Summary:


NtCallbackReturn(>)  1 
NtUserCallHwndParam(>)  2 
NtUserGetForegroundWindow(>)  6 
NtUserSelectPalette(>)  16 

NtConnectPort(>)  1 
NtUserDispatchMessage(>)  2 
NtUserGetKeyboardLayoutList(>)  6 
NtUserGetThreadState(>)  17 

NtCreateEvent(>)  1 
NtUserGetImeInfoEx(>)  2 
NtUserGetObjectInformation(>)  6 
NtUserSetProp(>)  17 

NtCreateSemaphore(>)  1 
NtUserNotifyIMEStatus(>)  2 
NtUserGetThreadDesktop(>)  6 
NtQueryDefaultLocale(>)  18 

NtDuplicateObject(>)  1 
NtUserQueryInputContext(>)  2 
NtUserSetCursorIconData(>)  6 
NtUserBuildHwndList(>)  18 

NtEnumerateValueKey(>)  1 
NtUserSetTimer(>)  2 
NtUserSetWindowPos(>)  6 
NtGdiCreateCompatibleDC(>)  19 

NtFlushVirtualMemory(>)  1 
NtUserSetWindowRgn(>)  2 
NtCreateFile(>)  7 
NtGdiDrawStream(>)  20 

NtFsControlFile(>)  1 
NtUserShowWindow(>)  2 
NtCreateMutant(>)  7 
NtGdiIntersectClipRect(>)  20 

NtGdiExtCreateRegion(>)  1 
NtAddAtom(>)  3 
NtSetInformationProcess(>)  7 
NtQueryInformationToken(>)  20 

NtGdiGetDCDword(>)  1 
NtDuplicateToken(>)  3 
NtUserBeginPaint(>)  7 
NtUserCallMsgFilter(>)  22 

NtGdiInit(>)  1 
NtGdiExcludeClipRect(>)  3 
NtCreateKey(>)  8 
NtUserPostThreadMessage(>)  22 

NtGdiOffsetRgn(>)  1 
NtGdiGetWidthTable(>)  3 
NtGdiCreateBitmap(>)  8 
NtOpenSection(>)  24 

NtGdiQueryFontAssocInfo(>)  1 
NtOpenThreadToken(>)  3 
NtGdiGetBitmapBits(>)  8 
NtSetEvent(>)  24 

NtOpenKeyedEvent(>)  1 
NtQueryDirectoryFile(>)  3 
NtGdiGetDCforBitmap(>)  8 
NtOpenEvent(>)  25 

NtOpenMutant(>)  1 
NtQueryInformationFile(>)  3 
NtGdiRestoreDC(>)  8 
NtOpenFile(>)  25 

NtOpenSymbolicLinkObject(>)  1 
NtSetInformationObject(>)  3 
NtGdiSaveDC(>)  8 
NtUserGetWindowDC(>)  25 

NtQueryObject(>)  1 
NtUserOpenDesktop(>)  3 
NtGdiSetDIBitsToDeviceInternal(>)  8 
NtUserRegisterWindowMessage(>)  26 

NtQuerySymbolicLinkObject(>)  1 
NtUserSetCursor(>)  3 
NtSetValueKey(>)  8 
NtCreateSection(>)  28 

NtQueryVolumeInformationFile(>)  1 
NtUserSetWindowFNID(>)  3 
NtUserFillWindow(>)  8 
NtAllocateVirtualMemory(>)  29 

NtRegisterThreadTerminatePort(>)  1 
NtUserUpdateInputContext(>)  3 
NtUserInternalGetWindowText(>)  8 
NtGdiExtGetObjectW(>)  31 

NtSecureConnectPort(>)  1 
NtGdiGetDIBitsInternal(>)  4 
NtGdiGetDCObject(>)  9 
NtUnmapViewOfSection(>)  31 

NtSetInformationFile(>)  1 
NtGdiGetTextCharsetInfo(>)  4 
NtOpenProcessToken(>)  9 
NtUserRemoveProp(>)  31 

NtTestAlert(>)  1 
NtUserCallHwndLock(>)  4 
NtQueryVirtualMemory(>)  9 
NtUserUnregisterClass(>)  31 

NtUserBuildNameList(>)  1 
NtUserEndPaint(>)  4 
NtUserGetAncestor(>)  9 
NtUserGetAtomName(>)  33 

NtUserCallHwnd(>)  1 
NtUserGetClassName(>)  4 
NtUserWaitMessage(>)  9 
NtQueryAttributesFile(>)  37 

NtUserCloseDesktop(>)  1 
NtUserGetDCEx(>)  4 
NtGdiCreateCompatibleBitmap(>)  10 
NtUserPeekMessage(>)  40 

NtUserDrawIconEx(>)  1 
NtUserInvalidateRect(>)  4 
NtSetInformationThread(>)  10 
NtQueryValueKey(>)  41 

NtUserFindWindowEx(>)  1 
NtUserSetWindowsHookEx(>)  4 
NtUserDestroyCursor(>)  10 
NtUserFindExistingCursorIcon(>)  44 

NtUserGetCursorFrameInfo(>)  1 
NtUserUnhookWindowsHookEx(>)  4 
NtGdiBitBlt(>)  11 
NtUserRegisterClassExWOW(>)  47 

NtUserGetGUIThreadInfo(>)  1 
NtAccessCheck(>)  5 
NtUserCallNoParam(>)  11 
NtMapViewOfSection(>)  51 

NtUserGetIconSize(>)  1 
NtGdiGetTextMetricsW(>)  5 
NtUserGetIconInfo(>)  11 
NtGdiDeleteObjectApp(>)  58 

NtUserModifyUserStartupInfoFlags(>)  1 
NtUserCalcMenuBar(>)  5 
NtQueryDefaultUILanguage(>)  12 
NtWaitForSingleObject(>)  61 

NtUserSetCapture(>)  1 
NtUserGetProcessWindowStation(>)  5 
NtUserSystemParametersInfo(>)  12 
NtReleaseMutant(>)  63 

NtUserSetImeOwnerWindow(>)  1 
NtUserGetTitleBarInfo(>)  5 
NtQueryInformationProcess(>)  13 
NtFlushInstructionCache(>)  66 

NtUserSetThreadState(>)  1 
NtUserPostMessage(>)  5 
NtOpenProcessTokenEx(>)  14 
NtGdiSelectBitmap(>)  73 

NtUserTranslateMessage(>)  1 
NtUserSetFocus(>)  5 
NtOpenThreadTokenEx(>)  14 
NtQuerySystemInformation(>)  73 

NtContinue(>)  2 
NtGdiCombineRgn(>)  6 
NtQueryDebugFilterState(>)  14 
NtUserCallOneParam(>)  74 

NtFreeVirtualMemory(>)  2 
NtGdiCreateDIBitmapInternal(>)  6 
NtUserGetDC(>)  14 
NtUserMessageCall(>)  77 

NtGdiCreatePatternBrushInternal(>)  2 
NtGdiCreateRectRgn(>)  6 
NtUserSetWindowLong(>)  14 
NtOpenKey(>)  81 

NtGdiCreateSolidBrush(>)  2 
NtGdiGetCharSet(>)  6 
NtUserKillTimer(>)  15 
NtProtectVirtualMemory(>)  132 

NtGdiDoPalette(>)  2 
NtGdiGetStockObject(>)  6 
NtDeviceIoControlFile(>)  16 
NtReadFile(>)  149 

NtGdiStretchDIBitsInternal(>)  2 
NtGdiHfontCreate(>)  6 
NtGdiExtSelectClipRgn(>)  16 
NtUserQueryWindow(>)  181 

NtOpenDirectoryObject(>)  2 
NtQuerySection(>)  6 
NtGdiGetRandomRgn(>)  16 
NtClose(>)  189 

NtQueryInstallUILanguage(>)  2 
NtUserDestroyWindow(>)  6 
NtRequestWaitReplyPort(>)  16 
NtUserValidateHandleSecure(>)  547 

