2\update\update.ver\0\3\340\342\345\345\0\200[\200\200\215\11\20\250fu\0"3`4\0\0\217\0\267\273\347e\273<\312\224s`\23N\34062U/\345K\375\355\262\333\234\355\225=\273\\313\313\271~\266\313\330\333\264\312\356\266\330\312\344y\162\322\263y\236\305 =$\301\11$\37\372\27\322-\325`jPQ~\32\24J\2747\3152dl7\367\255%.\6i\264\1\220\14U\326\210\0 \330\1\377=S\353\272\371\225\316\351t\207\16\316y\234\14f\356\233[\334\231\204\2646\3169I\251\266h#\372 ", ) , ) == 0x0
 03996   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 03997   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 03998   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 03999   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8aa64, 0, 688, 1, ...
 03991  2016   NtUserWaitMessage  ... ) == 0x1
 04000  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 04001  2016   NtUserDefSetText  (655682, 8387692, ... ) == 0x1
 04002  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 04003  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 04004  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 04005  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04006  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 04007  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 03999   896   NtUserMessageCall  ... ) == 0x1
 04008   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\e5d4274d2caaef1b878fb5d282a5\sp2\update\kb823980.cat"}, 0x0, 128, 3, 5, 96, 0, 0, ... ) }, 0x0, 128, 3, 5, 96, 0, 0, ... ) == STATUS_OBJECT_PATH_NOT_FOUND
 04009   896   NtCreateFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\C:\scripts"}, 0x0, 128, 3, 2, 16417, 0, 0, ... ) }, 0x0, 128, 3, 2, 16417, 0, 0, ... ) == STATUS_OBJECT_NAME_COLLISION
 04010   896   NtCreateFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\c:\e5d4274d2caaef1b878fb5d282a5"}, 0x0, 128, 3, 2, 16417, 0, 0, ... ) }, 0x0, 128, 3, 2, 16417, 0, 0, ... ) == STATUS_OBJECT_NAME_COLLISION
 04011   896   NtCreateFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\c:\e5d4274d2caaef1b878fb5d282a5\sp2"}, 0x0, 128, 3, 2, 16417, 0, 0, ... ) }, 0x0, 128, 3, 2, 16417, 0, 0, ... ) == STATUS_OBJECT_NAME_COLLISION
 04012   896   NtCreateFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\c:\e5d4274d2caaef1b878fb5d282a5\sp2\update"}, 0x0, 128, 3, 2, 16417, 0, 0, ... 200, {status=0x0, info=2}, ) }, 0x0, 128, 3, 2, 16417, 0, 0, ... 200, {status=0x0, info=2}, ) == 0x0
 04013   896   NtClose  (200, ... ) == 0x0
 04014   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\e5d4274d2caaef1b878fb5d282a5\sp2\update\kb823980.cat"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 04000  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 04015  2016   NtUserWaitMessage  (...
 04016   896   NtClose  (-2147481368, ... ) == 0x0
 04014   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 04017   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "0\202 :\6\11*\206H\206\367\15\1\7\2\240\202 +0\202 '\2\1\11\160\14\6\10*\206H\206\367\15\2\5\5\00\202\5\244\6\11+\6\1\4\1\2027\12\1\240\202\5\2250\202\5\2210\14\6\12+\6\1\4\1\2027\14\1\1\4\20O5Y\226\306"VL\216\325\315\334"\232\377\243\27\15030705192246Z0\16\6\12+\6\1\4\1\2027\14\1\2\5\00\202\4\2400\202\1&\4R4\0D\05\09\02\04\05\05\0F\0E\07\07\00\0F\00\0A\0F\02\0B\08\07\04\02\06\08\0A\08\09\0A\07\05\0C\06\04\03\08\0D\09\09\0E\0\0\01\201\3170b\6\12+\6\1\4\1\2027\14\2\21T0R\36L\0{\0C\06\08\09\0A\0A\0B\08\0-\08\0E\07\08\0-\01\01\0D\00\0-\08\0C\04\07\0-\00\00\0C\00\04\0F\0C\02\09\05\0E\0E\0}\2\2\2\00i\6\12+\6\1\4\1\2027\2\1\41[0Y04\6\12+\6\1\4\1\2027\2\1\170&\3\2\5\240\240 \242\36\200\34\0<\0<\0<\0O\0b\0s\0o\0l\0e\0t\0e\0>\0>\0>0!0\11\6\5+\16\3\2\32\5\0\4\24MY$U\376w\17\12\362\270t&\212\211\247\d8\331\2360\202\1&\4R9\07\0B\00\03\0A\0F\0B\0B\09\09\01\04\03\03\05\05\05\0B\00\0E\07\04\05\00\03\02\07\00\08\0E\01\0", 8254, 0x0, 0, ... VL\216\325\315\334 (200, 0, 0, 0, "0\202 :\6\11*\206H\206\367\15\1\7\2\240\202 +0\202 '\2\1\11\160\14\6\10*\206H\206\367\15\2\5\5\00\202\5\244\6\11+\6\1\4\1\2027\12\1\240\202\5\2250\202\5\2210\14\6\12+\6\1\4\1\2027\14\1\1\4\20O5Y\226\306"VL\216\325\315\334"\232\377\243\27\15030705192246Z0\16\6\12+\6\1\4\1\2027\14\1\2\5\00\202\4\2400\202\1&\4R4\0D\05\09\02\04\05\05\0F\0E\07\07\00\0F\00\0A\0F\02\0B\08\07\04\02\06\08\0A\08\09\0A\07\05\0C\06\04\03\08\0D\09\09\0E\0\0\01\201\3170b\6\12+\6\1\4\1\2027\14\2\21T0R\36L\0{\0C\06\08\09\0A\0A\0B\08\0-\08\0E\07\08\0-\01\01\0D\00\0-\08\0C\04\07\0-\00\00\0C\00\04\0F\0C\02\09\05\0E\0E\0}\2\2\2\00i\6\12+\6\1\4\1\2027\2\1\41[0Y04\6\12+\6\1\4\1\2027\2\1\170&\3\2\5\240\240 \242\36\200\34\0<\0<\0<\0O\0b\0s\0o\0l\0e\0t\0e\0>\0>\0>0!0\11\6\5+\16\3\2\32\5\0\4\24MY$U\376w\17\12\362\270t&\212\211\247\d8\331\2360\202\1&\4R9\07\0B\00\03\0A\0F\0B\0B\09\09\01\04\03\03\05\05\05\0B\00\0E\07\04\05\00\03\02\07\00\08\0E\01\0", 8254, 0x0, 0, ... , 8254, 0x0, 0, ...
 04018   896   NtContinue  (-135750188, 0, ...
 04017   896   NtWriteFile  ... {status=0x0, info=8254}, ) == 0x0
 04019   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 04020   896   NtClose  (200, ... ) == 0x0
 04021   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04022   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 04023   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 04015  2016   NtUserWaitMessage  ... ) == 0x1
 04024  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 04025  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 04026  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010051
 04027  2016   NtGdiFlush  (... ) == 0x0
 04028  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 04025  2016   NtUserRedrawWindow  ... ) == 0x1
 04024  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 04029  2016   NtUserWaitMessage  (...
 04023   896   NtUserMessageCall  ... ) == 0xf
 04030   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "\35\17\0\0\373"?\0\0\0\345.\212a \0", ) ?\0\0\0\345.\212a \0", ) == 0x0
 04031   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 04032   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 04033   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256},  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "sp2\update\update.inf\0\340\0\0\0\302?\0\0\0\345.\215a \0sp2\update\update.ver\0\3\340\342\345\345\0\200[\200\200\215\11\20\250fu\0"3`4\0\0\217\0\267\273\347e\273<\312\224s`\23N\34062U/\345K\375\355\262\333\234\355\225=\273\\313\313\271~\266\313\330\333\264\312\356\266\330\312\344y\162\322\263y\236\305 =$\301\11$\37\372\27\322-\325`jPQ~\32\24J\2747\3152dl7\367\255%.\6i\264\1\220\14U\326\210\0 \330\1\377=S\353\272\371\225\316\351t\207\16\316y\234\14f\356\233[\334\231\204\2646\3169I\251\266h#\372 \26\250\340\324\265\276\332\2\203\315)\357\332\6}@\221j\254\365y\344\205jX\313[\16\270U\6\250\240ZSc\345f9]", ) 3`4\0\0\217\0\267\273\347e\273<\312\224s`\23N\34062U/\345K\375\355\262\333\234\355\225=\273\\313\313\271~\266\313\330\333\264\312\356\266\330\312\344y\162\322\263y\236\305 =$\301\11$\37\372\27\322-\325`jPQ~\32\24J\2747\3152dl7\367\255%.\6i\264\1\220\14U\326\210\0 \330\1\377=S\353\272\371\225\316\351t\207\16\316y\234\14f\356\233[\334\231\204\2646\3169I\251\266h#\372 \26\250\340\324\265\276\332\2\203\315)\357\332\6}@\221j\254\365y\344\205jX\313[\16\270U\6\250\240ZSc\345f9]", ) == 0x0
 04034   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 04035   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04036   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 04037   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8aa64, 0, 688, 1, ...
 04029  2016   NtUserWaitMessage  ... ) == 0x1
 04038  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 04039  2016   NtUserDefSetText  (655682, 8387696, ... ) == 0x1
 04040  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 04041  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 04042  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 04043  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04044  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 04045  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 04037   896   NtUserMessageCall  ... ) == 0x1
 04046   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\e5d4274d2caaef1b878fb5d282a5\sp2\update\update.inf"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 04047   896   NtClose  (-2147481368, ... ) == 0x0
 04046   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 04048   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "[Version]\15\12\15\12    Signature                 = "$Windows NT$"\15\12    LanguageType              = %LangTypeValue%\15\12    NtBuildToUpdate           = 2600\15\12    NtMajorVersionToUpdate    = 5\15\12    NtMinorVersionToUpdate    = 1\15\12    MaxNtBuildToUpdate        = 2600\15\12    MaxNtMajorVersionToUpdate = 5\15\12    MaxNtMinorVersionToUpdate = 1\15\12    MinNtServicePackVersion=256\15\12    ThisServicePackVersion    = 512\15\12    MaxNtServicePackVersion=256\15\12    CatalogFile               = %SP_SHORT_TITLE%.cat\15\12\15\12[JVMStage.DirId", 3869, 0x0, 0, ... $Windows NT$ (200, 0, 0, 0, "[Version]\15\12\15\12    Signature                 = "$Windows NT$"\15\12    LanguageType              = %LangTypeValue%\15\12    NtBuildToUpdate           = 2600\15\12    NtMajorVersionToUpdate    = 5\15\12    NtMinorVersionToUpdate    = 1\15\12    MaxNtBuildToUpdate        = 2600\15\12    MaxNtMajorVersionToUpdate = 5\15\12    MaxNtMinorVersionToUpdate = 1\15\12    MinNtServicePackVersion=256\15\12    ThisServicePackVersion    = 512\15\12    MaxNtServicePackVersion=256\15\12    CatalogFile               = %SP_SHORT_TITLE%.cat\15\12\15\12[JVMStage.DirId", 3869, 0x0, 0, ... , 3869, 0x0, 0, ...