NtTerminateProcess(>)  2 
NtUserGetClassInfo(>)  6 
NtUserCreateWindowEx(>)  16 

Trace:
 00001  1292   NtOpenFile  (0x80100000, {24, 0, 0x240, 0, 0,  (0x80100000, {24, 0, 0x240, 0, 0, "\SystemRoot\Prefetch\PACKED.EXE-09ED06A1.pf"}, 0, 32, ... ) }, 0, 32, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00002  1292   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\packed.exe"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00003  1292   NtOpenKeyedEvent  (0x2000000, {24, 0, 0x0, 0, 0,  (0x2000000, {24, 0, 0x0, 0, 0, "\KernelObjects\CritSecOutOfMemoryEvent"}, ... 4, ) }, ... 4, ) == 0x0
 00004  1292   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00005  1292   NtAllocateVirtualMemory  (-1, 0, 0, 1048576, 8192, 4, ... 1376256, 1048576, ) == 0x0
 00006  1292   NtAllocateVirtualMemory  (-1, 1376256, 0, 4096, 4096, 4, ... 1376256, 4096, ) == 0x0
 00007  1292   NtAllocateVirtualMemory  (-1, 1380352, 0, 8192, 4096, 4, ... 1380352, 8192, ) == 0x0
 00008  1292   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00009  1292   NtAllocateVirtualMemory  (-1, 0, 0, 65536, 8192, 4, ... 2424832, 65536, ) == 0x0
 00010  1292   NtAllocateVirtualMemory  (-1, 2424832, 0, 24576, 4096, 4, ... 2424832, 24576, ) == 0x0
 00011  1292   NtOpenDirectoryObject  (0x3, {24, 0, 0x40, 0, 0,  (0x3, {24, 0, 0x40, 0, 0, "\KnownDlls"}, ... 8, ) }, ... 8, ) == 0x0
 00012  1292   NtOpenSymbolicLinkObject  (0x1, {24, 8, 0x40, 0, 0,  (0x1, {24, 8, 0x40, 0, 0, "KnownDllPath"}, ... 12, ) }, ... 12, ) == 0x0
 00013  1292   NtQuerySymbolicLinkObject  (12, ...  (12, ... "C:\WINDOWS\system32", 0x0, ) , 0x0, ) == 0x0
 00014  1292   NtClose  (12, ... ) == 0x0
 00015  1292   NtOpenFile  (0x100020, {24, 0, 0x42, 0, 0,  (0x100020, {24, 0, 0x42, 0, 0, "\??\C:\scripts\"}, 3, 33, ... 12, {status=0x0, info=1}, ) }, 3, 33, ... 12, {status=0x0, info=1}, ) == 0x0
 00016  1292   NtQueryVolumeInformationFile  (12, 1243852, 8, Device, ... {status=0x0, info=8}, ) == 0x0
 00017  1292   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "kernel32.dll"}, ... 16, ) }, ... 16, ) == 0x0
 00018  1292   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x7c800000), 0x0, 1003520, ) == 0x0
 00019  1292   NtClose  (16, ... ) == 0x0
 00020  1292   NtProtectVirtualMemory  (-1, (0x7c801000), 1568, 4, ... (0x7c801000), 4096, 32, ) == 0x0
 00021  1292   NtProtectVirtualMemory  (-1, (0x7c801000), 4096, 32, ... (0x7c801000), 4096, 4, ) == 0x0
 00022  1292   NtFlushInstructionCache  (-1, 2088767488, 1568, ... ) == 0x0
 00023  1292   NtQueryInformationProcess  (-1, 36, 4, ... {process info, class 36, size 4}, 0x0, ) == 0x0
 00024  1292   NtQuerySystemInformation  (RangeStart, 4, ... {system info, class 50, size 4}, 0x0, ) == 0x0
 00025  1292   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00026  1292   NtCreateSection  (0xf001f, 0x0, {65536, 0}, 4, 67108864, 0, ... 16, ) == 0x0
 00027  1292   NtSecureConnectPort  ( ("\Windows\ApiPort", {0, 2, 1, 1}, {24, 16, 0, 65536, 0, 0}, 1385208, {12, 0, 0}, 1241944, 44, ... 24, {24, 16, 0, 65536, 2490368, 18415616}, {0, 0, 0}, 200, 44, ) , {0, 2, 1, 1}, {24, 16, 0, 65536, 0, 0}, 1385208, {12, 0, 0}, 1241944, 44, ... 24, {24, 16, 0, 65536, 2490368, 18415616}, {0, 0, 0}, 200, 44, ) == 0x0
 00028  1292   NtClose  (16, ... ) == 0x0
 00029  1292   NtQueryObject  (24, Handle, 2, ... {Inherit=0,ProtectFromClose=0,}, -1, ) == 0x0
 00030  1292   NtSetInformationObject  (24, Handle, {Inherit=0,ProtectFromClose=1,}, 256, ... ) == 0x0
 00031  1292   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00032  1292   NtQueryVirtualMemory  (-1, 0x260000, Basic, 28, ... {BaseAddress=0x260000,AllocationBase=0x260000,AllocationProtect=0x4,RegionSize=0x10000,State=0x2000,Protect=0x0,Type=0x40000,}, 0x0, ) == 0x0
 00033  1292   NtAllocateVirtualMemory  (-1, 2490368, 0, 4096, 4096, 4, ... 2490368, 4096, ) == 0x0
 00034  1292   NtRequestWaitReplyPort  (24, {28, 56, new_msg, 0, 1242260, 1242460, 2089900544, 1242184}  (24, {28, 56, new_msg, 0, 1242260, 1242460, 2089900544, 1242184} "\210\6\31\1\0\0\0\0eZ\221|\0\0\0\0\1\0\0\0\234\6\31\1\4\0\0\0" ... {28, 56, reply, 0, 1756, 1292, 57960, 0} "0\346\26\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\234\6\31\1\4\0\0\0" )  ... {28, 56, reply, 0, 1756, 1292, 57960, 0}  (24, {28, 56, new_msg, 0, 1242260, 1242460, 2089900544, 1242184} "\210\6\31\1\0\0\0\0eZ\221|\0\0\0\0\1\0\0\0\234\6\31\1\4\0\0\0" ... {28, 56, reply, 0, 1756, 1292, 57960, 0} "0\346\26\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\234\6\31\1\4\0\0\0" )  ) == 0x0
 00035  1292   NtRegisterThreadTerminatePort  (24, ... ) == 0x0
 00036  1292   NtAllocateVirtualMemory  (-1, 1232896, 0, 4096, 4096, 260, ... 1232896, 4096, ) == 0x0
 00037  1292   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\System\CurrentControlSet\Control\Terminal Server"}, ... 16, ) }, ... 16, ) == 0x0
 00038  1292   NtQueryValueKey  (16,  (16, "TSAppCompat", Partial, 548, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 548, ... TitleIdx=0, Type=4, Data= (16, "TSAppCompat", Partial, 548, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 00039  1292   NtClose  (16, ... ) == 0x0
 00040  1292   NtOpenSection  (0x4, {24, 0, 0x40, 0, 0,  (0x4, {24, 0, 0x40, 0, 0, "\NLS\NlsSectionUnicode"}, ... 16, ) }, ... 16, ) == 0x0
 00041  1292   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 2, 0, 2, ... (0x270000), 0x0, 90112, ) == 0x0
 00042  1292   NtClose  (16, ... ) == 0x0
 00043  1292   NtQueryDefaultLocale  (0, 2089305000, ... ) == 0x0
 00044  1292   NtOpenSection  (0x4, {24, 0, 0x40, 0, 0,  (0x4, {24, 0, 0x40, 0, 0, "\NLS\NlsSectionLocale"}, ... 16, ) }, ... 16, ) == 0x0
 00045  1292   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 2, 0, 2, ... (0x290000), 0x0, 249856, ) == 0x0
 00046  1292   NtClose  (16, ... ) == 0x0
 00047  1292   NtOpenSection  (0x5, {24, 0, 0x40, 0, 0,  (0x5, {24, 0, 0x40, 0, 0, "\NLS\NlsSectionSortkey"}, ... 16, ) }, ... 16, ) == 0x0
 00048  1292   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 2, 0, 2, ... (0x2d0000), 0x0, 266240, ) == 0x0
 00049  1292   NtQuerySection  (16, Basic, 16, ... {BaseAddress=0x0,Attributes=0x800000,Size={0x40004, 0x0},}, 0x0, ) == 0x0
 00050  1292   NtClose  (16, ... ) == 0x0
 00051  1292   NtOpenSection  (0x4, {24, 0, 0x40, 0, 0,  (0x4, {24, 0, 0x40, 0, 0, "\NLS\NlsSectionSortTbls"}, ... 16, ) }, ... 16, ) == 0x0
 00052  1292   NtMapViewOfSection  (16, -1, (0x0), 0, 0, 0x0, 0, 2, 0, 2, ... (0x320000), 0x0, 24576, ) == 0x0
 00053  1292   NtClose  (16, ... ) == 0x0
 00054  1292   NtQueryVirtualMemory  (-1, 0x7ffd2000, Basic, 28, ... {BaseAddress=0x7ffd2000,AllocationBase=0x7ffb0000,AllocationProtect=0x2,RegionSize=0x2000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 00055  1292   NtOpenSection  (0x4, {24, 0, 0x40, 0, 0,  (0x4, {24, 0, 0x40, 0, 0, "\NLS\NlsSectionSortkey00000409"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00056  1292   NtOpenSection  (0x4, {24, 0, 0x40, 0, 0,  (0x4, {24, 0, 0x40, 0, 0, "\NLS\NlsSectionSortkey00000409"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00057  1292   NtAllocateVirtualMemory  (-1, 2494464, 0, 8192, 4096, 4, ... 2494464, 8192, ) == 0x0