 04049   896   NtContinue  (-135750188, 0, ...
 04048   896   NtWriteFile  ... {status=0x0, info=3869}, ) == 0x0
 04050   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 04051   896   NtClose  (200, ...
 04038  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 04052  2016   NtUserWaitMessage  (...
 04051   896   NtClose  ... ) == 0x0
 04053   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04054   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 04055   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 04052  2016   NtUserWaitMessage  ... ) == 0x1
 04056  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 04057  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 04058  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010051
 04059  2016   NtGdiFlush  (... ) == 0x0
 04060  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 04057  2016   NtUserRedrawWindow  ... ) == 0x1
 04056  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 04061  2016   NtUserWaitMessage  (...
 04055   896   NtUserMessageCall  ... ) == 0x10
 04062   896   NtReadFile  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16},  (196, 0, 0, 0, 16, 0x0, 0, ... {status=0x0, info=16}, "\340\0\0\0\302?\0\0\0\345.\215a \0", ) , ) == 0x0
 04063   896   NtQueryInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 04064   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 04065   896   NtReadFile  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256},  (196, 0, 0, 0, 256, 0x0, 0, ... {status=0x0, info=256}, "sp2\update\update.ver\0\3\340\342\345\345\0\200[\200\200\215\11\20\250fu\0"3`4\0\0\217\0\267\273\347e\273<\312\224s`\23N\34062U/\345K\375\355\262\333\234\355\225=\273\\313\313\271~\266\313\330\333\264\312\356\266\330\312\344y\162\322\263y\236\305 =$\301\11$\37\372\27\322-\325`jPQ~\32\24J\2747\3152dl7\367\255%.\6i\264\1\220\14U\326\210\0 \330\1\377=S\353\272\371\225\316\351t\207\16\316y\234\14f\356\233[\334\231\204\2646\3169I\251\266h#\372 \26\250\340\324\265\276\332\2\203\315)\357\332\6}@\221j\254\365y\344\205jX\313[\16\270U\6\250\240ZSc\345f9]\201g'7\30w\303i4\25l2\335\315\377\373\357\177,\376\0 \0\0D#PVV\3{\357\357\373\234\267", ) 3`4\0\0\217\0\267\273\347e\273<\312\224s`\23N\34062U/\345K\375\355\262\333\234\355\225=\273\\313\313\271~\266\313\330\333\264\312\356\266\330\312\344y\162\322\263y\236\305 =$\301\11$\37\372\27\322-\325`jPQ~\32\24J\2747\3152dl7\367\255%.\6i\264\1\220\14U\326\210\0 \330\1\377=S\353\272\371\225\316\351t\207\16\316y\234\14f\356\233[\334\231\204\2646\3169I\251\266h#\372 \26\250\340\324\265\276\332\2\203\315)\357\332\6}@\221j\254\365y\344\205jX\313[\16\270U\6\250\240ZSc\345f9]\201g'7\30w\303i4\25l2\335\315\377\373\357\177,\376\0 \0\0D#PVV\3{\357\357\373\234\267", ) == 0x0
 04066   896   NtSetInformationFile  (196, 458396, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 04067   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04068   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 04069   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8aa64, 0, 688, 1, ...
 04061  2016   NtUserWaitMessage  ... ) == 0x1
 04070  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 04071  2016   NtUserDefSetText  (655682, 8387696, ... ) == 0x1
 04072  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 04073  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 04074  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 04075  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04076  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 04077  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 04069   896   NtUserMessageCall  ... ) == 0x1
 04078   896   NtCreateFile  (0x40100080, {24, 0, 0x40, 0, 458056,  (0x40100080, {24, 0, 0x40, 0, 458056, "\??\c:\e5d4274d2caaef1b878fb5d282a5\sp2\update\update.ver"}, 0x0, 128, 3, 5, 96, 0, 0, ... }, 0x0, 128, 3, 5, 96, 0, 0, ...
 04079   896   NtClose  (-2147481368, ... ) == 0x0
 04078   896   NtCreateFile  ... 200, {status=0x0, info=2}, ) == 0x0
 04080   896   NtWriteFile  (200, 0, 0, 0,  (200, 0, 0, 0, "[SourceFileInfo]\15\12ole32.dll=510CEB482636B4A9EED6F2DA3444AEB1,000500010A2804DB,1120256\15\12rpcrt4.dll=6CDBDCB914A9CE80B8E23699C9A98C4F,000500010A2804CE,504320\15\12rpcss.dll=CB95493F46B8113362D8925AD6A5A4FA,000500010A2804DB,202752\15\12", 224, 0x0, 0, ... {status=0x0, info=224}, ) , 224, 0x0, 0, ... {status=0x0, info=224}, ) == 0x0
 04081   896   NtSetInformationFile  (200, 458088, 40, Basic, ... {status=0x0, info=0}, ) == 0x0
 04082   896   NtClose  (200, ... ) == 0x0
 04083   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04070  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 04084  2016   NtUserWaitMessage  (...
 04085   896   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 04086   896   NtUserMessageCall  (0x100100, WM_USER+0x5, 0x0, 0x0, 0, 688, 1, ...
 04084  2016   NtUserWaitMessage  ... ) == 0x1
 04087  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 04088  2016   NtUserRedrawWindow  (1048832, 0, 0, 257, ...
 04089  2016   NtUserBeginPaint  (0x100100, 8387416, ... ) == 0x1010051
 04090  2016   NtGdiFlush  (... ) == 0x0
 04091  2016   NtUserEndPaint  (0x100100, 8387416, ... ) == 0x1
 04088  2016   NtUserRedrawWindow  ... ) == 0x1
 04087  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 04092  2016   NtUserWaitMessage  (...
 04086   896   NtUserMessageCall  ... ) == 0x11
 04093   896   NtQueryInformationFile  (196, 458424, 8, Position, ... {status=0x0, info=8}, ) == 0x0
 04094   896   NtSetInformationFile  (196, 458424, 8, Position, ... {status=0x0, info=0}, ) == 0x0
 04095   896   NtClose  (196, ... ) == 0x0
 04096   896   NtClose  (192, ... ) == 0x0
 04097   896   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04098   896   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 04099   896   NtUserMessageCall  (0xa0142, WM_SETTEXT, 0x0, 0x8b4e0, 0, 688, 1, ...
 04092  2016   NtUserWaitMessage  ... ) == 0x1
 04100  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 04101  2016   NtUserDefSetText  (655682, 8387704, ... ) == 0x1
 04102  2016   NtUserGetDC  (655682, ... ) == 0x1010050
 04103  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 225, 13, ... ) == 0x3
 04104  2016   NtUserGetControlBrush  (0xa0142, 16842832, 312, ... ) == 0x1100056
 04105  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04106  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 04107  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 04099   896   NtUserMessageCall  ... ) == 0x1
 04108   896   NtCreateFile  (0xc0110080, {24, 0, 0x40, 0, 458396,  (0xc0110080, {24, 0, 0x40, 0, 458396, "\??\c:\e5d4274d2caaef1b878fb5d282a5\$shtdwn$.req"}, 0x0, 2, 3, 2, 4192, 0, 0, ... 192, {status=0x0, info=2}, ) }, 0x0, 2, 3, 2, 4192, 0, 0, ... 192, {status=0x0, info=2}, ) == 0x0
 04109   896   NtWriteFile  (192, 0, 0, 0,  (192, 0, 0, 0, "Sdwn\0\0\1\0\23\0\0\300\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 528, 0x0, 0, ... {status=0x0, info=528}, ) , 528, 0x0, 0, ... {status=0x0, info=528}, ) == 0x0
 04110   896   NtQueryVirtualMemory  (-1, 0x10000, Basic, 28, ... {BaseAddress=0x10000,AllocationBase=0x10000,AllocationProtect=0x4,RegionSize=0x2000,State=0x1000,Protect=0x4,Type=0x20000,}, 0x0, ) == 0x0
 04111   896   NtQueryInformationJobObject  (0, BasicUIRestrictions, 4, ... ) == STATUS_ACCESS_DENIED
 04100  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 04112  2016   NtUserWaitMessage  (...
 04113   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\c:\e5d4274d2caaef1b878fb5d282a5\xpsp1hfm.exe"}, 454772, ... ) }, 454772, ... ) == 0x0
 04114   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\c:\e5d4274d2caaef1b878fb5d282a5\xpsp1hfm.exe"}, 455508, ... ) }, 455508, ... ) == 0x0
 04115   896   NtOpenFile  (0x1000a1, {24, 0, 0x40, 0, 0,  (0x1000a1, {24, 0, 0x40, 0, 0, "\??\c:\e5d4274d2caaef1b878fb5d282a5\xpsp1hfm.exe"}, 5, 96, ... 196, {status=0x0, info=1}, ) }, 5, 96, ... 196, {status=0x0, info=1}, ) == 0x0
 04116   896   NtCreateSection  (0xf001f, 0x0, 0x0, 16, 16777216, 196, ... 200, ) == 0x0
 04117   896   NtOpenKey  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\Registry\MACHINE\System\CurrentControlSet\Control\Session Manager\AppCertDlls"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04118   896   NtOpenKey  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\Registry\MACHINE\System\CurrentControlSet\Control\Session Manager\AppCompatibility"}, ... 204, ) }, ... 204, ) == 0x0
 04119   896   NtQueryValueKey  (204,  (204, "DisableAppCompat", Partial, 20, ... ) , Partial, 20, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04120   896   NtClose  (204, ... ) == 0x0
 04121   896   NtQueryVolumeInformationFile  (196, 454784, 8, Device, ... {status=0x0, info=8}, ) == 0x0
 04122   896   NtWaitForSingleObject  (112, 0, {-1000000, -1}, ... ) == 0x0
 04123   896   NtReleaseMutant  (112, ... 0x0, ) == 0x0
 04124   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\Apphelp.dll"}, 452716, ... ) }, 452716, ... ) == 0x0
 04125   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\Apphelp.dll"}, 5, 96, ... 204, {status=0x0, info=1}, ) }, 5, 96, ... 204, {status=0x0, info=1}, ) == 0x0
 04126   896   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 204, ... 208, ) == 0x0
 04127   896   NtClose  (204, ... ) == 0x0
 04128   896   NtMapViewOfSection  (208, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x810000), 0x0, 126976, ) == 0x0
 04129   896   NtClose  (208, ... ) == 0x0
 04130   896   NtUnmapViewOfSection  (-1, 0x810000, ... ) == 0x0
 04131   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\Apphelp.dll"}, 453024, ... ) }, 453024, ... ) == 0x0
 04132   896   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\Apphelp.dll"}, 5, 96, ... 208, {status=0x0, info=1}, ) }, 5, 96, ... 208, {status=0x0, info=1}, ) == 0x0
 04133   896   NtCreateSection  (0xf, 0x0, 0x0, 16, 16777216, 208, ... 204, ) == 0x0
 04134   896   NtQuerySection  (204, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 04135   896   NtClose  (208, ... ) == 0x0
 04136   896   NtMapViewOfSection  (204, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77b40000), 0x0, 139264, ) == 0x0
 04137   896   NtClose  (204, ... ) == 0x0
 04138   896   NtProtectVirtualMemory  (-1, (0x77b41000), 524, 4, ... (0x77b41000), 4096, 32, ) == 0x0
 04139   896   NtProtectVirtualMemory  (-1, (0x77b41000), 4096, 32, ... (0x77b41000), 4096, 4, ) == 0x0
 04140   896   NtFlushInstructionCache  (-1, 2008289280, 524, ... ) == 0x0
 04141   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Apphelp.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04142   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 0,  (0x80100080, {24, 0, 0x40, 0, 0, "\SystemRoot\AppPatch\sysmain.sdb"}, 0x0, 128, 1, 1, 96, 0, 0, ... 204, {status=0x0, info=1}, ) }, 0x0, 128, 1, 1, 96, 0, 0, ... 204, {status=0x0, info=1}, ) == 0x0
 04143   896   NtQueryInformationFile  (204, 453040, 24, Standard, ... {status=0x0, info=24}, ) == 0x0
 04144   896   NtCreateSection  (0x4, 0x0, 0x0, 2, 134217728, 204, ... 208, ) == 0x0
 04145   896   NtMapViewOfSection  (208, -1, (0x0), 0, 0, 0x0, 0, 2, 0, 2, ... (0xb60000), 0x0, 1191936, ) == 0x0
 04146   896   NtQueryInformationFile  (204, 453140, 24, Standard, ... {status=0x0, info=24}, ) == 0x0
 04147   896   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 0,  (0x80100080, {24, 0, 0x40, 0, 0, "\SystemRoot\AppPatch\systest.sdb"}, 0x0, 128, 1, 1, 96, 0, 0, ... ) }, 0x0, 128, 1, 1, 96, 0, 0, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04148   896   NtQuerySystemInformation  (Processor, 12, ... {system info, class 1, size 12}, 0x0, ) == 0x0
 04149   896   NtQueryInformationProcess  (-1, Wow64, 4, ... {process info, class 26, size 4}, 0x0, ) == 0x0
 04150   896   NtOpenKey  (0x101, {24, 0, 0x40, 0, 0,  (0x101, {24, 0, 0x40, 0, 0, "\Registry\Machine\System\WPA\TabletPC"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04151   896   NtOpenKey  (0x101, {24, 0, 0x40, 0, 0,  (0x101, {24, 0, 0x40, 0, 0, "\Registry\Machine\SYSTEM\WPA\MediaCenter"}, ... 212, ) }, ... 212, ) == 0x0
 04152   896   NtQueryValueKey  (212,  (212, "Installed", Partial, 256, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 256, ... TitleIdx=0, Type=4, Data= (212, "Installed", Partial, 256, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 04153   896   NtClose  (212, ... ) == 0x0
 04154   896   NtCreateFile  (0x120116, {24, 0, 0x40, 0, 0,  (0x120116, {24, 0, 0x40, 0, 0, "\Device\NamedPipe\ShimViewer"}, 0x0, 128, 0, 1, 0, 0, 0, ... ) }, 0x0, 128, 0, 1, 0, 0, 0, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04155   896   NtOpenFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\c:\e5d4274d2caaef1b878fb5d282a5\"}, 3, 16417, ... 212, {status=0x0, info=1}, ) }, 3, 16417, ... 212, {status=0x0, info=1}, ) == 0x0
 04156   896   NtQueryDirectoryFile  (212, 0, 0, 0, 450736, 616, BothDirectory, 1,  (212, 0, 0, 0, 450736, 616, BothDirectory, 1, "xpsp1hfm.exe", 0, ... {status=0x0, info=118}, ) , 0, ... {status=0x0, info=118}, ) == 0x0
 04157   896   NtClose  (212, ... ) == 0x0
 04158   896   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 04159   896   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 04160   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\c:\e5d4274d2caaef1b878fb5d282a5\xpsp1hfm.exe"}, 451112, ... ) }, 451112, ... ) == 0x0
 04161   896   NtOpenFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\c:\e5d4274d2caaef1b878fb5d282a5\"}, 3, 16417, ... 212, {status=0x0, info=1}, ) }, 3, 16417, ... 212, {status=0x0, info=1}, ) == 0x0
 04162   896   NtQueryDirectoryFile  (212, 0, 0, 0, 450540, 616, BothDirectory, 1,  (212, 0, 0, 0, 450540, 616, BothDirectory, 1, "xpsp1hfm.exe", 0, ... {status=0x0, info=118}, ) , 0, ... {status=0x0, info=118}, ) == 0x0
 04163   896   NtClose  (212, ... ) == 0x0
 04164   896   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 04165   896   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 04166   896   NtQueryInformationProcess  (-1, DeviceMap, 36, ... {process info, class 23, size 36}, 0x0, ) == 0x0
 04167   896   NtOpenKey  (0x80000100, {24, 0, 0x40, 0, 0,  (0x80000100, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04168   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 04169   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 212, ) == 0x0
 04170   896   NtQueryInformationToken  (212, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 04171   896   NtClose  (212, ... ) == 0x0
 04172   896   NtOpenKey  (0x80000100, {24, 0, 0x40, 0, 0,  (0x80000100, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04173   896   NtOpenKey  (0x80000100, {24, 0, 0x40, 0, 0,  (0x80000100, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom\xpsp1hfm.exe"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04174   896   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 04175   896   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 04176   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\c:\e5d4274d2caaef1b878fb5d282a5\xpsp1hfm.exe"}, 452364, ... ) }, 452364, ... ) == 0x0
 04177   896   NtOpenFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\c:\e5d4274d2caaef1b878fb5d282a5\"}, 3, 16417, ... 212, {status=0x0, info=1}, ) }, 3, 16417, ... 212, {status=0x0, info=1}, ) == 0x0
 04178   896   NtQueryDirectoryFile  (212, 0, 0, 0, 451792, 616, BothDirectory, 1,  (212, 0, 0, 0, 451792, 616, BothDirectory, 1, "xpsp1hfm.exe", 0, ... {status=0x0, info=118}, ) , 0, ... {status=0x0, info=118}, ) == 0x0
 04179   896   NtClose  (212, ... ) == 0x0
 04180   896   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 04181   896   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 04182   896   NtWaitForSingleObject  (112, 0, {-1000000, -1}, ... ) == 0x0
 04183   896   NtQueryVolumeInformationFile  (196, 453020, 8, Device, ... {status=0x0, info=8}, ) == 0x0
 04184   896   NtQueryInformationFile  (196, 453000, 40, Basic, ... {status=0x0, info=40}, ) == 0x0
 04185   896   NtQueryInformationFile  (196, 453040, 24, Standard, ... {status=0x0, info=24}, ) == 0x0
 04186   896   NtReleaseMutant  (112, ... 0x0, ) == 0x0
 04187   896   NtUnmapViewOfSection  (-1, 0xb60000, ... ) == 0x0
 04188   896   NtClose  (208, ... ) == 0x0
 04189   896   NtClose  (204, ... ) == 0x0
 04190   896   NtOpenThreadToken  (-2, 0x2000000, 1, ... ) == STATUS_NO_TOKEN
 04191   896   NtOpenProcessToken  (-1, 0xa, ... 204, ) == 0x0
 04192   896   NtQueryInformationToken  (204, User, 136, ... {token info, class 1, size 36}, 36, ) == 0x0
 04193   896   NtOpenKey  (0x3, {24, 0, 0x40, 0, 0,  (0x3, {24, 0, 0x40, 0, 0, "\Registry\MACHINE\System\CurrentControlSet\Control\SafeBoot\Option"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04194   896   NtOpenKey  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers"}, ... 208, ) }, ... 208, ) == 0x0