 00058  1292   NtRequestWaitReplyPort  (24, {24, 52, new_msg, 0, 7012468, 7929957, 3145776, 3145776}  (24, {24, 52, new_msg, 0, 7012468, 7929957, 3145776, 3145776} "\210\6\31\1\36\0\1\0\0\0\0\0\377\377\377\377\234\6\31\1p\30\0\0" ... {24, 52, reply, 0, 1756, 1292, 57961, 0} "\10P\30\0\36\0\1\0\0\0\0\0\377\377\377\377\234\6\31\1p\30\0\0" )  ... {24, 52, reply, 0, 1756, 1292, 57961, 0}  (24, {24, 52, new_msg, 0, 7012468, 7929957, 3145776, 3145776} "\210\6\31\1\36\0\1\0\0\0\0\0\377\377\377\377\234\6\31\1p\30\0\0" ... {24, 52, reply, 0, 1756, 1292, 57961, 0} "\10P\30\0\36\0\1\0\0\0\0\0\377\377\377\377\234\6\31\1p\30\0\0" )  ) == 0x0
 00059  1292   NtRequestWaitReplyPort  (24, {28, 56, new_msg, 0, 2089305760, 2090321376, 0, 0}  (24, {28, 56, new_msg, 0, 2089305760, 2090321376, 0, 0} "\210\6\31\1\0\0\0\0\0\0\0\0\0\0\0\0\2\0\0\0\234\6\31\18\6\0\0" ... {28, 56, reply, 0, 1756, 1292, 57962, 0} "\250\202\26\0\0\0\0\0\0\0\0\0\0\0\0\0\2\0\0\0\234\6\31\18\6\0\0" )  ... {28, 56, reply, 0, 1756, 1292, 57962, 0}  (24, {28, 56, new_msg, 0, 2089305760, 2090321376, 0, 0} "\210\6\31\1\0\0\0\0\0\0\0\0\0\0\0\0\2\0\0\0\234\6\31\18\6\0\0" ... {28, 56, reply, 0, 1756, 1292, 57962, 0} "\250\202\26\0\0\0\0\0\0\0\0\0\0\0\0\0\2\0\0\0\234\6\31\18\6\0\0" )  ) == 0x0
 00060  1292   NtOpenKey  (0x8, {24, 0, 0x40, 0, 0,  (0x8, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows\CurrentVersion\SideBySide\AssemblyStorageRoots"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00061  1292   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00062  1292   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00063  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\u:\work\packed.exe.Local\"}, 1240516, ... ) }, 1240516, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00064  1292   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00065  1292   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00066  1292   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00067  1292   NtFsControlFile  (12, 0, 0x0, 0x0, 0x90028, 0x0, 0, 0, ... {status=0x0, info=0}, 0x0, ) == 0x0
 00068  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WinSxS\X86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03"}, 1240580, ... ) }, 1240580, ... ) == 0x0
 00069  1292   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WinSxS\X86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03"}, 3, 33, ... 16, {status=0x0, info=1}, ) }, 3, 33, ... 16, {status=0x0, info=1}, ) == 0x0
 00070  1292   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00071  1292   NtAllocateVirtualMemory  (-1, 1388544, 0, 4096, 4096, 4, ... 1388544, 4096, ) == 0x0
 00072  1292   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WinSxS\X86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\COMCTL32.dll"}, 5, 96, ... 28, {status=0x0, info=1}, ) }, 5, 96, ... 28, {status=0x0, info=1}, ) == 0x0
 00073  1292   NtCreateSection  (0xf, 0x0, 0x0, 16, 16777216, 28, ... 32, ) == 0x0
 00074  1292   NtQuerySection  (32, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 00075  1292   NtOpenProcessToken  (-1, 0x8, ... 36, ) == 0x0
 00076  1292   NtQueryInformationToken  (36, User, 136, ... {token info, class 1, size 36}, 36, ) == 0x0
 00077  1292   NtOpenKey  (0x3, {24, 0, 0x40, 0, 0,  (0x3, {24, 0, 0x40, 0, 0, "\Registry\MACHINE\System\CurrentControlSet\Control\SafeBoot\Option"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00078  1292   NtOpenKey  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers"}, ... 40, ) }, ... 40, ) == 0x0
 00079  1292   NtQueryValueKey  (40,  (40, "TransparentEnabled", Partial, 80, ... TitleIdx=0, Type=4, Data="\1\0\0\0"}, 16, ) , Partial, 80, ... TitleIdx=0, Type=4, Data= (40, "TransparentEnabled", Partial, 80, ... TitleIdx=0, Type=4, Data="\1\0\0\0"}, 16, ) }, 16, ) == 0x0
 00080  1292   NtClose  (40, ... ) == 0x0
 00081  1292   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00082  1292   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 40, ) == 0x0
 00083  1292   NtQueryInformationToken  (40, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00084  1292   NtClose  (40, ... ) == 0x0
 00085  1292   NtOpenKey  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00086  1292   NtClose  (36, ... ) == 0x0
 00087  1292   NtClose  (28, ... ) == 0x0
 00088  1292   NtMapViewOfSection  (32, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x773d0000), 0x0, 1060864, ) == 0x0
 00089  1292   NtClose  (32, ... ) == 0x0
 00090  1292   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "msvcrt.dll"}, ... 32, ) }, ... 32, ) == 0x0
 00091  1292   NtMapViewOfSection  (32, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77c10000), 0x0, 360448, ) == 0x0
 00092  1292   NtClose  (32, ... ) == 0x0
 00093  1292   NtProtectVirtualMemory  (-1, (0x77c11000), 632, 4, ... (0x77c11000), 4096, 32, ) == 0x0
 00094  1292   NtProtectVirtualMemory  (-1, (0x77c11000), 4096, 32, ... (0x77c11000), 4096, 4, ) == 0x0
 00095  1292   NtFlushInstructionCache  (-1, 2009141248, 632, ... ) == 0x0
 00096  1292   NtProtectVirtualMemory  (-1, (0x773d1000), 1924, 4, ... (0x773d1000), 4096, 32, ) == 0x0
 00097  1292   NtProtectVirtualMemory  (-1, (0x773d1000), 4096, 32, ... (0x773d1000), 4096, 4, ) == 0x0
 00098  1292   NtFlushInstructionCache  (-1, 2000490496, 1924, ... ) == 0x0
 00099  1292   NtProtectVirtualMemory  (-1, (0x773d1000), 1924, 4, ... (0x773d1000), 4096, 32, ) == 0x0
 00100  1292   NtProtectVirtualMemory  (-1, (0x773d1000), 4096, 32, ... (0x773d1000), 4096, 4, ) == 0x0
 00101  1292   NtFlushInstructionCache  (-1, 2000490496, 1924, ... ) == 0x0
 00102  1292   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "ADVAPI32.dll"}, ... 32, ) }, ... 32, ) == 0x0
 00103  1292   NtMapViewOfSection  (32, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77dd0000), 0x0, 634880, ) == 0x0
 00104  1292   NtClose  (32, ... ) == 0x0
 00105  1292   NtProtectVirtualMemory  (-1, (0x77dd1000), 1700, 4, ... (0x77dd1000), 4096, 32, ) == 0x0
 00106  1292   NtProtectVirtualMemory  (-1, (0x77dd1000), 4096, 32, ... (0x77dd1000), 4096, 4, ) == 0x0
 00107  1292   NtFlushInstructionCache  (-1, 2010976256, 1700, ... ) == 0x0
 00108  1292   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "RPCRT4.dll"}, ... 32, ) }, ... 32, ) == 0x0
 00109  1292   NtMapViewOfSection  (32, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77e70000), 0x0, 593920, ) == 0x0
 00110  1292   NtClose  (32, ... ) == 0x0
 00111  1292   NtProtectVirtualMemory  (-1, (0x77e71000), 868, 4, ... (0x77e71000), 4096, 32, ) == 0x0
 00112  1292   NtProtectVirtualMemory  (-1, (0x77e71000), 4096, 32, ... (0x77e71000), 4096, 4, ) == 0x0
 00113  1292   NtFlushInstructionCache  (-1, 2011631616, 868, ... ) == 0x0
 00114  1292   NtProtectVirtualMemory  (-1, (0x77e71000), 868, 4, ... (0x77e71000), 4096, 32, ) == 0x0
 00115  1292   NtProtectVirtualMemory  (-1, (0x77e71000), 4096, 32, ... (0x77e71000), 4096, 4, ) == 0x0
 00116  1292   NtFlushInstructionCache  (-1, 2011631616, 868, ... ) == 0x0
 00117  1292   NtProtectVirtualMemory  (-1, (0x77e71000), 868, 4, ... (0x77e71000), 4096, 32, ) == 0x0
 00118  1292   NtProtectVirtualMemory  (-1, (0x77e71000), 4096, 32, ... (0x77e71000), 4096, 4, ) == 0x0