 04195   896   NtQueryValueKey  (208,  (208, "TransparentEnabled", Partial, 80, ... TitleIdx=0, Type=4, Data="\1\0\0\0"}, 16, ) , Partial, 80, ... TitleIdx=0, Type=4, Data= (208, "TransparentEnabled", Partial, 80, ... TitleIdx=0, Type=4, Data="\1\0\0\0"}, 16, ) }, 16, ) == 0x0
 04196   896   NtQueryValueKey  (208,  (208, "AuthenticodeEnabled", Partial, 80, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 80, ... TitleIdx=0, Type=4, Data= (208, "AuthenticodeEnabled", Partial, 80, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 04197   896   NtClose  (208, ... ) == 0x0
 04198   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\LevelObjects"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04199   896   NtOpenKey  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers"}, ... 208, ) }, ... 208, ) == 0x0
 04200   896   NtQueryValueKey  (208,  (208, "Levels", Partial, 536, ... ) , Partial, 536, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04201   896   NtClose  (208, ... ) == 0x0
 04202   896   NtQueryDefaultLocale  (1, 454212, ... ) == 0x0
 04203   896   NtQueryDefaultLocale  (1, 454212, ... ) == 0x0
 04204   896   NtQueryDefaultLocale  (1, 454212, ... ) == 0x0
 04205   896   NtQueryDefaultLocale  (1, 454212, ... ) == 0x0
 04206   896   NtQueryDefaultLocale  (1, 454212, ... ) == 0x0
 04207   896   NtQueryDefaultLocale  (1, 454212, ... ) == 0x0
 04208   896   NtQueryDefaultLocale  (1, 454212, ... ) == 0x0
 04209   896   NtQueryDefaultLocale  (1, 454212, ... ) == 0x0
 04210   896   NtQueryDefaultLocale  (1, 454212, ... ) == 0x0
 04211   896   NtQueryDefaultLocale  (1, 454212, ... ) == 0x0
 04212   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths"}, ... 208, ) }, ... 208, ) == 0x0
 04213   896   NtEnumerateKey  (208, 0, Basic, 280, ... {LastWrite={0x3a5edea,0x1c74da9}, TitleIdx=0, Name= (208, 0, Basic, 280, ... {LastWrite={0x3a5edea,0x1c74da9}, TitleIdx=0, Name="{dda3f824-d8cb-441b-834d-be2efd2c1a33}"}, 92, ) }, 92, ) == 0x0
 04214   896   NtOpenKey  (0x20019, {24, 208, 0x40, 0, 0,  (0x20019, {24, 208, 0x40, 0, 0, "{dda3f824-d8cb-441b-834d-be2efd2c1a33}"}, ... 212, ) }, ... 212, ) == 0x0
 04215   896   NtQueryValueKey  (212,  (212, "ItemData", Partial, 280, ... TitleIdx=0, Type=2, Data="%\0H\0K\0E\0Y\0_\0C\0U\0R\0R\0E\0N\0T\0_\0U\0S\0E\0R\0\\0S\0o\0f\0t\0w\0a\0r\0e\0\\0M\0i\0c\0r\0o\0s\0o\0f\0t\0\\0W\0i\0n\0d\0o\0w\0s\0\\0C\0u\0r\0r\0e\0n\0t\0V\0e\0r\0s\0i\0o\0n\0\\0E\0x\0p\0l\0o\0r\0e\0r\0\\0S\0h\0e\0l\0l\0 \0F\0o\0l\0d\0e\0r\0s\0\\0C\0a\0c\0h\0e\0%\0O\0L\0K\0*\0\0\0"}, 202, ) , Partial, 280, ... TitleIdx=0, Type=2, Data= (212, "ItemData", Partial, 280, ... TitleIdx=0, Type=2, Data="%\0H\0K\0E\0Y\0_\0C\0U\0R\0R\0E\0N\0T\0_\0U\0S\0E\0R\0\\0S\0o\0f\0t\0w\0a\0r\0e\0\\0M\0i\0c\0r\0o\0s\0o\0f\0t\0\\0W\0i\0n\0d\0o\0w\0s\0\\0C\0u\0r\0r\0e\0n\0t\0V\0e\0r\0s\0i\0o\0n\0\\0E\0x\0p\0l\0o\0r\0e\0r\0\\0S\0h\0e\0l\0l\0 \0F\0o\0l\0d\0e\0r\0s\0\\0C\0a\0c\0h\0e\0%\0O\0L\0K\0*\0\0\0"}, 202, ) }, 202, ) == 0x0
 04216   896   NtQueryValueKey  (212,  (212, "SaferFlags", Partial, 280, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 280, ... TitleIdx=0, Type=4, Data= (212, "SaferFlags", Partial, 280, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 04217   896   NtClose  (212, ... ) == 0x0
 04218   896   NtEnumerateKey  (208, 1, Basic, 280, ... ) == STATUS_NO_MORE_ENTRIES
 04219   896   NtClose  (208, ... ) == 0x0
 04220   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes"}, ... 208, ) }, ... 208, ) == 0x0
 04221   896   NtEnumerateKey  (208, 0, Basic, 280, ... {LastWrite={0x38ab3b74,0x1c74d7e}, TitleIdx=0, Name= (208, 0, Basic, 280, ... {LastWrite={0x38ab3b74,0x1c74d7e}, TitleIdx=0, Name="{349d35ab-37b5-462f-9b89-edd5fbde1328}"}, 92, ) }, 92, ) == 0x0
 04222   896   NtOpenKey  (0x20019, {24, 208, 0x40, 0, 0,  (0x20019, {24, 208, 0x40, 0, 0, "{349d35ab-37b5-462f-9b89-edd5fbde1328}"}, ... 212, ) }, ... 212, ) == 0x0
 04223   896   NtQueryValueKey  (212,  (212, "ItemData", Partial, 280, ... TitleIdx=0, Type=3, Data="^\2530O\225zI\211j\0l\341\25@\25"}, 28, ) , Partial, 280, ... TitleIdx=0, Type=3, Data= (212, "ItemData", Partial, 280, ... TitleIdx=0, Type=3, Data="^\2530O\225zI\211j\0l\341\25@\25"}, 28, ) }, 28, ) == 0x0
 04224   896   NtQueryValueKey  (212,  (212, "HashAlg", Partial, 280, ... TitleIdx=0, Type=4, Data="\3\200\0\0"}, 16, ) , Partial, 280, ... TitleIdx=0, Type=4, Data= (212, "HashAlg", Partial, 280, ... TitleIdx=0, Type=4, Data="\3\200\0\0"}, 16, ) }, 16, ) == 0x0
 04225   896   NtQueryValueKey  (212,  (212, "ItemSize", Partial, 280, ... TitleIdx=0, Type=11, Data="\13\3\0\0\0\0\0\0"}, 20, ) , Partial, 280, ... TitleIdx=0, Type=11, Data= (212, "ItemSize", Partial, 280, ... TitleIdx=0, Type=11, Data="\13\3\0\0\0\0\0\0"}, 20, ) }, 20, ) == 0x0
 04226   896   NtQueryValueKey  (212,  (212, "SaferFlags", Partial, 280, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 280, ... TitleIdx=0, Type=4, Data= (212, "SaferFlags", Partial, 280, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 04227   896   NtClose  (212, ... ) == 0x0
 04228   896   NtEnumerateKey  (208, 1, Basic, 280, ... {LastWrite={0x38ab3b74,0x1c74d7e}, TitleIdx=0, Name= (208, 1, Basic, 280, ... {LastWrite={0x38ab3b74,0x1c74d7e}, TitleIdx=0, Name="{7fb9cd2e-3076-4df9-a57b-b813f72dbb91}"}, 92, ) }, 92, ) == 0x0
 04229   896   NtOpenKey  (0x20019, {24, 208, 0x40, 0, 0,  (0x20019, {24, 208, 0x40, 0, 0, "{7fb9cd2e-3076-4df9-a57b-b813f72dbb91}"}, ... 212, ) }, ... 212, ) == 0x0
 04230   896   NtQueryValueKey  (212,  (212, "ItemData", Partial, 280, ... TitleIdx=0, Type=3, Data="g\260\324\2134:?\323\274\351\334dg\4\363\224"}, 28, ) , Partial, 280, ... TitleIdx=0, Type=3, Data= (212, "ItemData", Partial, 280, ... TitleIdx=0, Type=3, Data="g\260\324\2134:?\323\274\351\334dg\4\363\224"}, 28, ) }, 28, ) == 0x0
 04231   896   NtQueryValueKey  (212,  (212, "HashAlg", Partial, 280, ... TitleIdx=0, Type=4, Data="\3\200\0\0"}, 16, ) , Partial, 280, ... TitleIdx=0, Type=4, Data= (212, "HashAlg", Partial, 280, ... TitleIdx=0, Type=4, Data="\3\200\0\0"}, 16, ) }, 16, ) == 0x0
 04232   896   NtQueryValueKey  (212,  (212, "ItemSize", Partial, 280, ... TitleIdx=0, Type=11, Data="\5\2\0\0\0\0\0\0"}, 20, ) , Partial, 280, ... TitleIdx=0, Type=11, Data= (212, "ItemSize", Partial, 280, ... TitleIdx=0, Type=11, Data="\5\2\0\0\0\0\0\0"}, 20, ) }, 20, ) == 0x0
 04233   896   NtQueryValueKey  (212,  (212, "SaferFlags", Partial, 280, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 280, ... TitleIdx=0, Type=4, Data= (212, "SaferFlags", Partial, 280, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 04234   896   NtClose  (212, ... ) == 0x0
 04235   896   NtEnumerateKey  (208, 2, Basic, 280, ... {LastWrite={0x38ab3b74,0x1c74d7e}, TitleIdx=0, Name= (208, 2, Basic, 280, ... {LastWrite={0x38ab3b74,0x1c74d7e}, TitleIdx=0, Name="{81d1fe15-dd9d-4762-b16d-7c29ddecae3f}"}, 92, ) }, 92, ) == 0x0
 04236   896   NtOpenKey  (0x20019, {24, 208, 0x40, 0, 0,  (0x20019, {24, 208, 0x40, 0, 0, "{81d1fe15-dd9d-4762-b16d-7c29ddecae3f}"}, ... 212, ) }, ... 212, ) == 0x0
 04237   896   NtQueryValueKey  (212,  (212, "ItemData", Partial, 280, ... TitleIdx=0, Type=3, Data="2x\2\334\376\370\310\223\334\212\260\6\335\204}\35"}, 28, ) , Partial, 280, ... TitleIdx=0, Type=3, Data= (212, "ItemData", Partial, 280, ... TitleIdx=0, Type=3, Data="2x\2\334\376\370\310\223\334\212\260\6\335\204}\35"}, 28, ) }, 28, ) == 0x0
 04238   896   NtQueryValueKey  (212,  (212, "HashAlg", Partial, 280, ... TitleIdx=0, Type=4, Data="\3\200\0\0"}, 16, ) , Partial, 280, ... TitleIdx=0, Type=4, Data= (212, "HashAlg", Partial, 280, ... TitleIdx=0, Type=4, Data="\3\200\0\0"}, 16, ) }, 16, ) == 0x0
 04239   896   NtQueryValueKey  (212,  (212, "ItemSize", Partial, 280, ... TitleIdx=0, Type=11, Data="\226\3\0\0\0\0\0\0"}, 20, ) , Partial, 280, ... TitleIdx=0, Type=11, Data= (212, "ItemSize", Partial, 280, ... TitleIdx=0, Type=11, Data="\226\3\0\0\0\0\0\0"}, 20, ) }, 20, ) == 0x0
 04240   896   NtQueryValueKey  (212,  (212, "SaferFlags", Partial, 280, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 280, ... TitleIdx=0, Type=4, Data= (212, "SaferFlags", Partial, 280, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 04241   896   NtClose  (212, ... ) == 0x0
 04242   896   NtEnumerateKey  (208, 3, Basic, 280, ... {LastWrite={0x38ab3b74,0x1c74d7e}, TitleIdx=0, Name= (208, 3, Basic, 280, ... {LastWrite={0x38ab3b74,0x1c74d7e}, TitleIdx=0, Name="{94e3e076-8f53-42a5-8411-085bcc18a68d}"}, 92, ) }, 92, ) == 0x0
 04243   896   NtOpenKey  (0x20019, {24, 208, 0x40, 0, 0,  (0x20019, {24, 208, 0x40, 0, 0, "{94e3e076-8f53-42a5-8411-085bcc18a68d}"}, ... 212, ) }, ... 212, ) == 0x0
 04244   896   NtQueryValueKey  (212,  (212, "ItemData", Partial, 280, ... TitleIdx=0, Type=3, Data="\275\232*\333B\353\330V\16%\16M\370\26/g"}, 28, ) , Partial, 280, ... TitleIdx=0, Type=3, Data= (212, "ItemData", Partial, 280, ... TitleIdx=0, Type=3, Data="\275\232*\333B\353\330V\16%\16M\370\26/g"}, 28, ) }, 28, ) == 0x0
 04245   896   NtQueryValueKey  (212,  (212, "HashAlg", Partial, 280, ... TitleIdx=0, Type=4, Data="\3\200\0\0"}, 16, ) , Partial, 280, ... TitleIdx=0, Type=4, Data= (212, "HashAlg", Partial, 280, ... TitleIdx=0, Type=4, Data="\3\200\0\0"}, 16, ) }, 16, ) == 0x0
 04246   896   NtQueryValueKey  (212,  (212, "ItemSize", Partial, 280, ... TitleIdx=0, Type=11, Data="\345\0\0\0\0\0\0\0"}, 20, ) , Partial, 280, ... TitleIdx=0, Type=11, Data= (212, "ItemSize", Partial, 280, ... TitleIdx=0, Type=11, Data="\345\0\0\0\0\0\0\0"}, 20, ) }, 20, ) == 0x0
 04247   896   NtQueryValueKey  (212,  (212, "SaferFlags", Partial, 280, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 280, ... TitleIdx=0, Type=4, Data= (212, "SaferFlags", Partial, 280, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 04248   896   NtClose  (212, ... ) == 0x0
 04249   896   NtEnumerateKey  (208, 4, Basic, 280, ... {LastWrite={0x38ab3b74,0x1c74d7e}, TitleIdx=0, Name= (208, 4, Basic, 280, ... {LastWrite={0x38ab3b74,0x1c74d7e}, TitleIdx=0, Name="{dc971ee5-44eb-4fe4-ae2e-b91490411bfc}"}, 92, ) }, 92, ) == 0x0
 04250   896   NtOpenKey  (0x20019, {24, 208, 0x40, 0, 0,  (0x20019, {24, 208, 0x40, 0, 0, "{dc971ee5-44eb-4fe4-ae2e-b91490411bfc}"}, ... 212, ) }, ... 212, ) == 0x0
 04251   896   NtQueryValueKey  (212,  (212, "ItemData", Partial, 280, ... TitleIdx=0, Type=3, Data="8k\10_\204\354\366i\323k\225j"\300\36\200"}, 28, ) , Partial, 280, ... TitleIdx=0, Type=3, Data= (212, "ItemData", Partial, 280, ... TitleIdx=0, Type=3, Data="8k\10_\204\354\366i\323k\225j"\300\36\200"}, 28, ) \300\36\200"}, 28, ) == 0x0
 04252   896   NtQueryValueKey  (212,  (212, "HashAlg", Partial, 280, ... TitleIdx=0, Type=4, Data="\3\200\0\0"}, 16, ) , Partial, 280, ... TitleIdx=0, Type=4, Data= (212, "HashAlg", Partial, 280, ... TitleIdx=0, Type=4, Data="\3\200\0\0"}, 16, ) }, 16, ) == 0x0
 04253   896   NtQueryValueKey  (212,  (212, "ItemSize", Partial, 280, ... TitleIdx=0, Type=11, Data="r\1\0\0\0\0\0\0"}, 20, ) , Partial, 280, ... TitleIdx=0, Type=11, Data= (212, "ItemSize", Partial, 280, ... TitleIdx=0, Type=11, Data="r\1\0\0\0\0\0\0"}, 20, ) }, 20, ) == 0x0
 04254   896   NtQueryValueKey  (212,  (212, "SaferFlags", Partial, 280, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 280, ... TitleIdx=0, Type=4, Data= (212, "SaferFlags", Partial, 280, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 04255   896   NtClose  (212, ... ) == 0x0
 04256   896   NtEnumerateKey  (208, 5, Basic, 280, ... ) == STATUS_NO_MORE_ENTRIES
 04257   896   NtClose  (208, ... ) == 0x0
 04258   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\UrlZones"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04259   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\4096\Paths"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04260   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\4096\Hashes"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04261   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\4096\UrlZones"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04262   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\65536\Paths"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04263   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\65536\Hashes"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04264   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\65536\UrlZones"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04265   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Paths"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04266   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Hashes"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04267   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\UrlZones"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04268   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Paths"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04269   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Hashes"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04270   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\UrlZones"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04271   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 04272   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 04273   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 04274   896   NtClose  (208, ... ) == 0x0
 04275   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04276   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 04277   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 04278   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 04279   896   NtClose  (208, ... ) == 0x0
 04280   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04281   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 04282   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 04283   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 04284   896   NtClose  (208, ... ) == 0x0
 04285   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\UrlZones"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04286   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 04287   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 04288   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 04289   896   NtClose  (208, ... ) == 0x0
 04290   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\4096\Paths"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04291   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 04292   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 04293   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 04294   896   NtClose  (208, ... ) == 0x0
 04295   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\4096\Hashes"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04296   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 04297   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 04298   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 04299   896   NtClose  (208, ... ) == 0x0
 04300   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\4096\UrlZones"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04301   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 04302   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 04303   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 04304   896   NtClose  (208, ... ) == 0x0
 04305   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\65536\Paths"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04306   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 04307   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 04308   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 04309   896   NtClose  (208, ... ) == 0x0
 04310   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\65536\Hashes"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04311   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 04312   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 04313   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 04314   896   NtClose  (208, ... ) == 0x0
 04315   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\65536\UrlZones"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04316   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 04317   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 04318   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 04319   896   NtClose  (208, ... ) == 0x0
 04320   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Paths"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04321   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 04322   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 04323   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 04324   896   NtClose  (208, ... ) == 0x0
 04325   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\Hashes"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04326   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 04327   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 04328   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 04329   896   NtClose  (208, ... ) == 0x0
 04330   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\131072\UrlZones"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04331   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 04332   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 04333   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 04334   896   NtClose  (208, ... ) == 0x0
 04335   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Paths"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04336   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 04337   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 04338   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 04339   896   NtClose  (208, ... ) == 0x0
 04340   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Hashes"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04341   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 04342   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 04343   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 04344   896   NtClose  (208, ... ) == 0x0
 04345   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\UrlZones"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04346   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers"}, ... 208, ) }, ... 208, ) == 0x0
 04347   896   NtQueryValueKey  (208,  (208, "DefaultLevel", Full, 524, ... TitleIdx=0, Type=4, Name="DefaultLevel", Data="\0\0\4\0"}, 48, ) , Full, 524, ... TitleIdx=0, Type=4, Name= (208, "DefaultLevel", Full, 524, ... TitleIdx=0, Type=4, Name="DefaultLevel", Data="\0\0\4\0"}, 48, ) , Data= (208, "DefaultLevel", Full, 524, ... TitleIdx=0, Type=4, Name="DefaultLevel", Data="\0\0\4\0"}, 48, ) }, 48, ) == 0x0
 04348   896   NtClose  (208, ... ) == 0x0