 00119  1292   NtFlushInstructionCache  (-1, 2011631616, 868, ... ) == 0x0
 00120  1292   NtProtectVirtualMemory  (-1, (0x77dd1000), 1700, 4, ... (0x77dd1000), 4096, 32, ) == 0x0
 00121  1292   NtProtectVirtualMemory  (-1, (0x77dd1000), 4096, 32, ... (0x77dd1000), 4096, 4, ) == 0x0
 00122  1292   NtFlushInstructionCache  (-1, 2010976256, 1700, ... ) == 0x0
 00123  1292   NtProtectVirtualMemory  (-1, (0x773d1000), 1924, 4, ... (0x773d1000), 4096, 32, ) == 0x0
 00124  1292   NtProtectVirtualMemory  (-1, (0x773d1000), 4096, 32, ... (0x773d1000), 4096, 4, ) == 0x0
 00125  1292   NtFlushInstructionCache  (-1, 2000490496, 1924, ... ) == 0x0
 00126  1292   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "GDI32.dll"}, ... 32, ) }, ... 32, ) == 0x0
 00127  1292   NtMapViewOfSection  (32, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77f10000), 0x0, 290816, ) == 0x0
 00128  1292   NtClose  (32, ... ) == 0x0
 00129  1292   NtProtectVirtualMemory  (-1, (0x77f11000), 508, 4, ... (0x77f11000), 4096, 32, ) == 0x0
 00130  1292   NtProtectVirtualMemory  (-1, (0x77f11000), 4096, 32, ... (0x77f11000), 4096, 4, ) == 0x0
 00131  1292   NtFlushInstructionCache  (-1, 2012286976, 508, ... ) == 0x0
 00132  1292   NtProtectVirtualMemory  (-1, (0x77f11000), 508, 4, ... (0x77f11000), 4096, 32, ) == 0x0
 00133  1292   NtProtectVirtualMemory  (-1, (0x77f11000), 4096, 32, ... (0x77f11000), 4096, 4, ) == 0x0
 00134  1292   NtFlushInstructionCache  (-1, 2012286976, 508, ... ) == 0x0
 00135  1292   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "USER32.dll"}, ... 32, ) }, ... 32, ) == 0x0
 00136  1292   NtMapViewOfSection  (32, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x7e410000), 0x0, 589824, ) == 0x0
 00137  1292   NtClose  (32, ... ) == 0x0
 00138  1292   NtProtectVirtualMemory  (-1, (0x7e411000), 1252, 4, ... (0x7e411000), 4096, 32, ) == 0x0
 00139  1292   NtProtectVirtualMemory  (-1, (0x7e411000), 4096, 32, ... (0x7e411000), 4096, 4, ) == 0x0
 00140  1292   NtFlushInstructionCache  (-1, 2118193152, 1252, ... ) == 0x0
 00141  1292   NtProtectVirtualMemory  (-1, (0x7e411000), 1252, 4, ... (0x7e411000), 4096, 32, ) == 0x0
 00142  1292   NtProtectVirtualMemory  (-1, (0x7e411000), 4096, 32, ... (0x7e411000), 4096, 4, ) == 0x0
 00143  1292   NtFlushInstructionCache  (-1, 2118193152, 1252, ... ) == 0x0
 00144  1292   NtProtectVirtualMemory  (-1, (0x7e411000), 1252, 4, ... (0x7e411000), 4096, 32, ) == 0x0
 00145  1292   NtProtectVirtualMemory  (-1, (0x7e411000), 4096, 32, ... (0x7e411000), 4096, 4, ) == 0x0
 00146  1292   NtFlushInstructionCache  (-1, 2118193152, 1252, ... ) == 0x0
 00147  1292   NtProtectVirtualMemory  (-1, (0x77f11000), 508, 4, ... (0x77f11000), 4096, 32, ) == 0x0
 00148  1292   NtProtectVirtualMemory  (-1, (0x77f11000), 4096, 32, ... (0x77f11000), 4096, 4, ) == 0x0
 00149  1292   NtFlushInstructionCache  (-1, 2012286976, 508, ... ) == 0x0
 00150  1292   NtProtectVirtualMemory  (-1, (0x773d1000), 1924, 4, ... (0x773d1000), 4096, 32, ) == 0x0
 00151  1292   NtProtectVirtualMemory  (-1, (0x773d1000), 4096, 32, ... (0x773d1000), 4096, 4, ) == 0x0
 00152  1292   NtFlushInstructionCache  (-1, 2000490496, 1924, ... ) == 0x0
 00153  1292   NtProtectVirtualMemory  (-1, (0x773d1000), 1924, 4, ... (0x773d1000), 4096, 32, ) == 0x0
 00154  1292   NtProtectVirtualMemory  (-1, (0x773d1000), 4096, 32, ... (0x773d1000), 4096, 4, ) == 0x0
 00155  1292   NtFlushInstructionCache  (-1, 2000490496, 1924, ... ) == 0x0
 00156  1292   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "SHLWAPI.dll"}, ... 32, ) }, ... 32, ) == 0x0
 00157  1292   NtMapViewOfSection  (32, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77f60000), 0x0, 483328, ) == 0x0
 00158  1292   NtClose  (32, ... ) == 0x0
 00159  1292   NtProtectVirtualMemory  (-1, (0x77f61000), 2076, 4, ... (0x77f61000), 4096, 32, ) == 0x0
 00160  1292   NtProtectVirtualMemory  (-1, (0x77f61000), 4096, 32, ... (0x77f61000), 4096, 4, ) == 0x0
 00161  1292   NtFlushInstructionCache  (-1, 2012614656, 2076, ... ) == 0x0
 00162  1292   NtProtectVirtualMemory  (-1, (0x77f61000), 2076, 4, ... (0x77f61000), 4096, 32, ) == 0x0
 00163  1292   NtProtectVirtualMemory  (-1, (0x77f61000), 4096, 32, ... (0x77f61000), 4096, 4, ) == 0x0
 00164  1292   NtFlushInstructionCache  (-1, 2012614656, 2076, ... ) == 0x0
 00165  1292   NtProtectVirtualMemory  (-1, (0x77f61000), 2076, 4, ... (0x77f61000), 4096, 32, ) == 0x0
 00166  1292   NtProtectVirtualMemory  (-1, (0x77f61000), 4096, 32, ... (0x77f61000), 4096, 4, ) == 0x0
 00167  1292   NtFlushInstructionCache  (-1, 2012614656, 2076, ... ) == 0x0
 00168  1292   NtProtectVirtualMemory  (-1, (0x77f61000), 2076, 4, ... (0x77f61000), 4096, 32, ) == 0x0
 00169  1292   NtProtectVirtualMemory  (-1, (0x77f61000), 4096, 32, ... (0x77f61000), 4096, 4, ) == 0x0
 00170  1292   NtFlushInstructionCache  (-1, 2012614656, 2076, ... ) == 0x0
 00171  1292   NtProtectVirtualMemory  (-1, (0x77f61000), 2076, 4, ... (0x77f61000), 4096, 32, ) == 0x0
 00172  1292   NtProtectVirtualMemory  (-1, (0x77f61000), 4096, 32, ... (0x77f61000), 4096, 4, ) == 0x0
 00173  1292   NtFlushInstructionCache  (-1, 2012614656, 2076, ... ) == 0x0
 00174  1292   NtProtectVirtualMemory  (-1, (0x773d1000), 1924, 4, ... (0x773d1000), 4096, 32, ) == 0x0
 00175  1292   NtProtectVirtualMemory  (-1, (0x773d1000), 4096, 32, ... (0x773d1000), 4096, 4, ) == 0x0
 00176  1292   NtFlushInstructionCache  (-1, 2000490496, 1924, ... ) == 0x0
 00177  1292   NtProtectVirtualMemory  (-1, (0x773d1000), 1924, 4, ... (0x773d1000), 4096, 32, ) == 0x0
 00178  1292   NtProtectVirtualMemory  (-1, (0x773d1000), 4096, 32, ... (0x773d1000), 4096, 4, ) == 0x0
 00179  1292   NtFlushInstructionCache  (-1, 2000490496, 1924, ... ) == 0x0
 00180  1292   NtProtectVirtualMemory  (-1, (0x409000), 684, 4, ... (0x409000), 4096, 2, ) == 0x0
 00181  1292   NtProtectVirtualMemory  (-1, (0x409000), 4096, 2, ... (0x409000), 4096, 4, ) == 0x0
 00182  1292   NtFlushInstructionCache  (-1, 4231168, 684, ... ) == 0x0
 00183  1292   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "VERSION.dll"}, ... 32, ) }, ... 32, ) == 0x0
 00184  1292   NtMapViewOfSection  (32, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x77c00000), 0x0, 32768, ) == 0x0
 00185  1292   NtClose  (32, ... ) == 0x0
 00186  1292   NtProtectVirtualMemory  (-1, (0x77c01000), 304, 4, ... (0x77c01000), 4096, 32, ) == 0x0
 00187  1292   NtProtectVirtualMemory  (-1, (0x77c01000), 4096, 32, ... (0x77c01000), 4096, 4, ) == 0x0
 00188  1292   NtFlushInstructionCache  (-1, 2009075712, 304, ... ) == 0x0
 00189  1292   NtProtectVirtualMemory  (-1, (0x409000), 684, 4, ... (0x409000), 4096, 2, ) == 0x0
 00190  1292   NtProtectVirtualMemory  (-1, (0x409000), 4096, 2, ... (0x409000), 4096, 4, ) == 0x0
 00191  1292   NtFlushInstructionCache  (-1, 4231168, 684, ... ) == 0x0
 00192  1292   NtProtectVirtualMemory  (-1, (0x409000), 684, 4, ... (0x409000), 4096, 2, ) == 0x0
 00193  1292   NtProtectVirtualMemory  (-1, (0x409000), 4096, 2, ... (0x409000), 4096, 4, ) == 0x0
 00194  1292   NtFlushInstructionCache  (-1, 4231168, 684, ... ) == 0x0
 00195  1292   NtProtectVirtualMemory  (-1, (0x409000), 684, 4, ... (0x409000), 4096, 2, ) == 0x0