 04349   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 04350   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 208, ) == 0x0
 04351   896   NtQueryInformationToken  (208, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 04352   896   NtClose  (208, ... ) == 0x0
 04353   896   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04354   896   NtOpenThreadToken  (-2, 0x8, 0, ... ) == STATUS_NO_TOKEN
 04355   896   NtOpenProcessToken  (-1, 0xa, ... 208, ) == 0x0
 04356   896   NtDuplicateToken  (208, 0xc, {24, 0, 0x0, 0, 454644, 0x0}, 0, 2, ... 212, ) == 0x0
 04357   896   NtClose  (208, ... ) == 0x0
 04358   896   NtAccessCheck  (627176, 212, 0x1, 454720, 454772, 56, 454752, ... (0x1), ) == 0x0
 04359   896   NtClose  (212, ... ) == 0x0
 04360   896   NtOpenKey  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers"}, ... 212, ) }, ... 212, ) == 0x0
 04361   896   NtQueryValueKey  (212,  (212, "PolicyScope", Partial, 80, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 80, ... TitleIdx=0, Type=4, Data= (212, "PolicyScope", Partial, 80, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 04362   896   NtClose  (212, ... ) == 0x0
 04363   896   NtOpenSymbolicLinkObject  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\??\C:"}, ... 212, ) }, ... 212, ) == 0x0
 04364   896   NtQuerySymbolicLinkObject  (212, ...  (212, ... "\Device\HarddiskVolume1", 48, ) , 48, ) == 0x0
 04365   896   NtClose  (212, ... ) == 0x0
 04366   896   NtQueryVolumeInformationFile  (196, 452476, 8, Device, ... {status=0x0, info=8}, ) == 0x0
 04367   896   NtQueryInformationFile  (196, 452592, 528, Name, ... {status=0x0, info=88}, ) == 0x0
 04368   896   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 04369   896   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 04370   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\e5d4274d2caaef1b878fb5d282a5\xpsp1hfm.exe"}, 451764, ... ) }, 451764, ... ) == 0x0
 04371   896   NtOpenFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\C:\e5d4274d2caaef1b878fb5d282a5\"}, 3, 16417, ... 212, {status=0x0, info=1}, ) }, 3, 16417, ... 212, {status=0x0, info=1}, ) == 0x0
 04372   896   NtQueryDirectoryFile  (212, 0, 0, 0, 451192, 616, BothDirectory, 1,  (212, 0, 0, 0, 451192, 616, BothDirectory, 1, "xpsp1hfm.exe", 0, ... {status=0x0, info=118}, ) , 0, ... {status=0x0, info=118}, ) == 0x0
 04373   896   NtClose  (212, ... ) == 0x0
 04374   896   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 04375   896   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 04376   896   NtQueryInformationFile  (196, 454632, 24, Standard, ... {status=0x0, info=24}, ) == 0x0
 04377   896   NtCreateSection  (0xf0005, 0x0, {24576, 0}, 2, 134217728, 196, ... 212, ) == 0x0
 04378   896   NtMapViewOfSection  (212, -1, (0x0), 0, 0, {0, 0}, 24576, 1, 0, 2, ... (0x810000), {0, 0}, 24576, ) == 0x0
 04379   896   NtClose  (212, ... ) == 0x0
 04380   896   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 04381   896   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 212, ) == 0x0
 04382   896   NtQueryInformationToken  (212, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 04383   896   NtClose  (212, ... ) == 0x0
 04384   896   NtOpenKey  (0x20019, {24, 0, 0x640, 0, 0,  (0x20019, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... 212, ) }, ... 212, ) == 0x0
 04385   896   NtOpenKey  (0x20019, {24, 212, 0x40, 0, 0,  (0x20019, {24, 212, 0x40, 0, 0, "Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders"}, ... 208, ) }, ... 208, ) == 0x0
 04386   896   NtClose  (212, ... ) == 0x0
 04387   896   NtQueryValueKey  (208,  (208, "Cache", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_BUFFER_OVERFLOW
 04388   896   NtQueryValueKey  (208,  (208, "Cache", Partial, 174, ... TitleIdx=0, Type=1, Data="C\0:\0\\0D\0o\0c\0u\0m\0e\0n\0t\0s\0 \0a\0n\0d\0 \0S\0e\0t\0t\0i\0n\0g\0s\0\\0M\0a\0r\0t\0i\0m\0 \0C\0a\0r\0b\0o\0n\0e\0\\0L\0o\0c\0a\0l\0 \0S\0e\0t\0t\0i\0n\0g\0s\0\\0T\0e\0m\0p\0o\0r\0a\0r\0y\0 \0I\0n\0t\0e\0r\0n\0e\0t\0 \0F\0i\0l\0e\0s\0\0\0"}, 174, ) , Partial, 174, ... TitleIdx=0, Type=1, Data= (208, "Cache", Partial, 174, ... TitleIdx=0, Type=1, Data="C\0:\0\\0D\0o\0c\0u\0m\0e\0n\0t\0s\0 \0a\0n\0d\0 \0S\0e\0t\0t\0i\0n\0g\0s\0\\0M\0a\0r\0t\0i\0m\0 \0C\0a\0r\0b\0o\0n\0e\0\\0L\0o\0c\0a\0l\0 \0S\0e\0t\0t\0i\0n\0g\0s\0\\0T\0e\0m\0p\0o\0r\0a\0r\0y\0 \0I\0n\0t\0e\0r\0n\0e\0t\0 \0F\0i\0l\0e\0s\0\0\0"}, 174, ) }, 174, ) == 0x0
 04389   896   NtClose  (208, ... ) == 0x0
 04390   896   NtUnmapViewOfSection  (-1, 0x810000, ... ) == 0x0
 04391   896   NtAllocateVirtualMemory  (-1, 0, 0, 4096, 8192, 4, ... 8454144, 4096, ) == 0x0
 04392   896   NtAllocateVirtualMemory  (-1, 8454144, 0, 4096, 4096, 4, ... 8454144, 4096, ) == 0x0
 04393   896   NtOpenKey  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers"}, ... 208, ) }, ... 208, ) == 0x0
 04394   896   NtQueryValueKey  (208,  (208, "LogFileName", Partial, 536, ... ) , Partial, 536, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04395   896   NtClose  (208, ... ) == 0x0
 04396   896   NtOpenKey  (0x3, {24, 0, 0x40, 0, 0,  (0x3, {24, 0, 0x40, 0, 0, "\Registry\MACHINE\System\CurrentControlSet\Control\SafeBoot\Option"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04397   896   NtQueryInformationToken  (204, User, 128, ... {token info, class 1, size 36}, 36, ) == 0x0
 04398   896   NtQueryInformationToken  (204, 15, 4, ... {token info, class 15, size 4}, 4, ) == 0x0
 04399   896   NtClose  (204, ... ) == 0x0
 04400   896   NtQuerySection  (200, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 04401   896   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xpsp1hfm.exe"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04402   896   NtQuerySystemInformation  (71, 4, ... {system info, class 71, size 4}, 0x0, ) == 0x0
 04403   896   NtCreateProcessEx  (456556, 2035711, 0, -1, 0, 200, 0, 0, 0, ... ) == 0x0
 04404   896   NtSetInformationProcess  (204, PriorityClass, {process info, class 18, size 2}, 512, ... ) == 0x0
 04405   896   NtQueryInformationProcess  (204, Basic, 24, ... {ExitStatus=0x103,PebBaseAddress=0x7ffde000,AffinityMask=0x1,BasePriority=8,Pid=420,ParentPid=1252,}, 0x0, ) == 0x0
 04406   896   NtReadVirtualMemory  (204, 0x7ffde008, 4, ...  (204, 0x7ffde008, 4, ... "\0\0\0\1", 0x0, ) , 0x0, ) == 0x0
 04407   896   NtOpenFile  (0x1200a9, {24, 0, 0x40, 0, 0,  (0x1200a9, {24, 0, 0x40, 0, 0, "\??\c:\e5d4274d2caaef1b878fb5d282a5\xpsp1hfm.exe.Manifest"}, 1, 96, ... ) }, 1, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 04408   896   NtReadVirtualMemory  (204, 0x1000000, 4096, ...  (204, 0x1000000, 4096, ... "MZ\220\0\3\0\0\0\4\0\0\0\377\377\0\0\270\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\340\0\0\0\16\37\272\16\0\264\11\315!\270\1L\315!This program cannot be run in DOS mode.\15\15\12$\0\0\0\0\0\0\0\367*W\370\263K9\253\263K9\253\263K9\253Ihy\253\262K9\253\263K8\253\355K9\253Ih \253\274K9\253$h|\253\262K9\253ih%\253\241K9\253Ih\4\253\262K9\253Rich\263K9\253\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0PE\0\0L\1\3\0\30.\274>\0\0\0\0\0\0\0\0\340\0\17\1\13\1\7\0\0J\0\0\0\32\0\0\0\0\0\0\210N\0\0\0\20\0\0\0`\0\0\0\0\0\1\0\20\0\0\0\2\0\0\5\0\1\0\5\0\1\0\4\0\0\0\0\0\0\0\0\200\0\0\0\4\0\0\316]\1\0\2\0\0\200\0\0\4\0\0\20\0\0\0\0\20\0\0\20\0\0\0\0\0\0\20\0\0\0\0\0\0\0\0\0\0\0\310P\0\0\240\0\0\0\0p\0\0\10\16\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\240\21\0\0\34\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\0\214\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0.text\0\0\0bI\0\0\0\20\0\0\0J\0\0\0\4\0\0\0\0\0\0", 4096, ) , 4096, ) == 0x0
 04409   896   NtReadVirtualMemory  (204, 0x1007000, 256, ...  (204, 0x1007000, 256, ... "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\3\0\3\0\0\0(\0\0\200\16\0\0\0X\0\0\200\20\0\0\0x\0\0\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\4\0\1\0\0\0\220\0\0\200\2\0\0\0\250\0\0\200\3\0\0\0\300\0\0\200\4\0\0\0\330\0\0\200\0\0\0\0\0\0\0\0\0\0\0\0\2\0\0\0\274\1\0\200\360\0\0\200\250\1\0\200\10\1\0\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\1\0\0\0 \1\0\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\08\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\0H\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\0X\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\0h\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0", 256, ) , 256, ) == 0x0
 04410   896   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 04411   896   NtQueryInformationProcess  (204, Basic, 24, ... {ExitStatus=0x103,PebBaseAddress=0x7ffde000,AffinityMask=0x1,BasePriority=8,Pid=420,ParentPid=1252,}, 0x0, ) == 0x0
 04412   896   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\c:\e5d4274d2caaef1b878fb5d282a5"}, 455508, ... ) }, 455508, ... ) == 0x0
 04413   896   NtAllocateVirtualMemory  (-1, 0, 0, 2528, 4096, 4, ... 8519680, 4096, ) == 0x0
 04414   896   NtAllocateVirtualMemory  (204, 0, 0, 6574, 4096, 4, ... 65536, 8192, ) == 0x0
 04415   896   NtWriteVirtualMemory  (204, 0x10000,  (204, 0x10000, "=\0A\0:\0=\0A\0:\0\\0\0\0=\0C\0:\0=\0C\0:\0\\0s\0c\0r\0i\0p\0t\0s\0\0\0=\0U\0:\0=\0U\0:\0\\0\0\0A\0L\0L\0U\0S\0E\0R\0S\0P\0R\0O\0F\0I\0L\0E\0=\0C\0:\0\\0D\0o\0c\0u\0m\0e\0n\0t\0s\0 \0a\0n\0d\0 \0S\0e\0t\0t\0i\0n\0g\0s\0\\0A\0l\0l\0 \0U\0s\0e\0r\0s\0\0\0A\0P\0P\0D\0A\0T\0A\0=\0C\0:\0\\0D\0o\0c\0u\0m\0e\0n\0t\0s\0 \0a\0n\0d\0 \0S\0e\0t\0t\0i\0n\0g\0s\0\\0M\0a\0r\0t\0i\0m\0 \0C\0a\0r\0b\0o\0n\0e\0\\0A\0p\0p\0l\0i\0c\0a\0t\0i\0o\0n\0 \0D\0a\0t\0a\0\0\0A\0T\0L\0_\0I\0N\0C\0_\0P\0A\0T\0H\0=\0C\0:\0\\0W\0I\0N\0D\0D\0K\0\\03\07\09\00\0~\01\0.\01\08\03\0\\0i\0n\0c\0\0\0A\0T\0L\0_\0I\0N\0C\0_\0R\0O\0O\0T\0=\0C\0:\0\\0W\0I\0N\0D\0D\0K\0\\03\07\09\00\0~\01\0.\01\08\03\0\\0i\0n\0c\0\0\0A\0T\0L\0_\0L\0I\0B\0_\0P\0A\0T\0H\0=\0C\0:\0\\0W\0I\0N\0D\0D\0K\0\\03\07\0", 6574, ... 0x0, ) , 6574, ... 0x0, ) == 0x0
 04416   896   NtAllocateVirtualMemory  (204, 0, 0, 2528, 4096, 4, ... 131072, 4096, ) == 0x0
 04417   896   NtWriteVirtualMemory  (204, 0x20000,  (204, 0x20000, "\0\20\0\0\340\11\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\3\0\0\0\0\0\0\0\13\0\0\0>\0\10\2\220\2\0\0\0\0\0\0\14\4\16\4\230\4\0\0X\0Z\0\250\10\0\0X\0Z\0\4\11\0\0\0\0\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\1\0\0\0X\0Z\0`\11\0\0\36\0 \0\274\11\0\0\0\0\2\0\334\11\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 2528, ... 0x0, ) , 2528, ... 0x0, ) == 0x0
 04418   896   NtWriteVirtualMemory  (204, 0x7ffde010,  (204, 0x7ffde010, "\0\0\2\0", 4, ... 0x0, ) , 4, ... 0x0, ) == 0x0
 04419   896   NtWriteVirtualMemory  (204, 0x7ffde1e8,  (204, 0x7ffde1e8, "\0\0\0\0", 4, ... 0x0, ) , 4, ... 0x0, ) == 0x0
 04420   896   NtFreeVirtualMemory  (-1, (0x820000), 0, 32768, ... (0x820000), 4096, ) == 0x0
 04421   896   NtAllocateVirtualMemory  (204, 0, 0, 262144, 8192, 4, ... 196608, 262144, ) == 0x0
 04422   896   NtAllocateVirtualMemory  (204, 450560, 0, 8192, 4096, 4, ... 450560, 8192, ) == 0x0
 04423   896   NtProtectVirtualMemory  (204, (0x6e000), 4096, 260, ... (0x6e000), 4096, 4, ) == 0x0
 04424   896   NtCreateThread  (0x1f03ff, 0x0, 204, 456564, 456228, 1, ... 208, {420, 2044}, ) == 0x0
 04425   896   NtRequestWaitReplyPort  (24, {168, 196, new_msg, 0, 2090329280, 2089894127, 2089894075, 0}  (24, {168, 196, new_msg, 0, 2090329280, 2089894127, 2089894075, 0} "\0\0\0\0\0\0\1\0\2\0\0\09\0\0\0\317\0\0\0\320\0\0\0\244\1\0\0\374\7\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\200\0\0\0\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\340\375\177\0\0\0\0\0\0p\02\0\\0" ... {168, 196, reply, 0, 1252, 896, 81851, 0} "\0\0\0\0\0\0\1\0\0\0\0\09\0\0\0\314\0\0\0\320\0\0\0\244\1\0\0\374\7\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\200\0\0\0\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\340\375\177\0\0\0\0\0\0p\02\0\\0" )  ... {168, 196, reply, 0, 1252, 896, 81851, 0}  (24, {168, 196, new_msg, 0, 2090329280, 2089894127, 2089894075, 0} "\0\0\0\0\0\0\1\0\2\0\0\09\0\0\0\317\0\0\0\320\0\0\0\244\1\0\0\374\7\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\200\0\0\0\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\340\375\177\0\0\0\0\0\0p\02\0\\0" ... {168, 196, reply, 0, 1252, 896, 81851, 0} "\0\0\0\0\0\0\1\0\0\0\0\09\0\0\0\314\0\0\0\320\0\0\0\244\1\0\0\374\7\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\200\0\0\0\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\340\375\177\0\0\0\0\0\0p\02\0\\0" )  ) == 0x0
 04426   896   NtResumeThread  (208, ... 1, ) == 0x0
 04427   896   NtClose  (196, ... ) == 0x0
 04428   896   NtClose  (200, ... ) == 0x0
 04429   896   NtUserShowWindow  (590128, 0, ...
 04112  2016   NtUserWaitMessage  ... ) == 0x1
 04430  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 04431  2016   NtUserGetThreadState  (0, ... ) == 0xc0144
 04432  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 04430  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 04433  2016   NtUserWaitMessage  (... ) == 0x1
 04434  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 04435  2016   NtUserWaitMessage  (... ) == 0x1
 04436  2016   NtUserPeekMessage  (0, 0, 0, 1, ...
 04437  2016   NtUserInternalGetWindowText  (0x90130, 260, ...  (0x90130, 260, ... "Extracting Files", ) , ) == 0x10
 04438  2016   NtUserGetWindowDC  (590128, ... ) == 0x1010050
 04439  2016   NtGdiGetRandomRgn  (16842832, -855374215, 1, ... ) == 0x0
 04440  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 0, 0, ... ) == 0x3
 04441  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 04442  2016   NtGdiExtSelectClipRgn  (16842832, 0, 5, ... ) == 0x1
 04443  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 04444  2016   NtUserCalcMenuBar  (590128, 3, 3, 29, 2501400, ... ) == 0x0
 04445  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 8386792, 690, 0, ...
 04446  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 0, 670, 1, ... ) == 0x0
 04445  2016   NtUserMessageCall  ... ) == 0x0
 04447  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 8386792, 690, 0, ...
 04448  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 0, 670, 1, ... ) == 0x0
 04447  2016   NtUserMessageCall  ... ) == 0x0
 04449  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 8386792, 690, 0, ...
 04450  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 04449  2016   NtUserMessageCall  ... ) == 0x0
 04451  2016   NtUserGetTitleBarInfo  (590128, 8387424, ... ) == 0x1
 04452  2016   NtUserBuildHwndList  (0, 590128, 1, 0, 64, ... (0xc0144, 0xa0132, 0xa0142, 0xb0116, 0x100100, 0x1, ), 6, ) == 0x0
 04453  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 04454  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 04455  2016   NtUserValidateHandleSecure  (786756, ... ) == 0x1
 04456  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 04457  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 04458  2016   NtUserValidateHandleSecure  (655666, ... ) == 0x1
 04459  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 04460  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 04461  2016   NtUserValidateHandleSecure  (655682, ... ) == 0x1
 04462  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 04463  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 04464  2016   NtUserValidateHandleSecure  (721174, ... ) == 0x1
 04465  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 04466  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 04467  2016   NtUserValidateHandleSecure  (1048832, ... ) == 0x1
 04429   896   NtUserShowWindow  ... ) == 0x10
 04468   896   NtWaitForSingleObject  (204, 0, 0x0, ...
 04436  2016   NtUserPeekMessage  ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13114e4, {0, 0}}, ) == 0x0
 04469  2016   NtUserWaitMessage  (... ) == 0x1
 04470  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13116f7, {0, 0}}, ) == 0x1
 04471  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04472  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 04473  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04474  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04475  2016   NtUserDispatchMessage  ({0x90130, 0x118, 0xfff8, 0xbf807d10, 0x13116f7, {0, 0}}, ... ) == 0x0
 04476  2016   NtUserWaitMessage  (... ) == 0x1
 04477  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x131190a, {0, 0}}, ) == 0x1
 04478  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04479  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 04480  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04481  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04482  2016   NtUserDispatchMessage  ({0x90130, 0x118, 0xfff8, 0xbf807d10, 0x131190a, {0, 0}}, ... ) == 0x0
 04483  2016   NtUserWaitMessage  (... ) == 0x1
 04484  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x1311b1d, {0, 0}}, ) == 0x1
 04485  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04486  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 04487  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04488  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04489  2016   NtUserDispatchMessage  ({0x90130, 0x118, 0xfff8, 0xbf807d10, 0x1311b1d, {0, 0}}, ... ) == 0x0
 04490  2016   NtUserWaitMessage  (... ) == 0x1
 04491  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x1311d31, {0, 0}}, ) == 0x1
 04492  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04493  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 04494  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04495  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04496  2016   NtUserDispatchMessage  ({0x90130, 0x118, 0xfff8, 0xbf807d10, 0x1311d31, {0, 0}}, ... ) == 0x0
 04497  2016   NtUserWaitMessage  (... ) == 0x1
 04498  2016   NtUserPeekMessage  (0, 0, 0, 1, ... {0x90130, 0x118, 0xfff8, 0xbf807d10, 0x1311f44, {0, 0}}, ) == 0x1
 04499  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04500  2016   NtUserCallMsgFilter  (8388268, 0, ... ) == 0x0
 04501  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04502  2016   NtUserValidateHandleSecure  (590128, ... ) == 0x1
 04503  2016   NtUserDispatchMessage  ({0x90130, 0x118, 0xfff8, 0xbf807d10, 0x1311f44, {0, 0}}, ...
 04504  2016   NtUserMessageCall  (0x90130, WM_NCACTIVATE, 0x0, 0xffffffff, 0, 670, 1, ... ) == 0x1
 04505  2016   NtUserInternalGetWindowText  (0x90130, 260, ...  (0x90130, 260, ... "Extracting Files", ) , ) == 0x10
 04506  2016   NtUserGetWindowDC  (590128, ... ) == 0x1010050
 04507  2016   NtGdiGetRandomRgn  (16842832, -838596999, 1, ... ) == 0x0
 04508  2016   NtGdiIntersectClipRect  (16842832, 0, 0, 0, 0, ... ) == 0x3
 04509  2016   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 04510  2016   NtGdiExtSelectClipRgn  (16842832, 0, 5, ... ) == 0x1
 04511  2016   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 04512  2016   NtUserCalcMenuBar  (590128, 3, 3, 29, 2501400, ... ) == 0x0
 04513  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 8386476, 690, 0, ...