 00196  1292   NtProtectVirtualMemory  (-1, (0x409000), 4096, 2, ... (0x409000), 4096, 4, ) == 0x0
 00197  1292   NtFlushInstructionCache  (-1, 4231168, 684, ... ) == 0x0
 00198  1292   NtProtectVirtualMemory  (-1, (0x409000), 684, 4, ... (0x409000), 4096, 2, ) == 0x0
 00199  1292   NtProtectVirtualMemory  (-1, (0x409000), 4096, 2, ... (0x409000), 4096, 4, ) == 0x0
 00200  1292   NtFlushInstructionCache  (-1, 4231168, 684, ... ) == 0x0
 00201  1292   NtProtectVirtualMemory  (-1, (0x409000), 684, 4, ... (0x409000), 4096, 2, ) == 0x0
 00202  1292   NtProtectVirtualMemory  (-1, (0x409000), 4096, 2, ... (0x409000), 4096, 4, ) == 0x0
 00203  1292   NtFlushInstructionCache  (-1, 4231168, 684, ... ) == 0x0
 00204  1292   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "SHELL32.dll"}, ... 32, ) }, ... 32, ) == 0x0
 00205  1292   NtMapViewOfSection  (32, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x7c9c0000), 0x0, 8482816, ) == 0x0
 00206  1292   NtClose  (32, ... ) == 0x0
 00207  1292   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00208  1292   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00209  1292   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00210  1292   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00211  1292   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00212  1292   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00213  1292   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00214  1292   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00215  1292   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00216  1292   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00217  1292   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00218  1292   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00219  1292   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00220  1292   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00221  1292   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00222  1292   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00223  1292   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00224  1292   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00225  1292   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00226  1292   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00227  1292   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00228  1292   NtProtectVirtualMemory  (-1, (0x7c9c1000), 4476, 4, ... (0x7c9c1000), 8192, 32, ) == 0x0
 00229  1292   NtProtectVirtualMemory  (-1, (0x7c9c1000), 8192, 32, ... (0x7c9c1000), 8192, 4, ) == 0x0
 00230  1292   NtFlushInstructionCache  (-1, 2090602496, 4476, ... ) == 0x0
 00231  1292   NtProtectVirtualMemory  (-1, (0x409000), 684, 4, ... (0x409000), 4096, 2, ) == 0x0
 00232  1292   NtProtectVirtualMemory  (-1, (0x409000), 4096, 2, ... (0x409000), 4096, 4, ) == 0x0
 00233  1292   NtFlushInstructionCache  (-1, 4231168, 684, ... ) == 0x0
 00234  1292   NtOpenSection  (0xe, {24, 8, 0x40, 0, 0,  (0xe, {24, 8, 0x40, 0, 0, "ole32.dll"}, ... 32, ) }, ... 32, ) == 0x0
 00235  1292   NtMapViewOfSection  (32, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x774e0000), 0x0, 1298432, ) == 0x0
 00236  1292   NtClose  (32, ... ) == 0x0
 00237  1292   NtProtectVirtualMemory  (-1, (0x774e1000), 2352, 4, ... (0x774e1000), 4096, 32, ) == 0x0
 00238  1292   NtProtectVirtualMemory  (-1, (0x774e1000), 4096, 32, ... (0x774e1000), 4096, 4, ) == 0x0
 00239  1292   NtFlushInstructionCache  (-1, 2001604608, 2352, ... ) == 0x0
 00240  1292   NtProtectVirtualMemory  (-1, (0x774e1000), 2352, 4, ... (0x774e1000), 4096, 32, ) == 0x0
 00241  1292   NtProtectVirtualMemory  (-1, (0x774e1000), 4096, 32, ... (0x774e1000), 4096, 4, ) == 0x0
 00242  1292   NtFlushInstructionCache  (-1, 2001604608, 2352, ... ) == 0x0
 00243  1292   NtProtectVirtualMemory  (-1, (0x774e1000), 2352, 4, ... (0x774e1000), 4096, 32, ) == 0x0
 00244  1292   NtProtectVirtualMemory  (-1, (0x774e1000), 4096, 32, ... (0x774e1000), 4096, 4, ) == 0x0
 00245  1292   NtFlushInstructionCache  (-1, 2001604608, 2352, ... ) == 0x0
 00246  1292   NtProtectVirtualMemory  (-1, (0x774e1000), 2352, 4, ... (0x774e1000), 4096, 32, ) == 0x0
 00247  1292   NtProtectVirtualMemory  (-1, (0x774e1000), 4096, 32, ... (0x774e1000), 4096, 4, ) == 0x0
 00248  1292   NtFlushInstructionCache  (-1, 2001604608, 2352, ... ) == 0x0
 00249  1292   NtProtectVirtualMemory  (-1, (0x774e1000), 2352, 4, ... (0x774e1000), 4096, 32, ) == 0x0
 00250  1292   NtProtectVirtualMemory  (-1, (0x774e1000), 4096, 32, ... (0x774e1000), 4096, 4, ) == 0x0
 00251  1292   NtFlushInstructionCache  (-1, 2001604608, 2352, ... ) == 0x0
 00252  1292   NtProtectVirtualMemory  (-1, (0x774e1000), 2352, 4, ... (0x774e1000), 4096, 32, ) == 0x0
 00253  1292   NtProtectVirtualMemory  (-1, (0x774e1000), 4096, 32, ... (0x774e1000), 4096, 4, ) == 0x0
 00254  1292   NtFlushInstructionCache  (-1, 2001604608, 2352, ... ) == 0x0
 00255  1292   NtProtectVirtualMemory  (-1, (0x774e1000), 2352, 4, ... (0x774e1000), 4096, 32, ) == 0x0
 00256  1292   NtProtectVirtualMemory  (-1, (0x774e1000), 4096, 32, ... (0x774e1000), 4096, 4, ) == 0x0
 00257  1292   NtFlushInstructionCache  (-1, 2001604608, 2352, ... ) == 0x0
 00258  1292   NtProtectVirtualMemory  (-1, (0x409000), 684, 4, ... (0x409000), 4096, 2, ) == 0x0
 00259  1292   NtProtectVirtualMemory  (-1, (0x409000), 4096, 2, ... (0x409000), 4096, 4, ) == 0x0
 00260  1292   NtFlushInstructionCache  (-1, 4231168, 684, ... ) == 0x0
 00261  1292   NtQueryInformationProcess  (-1, 37, 48, ... {process info, class 37, size 48}, 0x0, ) == 0x0
 00262  1292   NtSetInformationProcess  (-1, 34, {process info, class 34, size 4}, 4, ... ) == 0x0
 00263  1292   NtOpenProcessToken  (-1, 0x8, ... 32, ) == 0x0
 00264  1292   NtQueryInformationToken  (32, Statistics, 56, ... {token info, class 10, size 56}, 56, ) == 0x0
 00265  1292   NtClose  (32, ... ) == 0x0
 00266  1292   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\System\CurrentControlSet\Control\Terminal Server"}, ... 32, ) }, ... 32, ) == 0x0
 00267  1292   NtQueryValueKey  (32,  (32, "TSAppCompat", Partial, 548, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 548, ... TitleIdx=0, Type=4, Data= (32, "TSAppCompat", Partial, 548, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 00268  1292   NtClose  (32, ... ) == 0x0
 00269  1292   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msvcrt.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00270  1292   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00271  1292   NtAllocateVirtualMemory  (-1, 0, 0, 65536, 8192, 4, ... 3342336, 65536, ) == 0x0
 00272  1292   NtAllocateVirtualMemory  (-1, 3342336, 0, 4096, 4096, 4, ... 3342336, 4096, ) == 0x0
 00273  1292   NtAllocateVirtualMemory  (-1, 3346432, 0, 8192, 4096, 4, ... 3346432, 8192, ) == 0x0
 00274  1292   NtAllocateVirtualMemory  (-1, 3354624, 0, 4096, 4096, 4, ... 3354624, 4096, ) == 0x0
 00275  1292   NtOpenSection  (0x4, {24, 0, 0x40, 0, 0,  (0x4, {24, 0, 0x40, 0, 0, "\NLS\NlsSectionCType"}, ... 32, ) }, ... 32, ) == 0x0
 00276  1292   NtMapViewOfSection  (32, -1, (0x0), 0, 0, 0x0, 0, 2, 0, 2, ... (0x340000), 0x0, 12288, ) == 0x0
 00277  1292   NtClose  (32, ... ) == 0x0
 00278  1292   NtAllocateVirtualMemory  (-1, 3358720, 0, 4096, 4096, 4, ... 3358720, 4096, ) == 0x0
 00279  1292   NtQueryVirtualMemory  (-1, 0x77c2807c, Basic, 28, ... {BaseAddress=0x77c28000,AllocationBase=0x77c10000,AllocationProtect=0x80,RegionSize=0x35000,State=0x1000,Protect=0x20,Type=0x1000000,}, 28, ) == 0x0
 00280  1292   NtQueryInformationProcess  (-1, 36, 4, ... {process info, class 36, size 4}, 0x0, ) == 0x0
 00281  1292   NtQueryInformationProcess  (-1, 36, 4, ... {process info, class 36, size 4}, 0x0, ) == 0x0
 00282  1292   NtQueryVirtualMemory  (-1, 0x0, Basic, 28, ... {BaseAddress=0x0,AllocationBase=0x0,AllocationProtect=0x0,RegionSize=0x10000,State=0x10000,Protect=0x1,Type=0x0,}, 28, ) == 0x0
 00283  1292   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RPCRT4.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00284  1292   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ADVAPI32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00285  1292   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\System\CurrentControlSet\Control\Terminal Server"}, ... 32, ) }, ... 32, ) == 0x0
 00286  1292   NtQueryValueKey  (32,  (32, "TSAppCompat", Partial, 548, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 548, ... TitleIdx=0, Type=4, Data= (32, "TSAppCompat", Partial, 548, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 00287  1292   NtQueryValueKey  (32,  (32, "TSUserEnabled", Partial, 548, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 548, ... TitleIdx=0, Type=4, Data= (32, "TSUserEnabled", Partial, 548, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 00288  1292   NtClose  (32, ... ) == 0x0
 00289  1292   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"}, ... 32, ) }, ... 32, ) == 0x0
 00290  1292   NtQueryValueKey  (32,  (32, "LeakTrack", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00291  1292   NtClose  (32, ... ) == 0x0
 00292  1292   NtOpenKey  (0x2000000, {24, 0, 0x40, 0, 0,  (0x2000000, {24, 0, 0x40, 0, 0, "\REGISTRY\MACHINE"}, ... 32, ) }, ... 32, ) == 0x0
 00293  1292   NtSetInformationObject  (32, Handle, {Inherit=0,ProtectFromClose=1,}, 2011431168, ... ) == 0x0
 00294  1292   NtOpenKey  (0x20019, {24, 32, 0x40, 0, 0,  (0x20019, {24, 32, 0x40, 0, 0, "Software\Microsoft\Windows NT\CurrentVersion\Diagnostics"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00295  1292   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\USER32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00296  1292   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00297  1292   NtRequestWaitReplyPort  (24, {28, 56, new_msg, 0, 256, 1243092, 256, 1242836}  (24, {28, 56, new_msg, 0, 256, 1243092, 256, 1242836} "\210\6\31\1\0\0\0\0\0\0\0\0\1\0\0\0\3\0\0\0\234\6\31\1$\1\0\0" ... {28, 56, reply, 0, 1756, 1292, 57963, 0} "\320G\26\0\0\0\0\0\0\0\0\0\1\0\0\0\3\0\0\0\234\6\31\1$\1\0\0" )  ... {28, 56, reply, 0, 1756, 1292, 57963, 0}  (24, {28, 56, new_msg, 0, 256, 1243092, 256, 1242836} "\210\6\31\1\0\0\0\0\0\0\0\0\1\0\0\0\3\0\0\0\234\6\31\1$\1\0\0" ... {28, 56, reply, 0, 1756, 1292, 57963, 0} "\320G\26\0\0\0\0\0\0\0\0\0\1\0\0\0\3\0\0\0\234\6\31\1$\1\0\0" )  ) == 0x0
 00298  1292   NtOpenKey  (0x1, {24, 0, 0x40, 0, 0,  (0x1, {24, 0, 0x40, 0, 0, "\Registry\MACHINE\System\CurrentControlSet\Control\Session Manager"}, ... 28, ) }, ... 28, ) == 0x0
 00299  1292   NtQueryValueKey  (28,  (28, "SafeDllSearchMode", Partial, 16, ... ) , Partial, 16, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00300  1292   NtClose  (28, ... ) == 0x0
 00301  1292   NtAllocateVirtualMemory  (-1, 1392640, 0, 4096, 4096, 4, ... 1392640, 4096, ) == 0x0
 00302  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 1239420, ... ) }, 1239420, ... ) == 0x0
 00303  1292   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 5, 96, ... 28, {status=0x0, info=1}, ) }, 5, 96, ... 28, {status=0x0, info=1}, ) == 0x0
 00304  1292   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 28, ... 36, ) == 0x0
 00305  1292   NtClose  (28, ... ) == 0x0
 00306  1292   NtMapViewOfSection  (36, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x350000), 0x0, 110592, ) == 0x0
 00307  1292   NtClose  (36, ... ) == 0x0
 00308  1292   NtUnmapViewOfSection  (-1, 0x350000, ... ) == 0x0
 00309  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 1239328, ... ) }, 1239328, ... ) == 0x0
 00310  1292   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 5, 96, ... 36, {status=0x0, info=1}, ) }, 5, 96, ... 36, {status=0x0, info=1}, ) == 0x0
 00311  1292   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 36, ... 28, ) == 0x0
 00312  1292   NtClose  (36, ... ) == 0x0
 00313  1292   NtMapViewOfSection  (28, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x350000), 0x0, 110592, ) == 0x0
 00314  1292   NtClose  (28, ... ) == 0x0
 00315  1292   NtUnmapViewOfSection  (-1, 0x350000, ... ) == 0x0
 00316  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 1239636, ... ) }, 1239636, ... ) == 0x0
 00317  1292   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 5, 96, ... 28, {status=0x0, info=1}, ) }, 5, 96, ... 28, {status=0x0, info=1}, ) == 0x0
 00318  1292   NtCreateSection  (0xf, 0x0, 0x0, 16, 16777216, 28, ... 36, ) == 0x0
 00319  1292   NtQuerySection  (36, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 00320  1292   NtClose  (28, ... ) == 0x0
 00321  1292   NtMapViewOfSection  (36, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x76390000), 0x0, 118784, ) == 0x0
 00322  1292   NtClose  (36, ... ) == 0x0
 00323  1292   NtProtectVirtualMemory  (-1, (0x76391000), 696, 4, ... (0x76391000), 4096, 32, ) == 0x0
 00324  1292   NtProtectVirtualMemory  (-1, (0x76391000), 4096, 32, ... (0x76391000), 4096, 4, ) == 0x0
 00325  1292   NtFlushInstructionCache  (-1, 1983451136, 696, ... ) == 0x0
 00326  1292   NtProtectVirtualMemory  (-1, (0x76391000), 696, 4, ... (0x76391000), 4096, 32, ) == 0x0
 00327  1292   NtProtectVirtualMemory  (-1, (0x76391000), 4096, 32, ... (0x76391000), 4096, 4, ) == 0x0
 00328  1292   NtFlushInstructionCache  (-1, 1983451136, 696, ... ) == 0x0
 00329  1292   NtProtectVirtualMemory  (-1, (0x76391000), 696, 4, ... (0x76391000), 4096, 32, ) == 0x0
 00330  1292   NtProtectVirtualMemory  (-1, (0x76391000), 4096, 32, ... (0x76391000), 4096, 4, ) == 0x0
 00331  1292   NtFlushInstructionCache  (-1, 1983451136, 696, ... ) == 0x0
 00332  1292   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IMM32.DLL"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00333  1292   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00334  1292   NtAllocateVirtualMemory  (-1, 1228800, 0, 4096, 4096, 260, ... 1228800, 4096, ) == 0x0
 00335  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 1236552, ... ) }, 1236552, ... ) == 0x0