 04514  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x2, 0x0, 0, 670, 1, ... ) == 0x0
 04513  2016   NtUserMessageCall  ... ) == 0x0
 04515  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 8386476, 690, 0, ...
 04516  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x0, 0x0, 0, 670, 1, ... ) == 0x0
 04515  2016   NtUserMessageCall  ... ) == 0x0
 04517  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 8386476, 690, 0, ...
 04518  2016   NtUserMessageCall  (0x90130, WM_GETICON, 0x1, 0x0, 0, 670, 1, ... ) == 0x0
 04517  2016   NtUserMessageCall  ... ) == 0x0
 04519  2016   NtUserGetTitleBarInfo  (590128, 8387108, ... ) == 0x1
 04520  2016   NtUserGetDCEx  (590128, 0, 66561, ... ) == 0x1010053
 04521  2016   NtGdiExcludeClipRect  (16842835, 3, 29, 333, 127, ... ) == 0x3
 04522  2016   NtGdiDrawStream  (16842835, 96, 8386592, ... ) == 0x1
 04523  2016   NtGdiDrawStream  (16842835, 96, 8386592, ... ) == 0x1
 04524  2016   NtGdiDrawStream  (16842835, 96, 8386592, ... ) == 0x1
 04525  2016   NtGdiCreateCompatibleBitmap  (16842835, 336, 29, ... ) == 0x2e0507bd
 04526  2016   NtGdiCreateCompatibleDC  (16842835, ... ) == 0xe301069a
 04527  2016   NtGdiSelectBitmap  (-486472038, 772081597, ... ) == 0x185000f
 04528  2016   NtGdiDrawStream  (-486472038, 96, 8386484, ... ) == 0x1
 04529  2016   NtGdiDrawStream  (-486472038, 96, 8386440, ... ) == 0x1
 04530  2016   NtGdiDrawStream  (-486472038, 96, 8386440, ... ) == 0x1
 04531  2016   NtUserInternalGetWindowText  (0x90130, 260, ...  (0x90130, 260, ... "Extracting Files", ) , ) == 0x10
 04532  2016   NtGdiGetRandomRgn  (-486472038, -821819783, 1, ... ) == 0x0
 04533  2016   NtGdiIntersectClipRect  (-486472038, 7, 7, 307, 25, ... ) == 0x3
 04534  2016   NtGdiExtSelectClipRgn  (-486472038, 0, 5, ... ) == 0x2
 04535  2016   NtGdiBitBlt  (16842835, 0, 0, 336, 29, -486472038, 0, 0, 13369376, -1, 0, ... ) == 0x1
 04536  2016   NtGdiSelectBitmap  (-486472038, 25493519, ... ) == 0x2e0507bd
 04537  2016   NtGdiDeleteObjectApp  (-486472038, ... ) == 0x1
 04538  2016   NtGdiDeleteObjectApp  (772081597, ... ) == 0x1
 04539  2016   NtUserCallOneParam  (16842835, 57, ... ) == 0x1
 04503  2016   NtUserDispatchMessage  ... ) == 0x0
 04540  2016   NtUserWaitMessage  (...
NtAddAtom(>)	1	NtGdiGetWidthTable(>)	2	NtUserFillWindow(>)	6	NtOpenSection(>)	26
NtConnectPort(>)	1	NtGdiStretchDIBitsInternal(>)	2	NtUserGetClassName(>)	6	NtUnmapViewOfSection(>)	26
NtCreateProcessEx(>)	1	NtOpenEvent(>)	2	NtUserPostThreadMessage(>)	6	NtOpenDirectoryObject(>)	28
NtEnumerateValueKey(>)	1	NtQueryInstallUILanguage(>)	2	NtUserSetWindowFNID(>)	6	NtUserGetControlBrush(>)	29
NtFlushVirtualMemory(>)	1	NtRegisterThreadTerminatePort(>)	2	NtAccessCheck(>)	7	NtUserGetWindowDC(>)	29
NtGdiCreateDIBitmapInternal(>)	1	NtResumeThread(>)	2	NtOpenThreadToken(>)	7	NtGdiDrawStream(>)	30
NtGdiExtCreateRegion(>)	1	NtSetEvent(>)	2	NtUserGetAncestor(>)	7	NtWaitForSingleObject(>)	32
NtGdiGetDCObject(>)	1	NtTestAlert(>)	2	NtCreateKey(>)	8	NtGdiGetCharSet(>)	34
NtGdiGetTextCharsetInfo(>)	1	NtUserGetImeInfoEx(>)	2	NtEnumerateKey(>)	8	NtOpenProcessTokenEx(>)	36
NtGdiInit(>)	1	NtUserGetKeyboardLayoutList(>)	2	NtSetValueKey(>)	8	NtQueryVirtualMemory(>)	36
NtGdiOffsetRgn(>)	1	NtUserKillTimer(>)	2	NtUserCallNoParam(>)	8	NtOpenThreadTokenEx(>)	37
NtGdiQueryFontAssocInfo(>)	1	NtUserQueryInputContext(>)	2	NtUserShowWindow(>)	8	NtQueryInformationFile(>)	41
NtNotifyChangeKey(>)	1	NtUserSetFocus(>)	2	NtUserCalcMenuBar(>)	9	NtGdiIntersectClipRect(>)	45
NtOpenKeyedEvent(>)	1	NtUserSetWindowRgn(>)	2	NtUserGetThreadState(>)	9	NtQueryInformationToken(>)	47
NtOpenMutant(>)	1	NtUserUpdateInputContext(>)	2	NtUserGetTitleBarInfo(>)	9	NtUserEndPaint(>)	49
NtOpenProcess(>)	1	NtDuplicateObject(>)	3	NtGdiFlush(>)	10	NtQueryInformationProcess(>)	51
NtQueryFullAttributesFile(>)	1	NtDuplicateToken(>)	3	NtQueryDebugFilterState(>)	10	NtOpenSymbolicLinkObject(>)	52
NtQueryInformationJobObject(>)	1	NtGdiHfontCreate(>)	3	NtCreateEvent(>)	11	NtQueryAttributesFile(>)	52
NtQueryInformationThread(>)	1	NtReadVirtualMemory(>)	3	NtQuerySection(>)	11	NtAllocateVirtualMemory(>)	54
NtQueryObject(>)	1	NtSetInformationObject(>)	3	NtUserSetProp(>)	11	NtUserFindExistingCursorIcon(>)	56
NtQueryPerformanceCounter(>)	1	NtUserGetObjectInformation(>)	3	NtUserSetWindowLong(>)	11	NtMapViewOfSection(>)	58
NtQuerySystemTime(>)	1	NtUserGetThreadDesktop(>)	3	NtQueryDefaultUILanguage(>)	12	NtUserBeginPaint(>)	60
NtSecureConnectPort(>)	1	NtUserSetWindowPos(>)	3	NtQueryVolumeInformationFile(>)	12	NtUserRegisterClassExWOW(>)	64
NtUserCallHwndParam(>)	1	NtCreateSemaphore(>)	4	NtSetInformationProcess(>)	12	NtUserCallOneParam(>)	68
NtUserFindWindowEx(>)	1	NtGdiExtGetObjectW(>)	4	NtUserQueryWindow(>)	12	NtSetInformationFile(>)	73
NtUserGetGUIThreadInfo(>)	1	NtSetInformationThread(>)	4	NtGdiCreateCompatibleDC(>)	13	NtQueryDefaultLocale(>)	75
NtUserGetIconInfo(>)	1	NtUserGetClassInfo(>)	4	NtOpenProcessToken(>)	13	NtQuerySystemInformation(>)	76
NtUserGetIconSize(>)	1	NtUserSetWindowsHookEx(>)	4	NtRequestWaitReplyPort(>)	14	NtUserRedrawWindow(>)	79
NtUserGetProcessWindowStation(>)	1	NtWriteVirtualMemory(>)	4	NtUserInternalGetWindowText(>)	14	NtCreateSection(>)	87
NtUserNotifyIMEStatus(>)	1	NtFsControlFile(>)	5	NtUserCallMsgFilter(>)	15	NtCreateFile(>)	91
NtUserSetCursor(>)	1	NtGdiExcludeClipRect(>)	5	NtGdiDeleteObjectApp(>)	16	NtFlushInstructionCache(>)	91
NtUserSetCursorIconData(>)	1	NtUserBuildHwndList(>)	5	NtUserCreateWindowEx(>)	16	NtOpenFile(>)	93
NtUserSetImeOwnerWindow(>)	1	NtUserCallHwndLock(>)	5	NtGdiExtSelectClipRgn(>)	17	NtQueryValueKey(>)	95
NtUserSetTimer(>)	1	NtUserGetAtomName(>)	5	NtGdiGetRandomRgn(>)	17	NtUserWaitMessage(>)	154
NtCallbackReturn(>)	2	NtUserGetDCEx(>)	5	NtUserSystemParametersInfo(>)	17	NtWriteFile(>)	163
NtCreateIoCompletion(>)	2	NtUserGetForegroundWindow(>)	5	NtQueryDirectoryFile(>)	18	NtUserPeekMessage(>)	170
NtCreateThread(>)	2	NtUserRemoveProp(>)	5	NtGdiSelectBitmap(>)	19	NtOpenKey(>)	172
NtFreeVirtualMemory(>)	2	NtCreateMutant(>)	6	NtContinue(>)	20	NtProtectVirtualMemory(>)	184
NtGdiCreateBitmap(>)	2	NtGdiBitBlt(>)	6	NtUserDispatchMessage(>)	21	NtUserMessageCall(>)	265
NtGdiCreatePatternBrushInternal(>)	2	NtGdiCombineRgn(>)	6	NtDeviceIoControlFile(>)	22	NtReadFile(>)	403
NtGdiCreateSolidBrush(>)	2	NtGdiCreateCompatibleBitmap(>)	6	NtUserDefSetText(>)	23	NtUserValidateHandleSecure(>)	414
NtGdiDoPalette(>)	2	NtGdiCreateRectRgn(>)	6	NtReleaseMutant(>)	24	NtClose(>)	431
NtGdiGetDIBitsInternal(>)	2	NtGdiGetStockObject(>)	6	NtUserGetDC(>)	25
NtGdiGetTextMetricsW(>)	2	NtQuerySymbolicLinkObject(>)	6