 00336  1292   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ntdll.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00337  1292   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kernel32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00338  1292   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GDI32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00339  1292   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SHLWAPI.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00340  1292   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\COMCTL32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00341  1292   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VERSION.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00342  1292   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SHELL32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00343  1292   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ole32.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00344  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\IMM32.DLL"}, 1239956, ... ) }, 1239956, ... ) == 0x0
 00345  1292   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\System\CurrentControlSet\Control\Error Message Instrument\"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00346  1292   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\GRE_Initialize"}, ... 36, ) }, ... 36, ) == 0x0
 00347  1292   NtQueryValueKey  (36,  (36, "DisableMetaFiles", Partial, 20, ... ) , Partial, 20, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00348  1292   NtClose  (36, ... ) == 0x0
 00349  1292   NtMapViewOfSection  (-2147482580, -1, (0x0), 0, 0, 0x0, 0, 2, 0, 2, ... (0x520000), 0x0, 1060864, ) == 0x0
 00350  1292   NtClose  (-2147482580, ... ) == 0x0
 00351  1292   NtCreateEvent  (0x1f0003, 0x0, 1, 0, ... 36, ) == 0x0
 00352  1292   NtOpenThreadTokenEx  (-2, 0x8, 1, 512, ... ) == STATUS_NO_TOKEN
 00353  1292   NtOpenProcessTokenEx  (-1, 0x8, 512, ... -2147482580, ) == 0x0
 00354  1292   NtQueryInformationToken  (-2147482580, Statistics, 0, ... ) == STATUS_BUFFER_TOO_SMALL
 00355  1292   NtQueryInformationToken  (-2147482580, Statistics, 56, ... {token info, class 10, size 56}, 56, ) == 0x0
 00356  1292   NtClose  (-2147482580, ... ) == 0x0
 00357  1292   NtAllocateVirtualMemory  (-1, 0, 0, 32, 4096, 4, ... 3473408, 4096, ) == 0x0
 00358  1292   NtFreeVirtualMemory  (-1, (0x350000), 4096, 32768, ... (0x350000), 4096, ) == 0x0
 00359  1292   NtDuplicateObject  (-1, 28, -1, 0x0, 0, 2, ... 44, ) == 0x0
 00360  1292   NtOpenKey  (0x20019, {24, 0, 0x240, 0, 0,  (0x20019, {24, 0, 0x240, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Compatibility32"}, ... -2147482580, ) }, ... -2147482580, ) == 0x0
 00361  1292   NtQueryValueKey  (-2147482580,  (-2147482580, "packed", Partial, 172, ... ) , Partial, 172, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00362  1292   NtClose  (-2147482580, ... ) == 0x0
 00363  1292   NtOpenKey  (0x20019, {24, 0, 0x240, 0, 0,  (0x20019, {24, 0, 0x240, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\IME Compatibility"}, ... -2147482580, ) }, ... -2147482580, ) == 0x0
 00364  1292   NtQueryValueKey  (-2147482580,  (-2147482580, "packed", Partial, 172, ... ) , Partial, 172, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00365  1292   NtClose  (-2147482580, ... ) == 0x0
 00366  1292   NtQueryDefaultLocale  (0, -106645172, ... ) == 0x0
 00367  1292   NtGdiQueryFontAssocInfo  (0, ... ) == 0x0
 00368  1292   NtUserCallNoParam  (24, ... ) == 0x0
 00369  1292   NtGdiCreateCompatibleDC  (0, ...
 00370  1292   NtAllocateVirtualMemory  (-1, 0, 0, 4096, 12288, 4, ... 3473408, 4096, ) == 0x0
 00369  1292   NtGdiCreateCompatibleDC  ... ) == 0xee0105b0
 00371  1292   NtGdiGetStockObject  (0, ... ) == 0x1900010
 00372  1292   NtGdiGetStockObject  (4, ... ) == 0x1900011
 00373  1292   NtGdiCreateBitmap  (8, 8, 1, 1, 2118200212, ... ) == 0x76050581
 00374  1292   NtGdiCreateSolidBrush  (0, 0, ...
 00375  1292   NtAllocateVirtualMemory  (-1, 0, 0, 4096, 12288, 4, ... 3538944, 4096, ) == 0x0
 00374  1292   NtGdiCreateSolidBrush  ... ) == 0xa51003d2
 00376  1292   NtGdiGetStockObject  (13, ... ) == 0x18a0021
 00377  1292   NtGdiCreateCompatibleDC  (0, ... ) == 0x5201039b
 00378  1292   NtGdiSelectBitmap  (1375798171, 1980040577, ... ) == 0x185000f
 00379  1292   NtUserGetThreadDesktop  (1292, 0, ... ) == 0x28
 00380  1292   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Windows"}, ... 48, ) }, ... 48, ) == 0x0
 00381  1292   NtQueryValueKey  (48,  (48, "AppInit_DLLs", Partial, 64, ... TitleIdx=0, Type=1, Data="\0\0"}, 14, ) , Partial, 64, ... TitleIdx=0, Type=1, Data= (48, "AppInit_DLLs", Partial, 64, ... TitleIdx=0, Type=1, Data="\0\0"}, 14, ) }, 14, ) == 0x0
 00382  1292   NtClose  (48, ... ) == 0x0
 00383  1292   NtUserFindExistingCursorIcon  (1241132, 1241148, 1241196, ... ) == 0x10011
 00384  1292   NtUserRegisterClassExWOW  (1241144, 1241212, 1241228, 1241244, 673, 128, 0, ... ) == 0x816dc017
 00385  1292   NtUserFindExistingCursorIcon  (1241132, 1241148, 1241196, ... ) == 0x10011
 00386  1292   NtUserRegisterClassExWOW  (1241144, 1241212, 1241228, 1241244, 674, 128, 0, ... ) == 0x816dc01c
 00387  1292   NtUserFindExistingCursorIcon  (1241132, 1241148, 1241196, ... ) == 0x10011
 00388  1292   NtUserRegisterClassExWOW  (1241144, 1241212, 1241228, 1241244, 675, 128, 0, ... ) == 0x816dc01e
 00389  1292   NtUserFindExistingCursorIcon  (1241132, 1241148, 1241196, ... ) == 0x10011
 00390  1292   NtUserRegisterClassExWOW  (1241144, 1241212, 1241228, 1241244, 676, 128, 0, ... ) == 0x816d8002
 00391  1292   NtUserFindExistingCursorIcon  (1241132, 1241148, 1241196, ... ) == 0x10013
 00392  1292   NtUserRegisterClassExWOW  (1241144, 1241212, 1241228, 1241244, 677, 128, 0, ... ) == 0x816dc018
 00393  1292   NtUserFindExistingCursorIcon  (1241132, 1241148, 1241196, ... ) == 0x10011
 00394  1292   NtUserRegisterClassExWOW  (1241144, 1241212, 1241228, 1241244, 678, 128, 0, ... ) == 0x816dc01a
 00395  1292   NtUserFindExistingCursorIcon  (1241132, 1241148, 1241196, ... ) == 0x10011
 00396  1292   NtUserRegisterClassExWOW  (1241144, 1241212, 1241228, 1241244, 679, 128, 0, ... ) == 0x816dc01d
 00397  1292   NtUserFindExistingCursorIcon  (1241132, 1241148, 1241196, ... ) == 0x10011
 00398  1292   NtUserRegisterClassExWOW  (1241144, 1241212, 1241228, 1241244, 681, 128, 0, ... ) == 0x816dc026
 00399  1292   NtUserFindExistingCursorIcon  (1241132, 1241148, 1241196, ... ) == 0x10011
 00400  1292   NtUserRegisterClassExWOW  (1241144, 1241212, 1241228, 1241244, 680, 128, 0, ... ) == 0x816dc019
 00401  1292   NtUserRegisterClassExWOW  (1241096, 1241164, 1241180, 1241196, 0, 128, 0, ... ) == 0x816dc020
 00402  1292   NtUserRegisterClassExWOW  (1241352, 1241448, 1241432, 1241420, 0, 130, 0, ... ) == 0x816dc022
 00403  1292   NtUserRegisterClassExWOW  (1241096, 1241164, 1241180, 1241196, 0, 128, 0, ... ) == 0x816dc023
 00404  1292   NtUserRegisterClassExWOW  (1241352, 1241448, 1241432, 1241420, 0, 130, 0, ... ) == 0x816dc024
 00405  1292   NtUserRegisterClassExWOW  (1241096, 1241164, 1241180, 1241196, 0, 128, 0, ... ) == 0x816dc025
 00406  1292   NtCallbackReturn  (0, 0, 0, ...
 00407  1292   NtGdiInit  (... ) == 0x1
 00408  1292   NtGdiGetStockObject  (18, ... ) == 0x290001c
 00409  1292   NtGdiGetStockObject  (19, ... ) == 0x1b00019
 00410  1292   NtOpenKey  (0x2000000, {24, 32, 0x40, 0, 0,  (0x2000000, {24, 32, 0x40, 0, 0, "Software\Microsoft\Windows\CurrentVersion\Explorer\Performance"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00411  1292   NtOpenDirectoryObject  (0x2000f, {24, 0, 0x40, 0, 0,  (0x2000f, {24, 0, 0x40, 0, 0, "\BaseNamedObjects"}, ... 48, ) }, ... 48, ) == 0x0
 00412  1292   NtCreateSemaphore  (0x1f0003, {24, 48, 0x80, 1395104, 0,  (0x1f0003, {24, 48, 0x80, 1395104, 0, "shell.{A48F1A32-A340-11D1-BC6B-00A0C90312E1}"}, 0, 2147483647, ... 52, ) }, 0, 2147483647, ... 52, ) == STATUS_OBJECT_NAME_EXISTS
 00413  1292   NtAddAtom  ( ("T\0h\0e\0m\0e\0P\0r\0o\0p\0S\0c\0r\0o\0l\0l\0B\0a\0r\0C\0t\0l\0", 42, 1243552, ... ) , 42, 1243552, ... ) == 0x0
 00414  1292   NtQueryDefaultUILanguage  (1242236, ...
 00415  1292   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00416  1292   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... -2147482580, ) == 0x0
 00417  1292   NtQueryInformationToken  (-2147482580, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00418  1292   NtClose  (-2147482580, ... ) == 0x0
 00419  1292   NtOpenKey  (0x2000000, {24, 0, 0x640, 0, 0,  (0x2000000, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... -2147482580, ) }, ... -2147482580, ) == 0x0
 00420  1292   NtOpenKey  (0x80000000, {24, -2147482580, 0x240, 0, 0,  (0x80000000, {24, -2147482580, 0x240, 0, 0, "Software\Policies\Microsoft\Control Panel\Desktop"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00421  1292   NtOpenKey  (0x80000000, {24, -2147482580, 0x640, 0, 0,  (0x80000000, {24, -2147482580, 0x640, 0, 0, "Control Panel\Desktop"}, ... -2147481364, ) }, ... -2147481364, ) == 0x0
 00422  1292   NtQueryValueKey  (-2147481364,  (-2147481364, "MultiUILanguageId", Partial, 256, ... ) , Partial, 256, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00423  1292   NtClose  (-2147481364, ... ) == 0x0
 00424  1292   NtClose  (-2147482580, ... ) == 0x0
 00414  1292   NtQueryDefaultUILanguage  ... ) == 0x0
 00425  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WindowsShell.Manifest"}, 1241076, ... ) }, 1241076, ... ) == 0x0
 00426  1292   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WindowsShell.Manifest"}, 5, 96, ... 56, {status=0x0, info=1}, ) }, 5, 96, ... 56, {status=0x0, info=1}, ) == 0x0
 00427  1292   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 56, ... 60, ) == 0x0
 00428  1292   NtClose  (56, ... ) == 0x0
 00429  1292   NtMapViewOfSection  (60, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x370000), 0x0, 4096, ) == 0x0
 00430  1292   NtClose  (60, ... ) == 0x0
 00431  1292   NtUnmapViewOfSection  (-1, 0x370000, ... ) == 0x0
 00432  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WindowsShell.Manifest"}, 1240672, ... ) }, 1240672, ... ) == 0x0
 00433  1292   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 1241416,  (0x80100080, {24, 0, 0x40, 0, 1241416, "\??\C:\WINDOWS\WindowsShell.Manifest"}, 0x0, 0, 5, 1, 96, 0, 0, ... 60, {status=0x0, info=1}, ) }, 0x0, 0, 5, 1, 96, 0, 0, ... 60, {status=0x0, info=1}, ) == 0x0
 00434  1292   NtCreateSection  (0xf0005, 0x0, 0x0, 2, 134217728, 60, ... 56, ) == 0x0
 00435  1292   NtClose  (60, ... ) == 0x0
 00436  1292   NtMapViewOfSection  (56, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 2, ... (0x370000), {0, 0}, 4096, ) == 0x0
 00437  1292   NtClose  (56, ... ) == 0x0
 00438  1292   NtUnmapViewOfSection  (-1, 0x370000, ... ) == 0x0
 00439  1292   NtOpenFile  (0x1200a9, {24, 0, 0x40, 0, 0,  (0x1200a9, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WindowsShell.Manifest"}, 1, 96, ... 56, {status=0x0, info=1}, ) }, 1, 96, ... 56, {status=0x0, info=1}, ) == 0x0
 00440  1292   NtCreateSection  (0x4, 0x0, 0x0, 2, 134217728, 56, ... 60, ) == 0x0
 00441  1292   NtMapViewOfSection  (60, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 2, ... (0x370000), 0x0, 4096, ) == 0x0
 00442  1292   NtQueryInformationFile  (56, 1241068, 24, Standard, ... {status=0x0, info=24}, ) == 0x0
 00443  1292   NtOpenFile  (0x1200a9, {24, 0, 0x40, 0, 0,  (0x1200a9, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WindowsShell.Config"}, 1, 96, ... ) }, 1, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00444  1292   NtRequestWaitReplyPort  (24, {128, 156, new_msg, 0, 2088850039, 1241368, 1179817, 1241092}  (24, {128, 156, new_msg, 0, 2088850039, 1241368, 1179817, 1241092} "\210\6\31\1\33\0\1\0`\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\3\0@\0D\0\250\6\31\18\0\0\0<\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\355\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\26\0\30\0\354\6\31\1\0\0\0\0\0\0\0\0\14\365\22\0\0\0\0\0" ... {128, 156, reply, 0, 1756, 1292, 57964, 0} "\260d\27\0\33\0\1\0\0\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\3\0@\0D\0\250\6\31\18\0\0\0<\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\355\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\26\0\30\0\354\6\31\1\0\0\0\0\0\0\0\0\14\365\22\0\0\0\0\0" )  ... {128, 156, reply, 0, 1756, 1292, 57964, 0}  (24, {128, 156, new_msg, 0, 2088850039, 1241368, 1179817, 1241092} "\210\6\31\1\33\0\1\0`\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\3\0@\0D\0\250\6\31\18\0\0\0<\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\355\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\26\0\30\0\354\6\31\1\0\0\0\0\0\0\0\0\14\365\22\0\0\0\0\0" ... {128, 156, reply, 0, 1756, 1292, 57964, 0} "\260d\27\0\33\0\1\0\0\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\3\0@\0D\0\250\6\31\18\0\0\0<\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\355\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\26\0\30\0\354\6\31\1\0\0\0\0\0\0\0\0\14\365\22\0\0\0\0\0" )  ) == 0x0
 00445  1292   NtClose  (56, ... ) == 0x0
 00446  1292   NtClose  (60, ... ) == 0x0
 00447  1292   NtUnmapViewOfSection  (-1, 0x370000, ... ) == 0x0
 00448  1292   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00449  1292   NtUserRegisterWindowMessage  ( ("ShellGetDragImage", ... ) , ... ) == 0xc03a
 00450  1292   NtUserSystemParametersInfo  (104, 0, 2001084812, 0, ... ) == 0x1
 00451  1292   NtUserGetDC  (0, ... ) == 0x1010051
 00452  1292   NtUserCallOneParam  (16842833, 57, ... ) == 0x1
 00453  1292   NtUserSystemParametersInfo  (38, 4, 2001086940, 0, ... ) == 0x1
 00454  1292   NtUserSystemParametersInfo  (66, 12, 1243068, 0, ... ) == 0x1
 00455  1292   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00456  1292   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 60, ) == 0x0
 00457  1292   NtQueryInformationToken  (60, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00458  1292   NtClose  (60, ... ) == 0x0
 00459  1292   NtOpenKey  (0x20019, {24, 0, 0x640, 0, 0,  (0x20019, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... 60, ) }, ... 60, ) == 0x0
 00460  1292   NtOpenProcessToken  (-1, 0x8, ... 56, ) == 0x0
 00461  1292   NtAccessCheck  (1395704, 56, 0x1, 1242900, 1242952, 56, 1242932, ... ) == STATUS_NO_IMPERSONATION_TOKEN
 00462  1292   NtClose  (56, ... ) == 0x0
 00463  1292   NtOpenKey  (0x20019, {24, 60, 0x40, 0, 0,  (0x20019, {24, 60, 0x40, 0, 0, "Control Panel\Desktop"}, ... 56, ) }, ... 56, ) == 0x0
 00464  1292   NtQueryValueKey  (56,  (56, "SmoothScroll", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00465  1292   NtClose  (56, ... ) == 0x0
 00466  1292   NtUserSystemParametersInfo  (41, 500, 1243096, 0, ... ) == 0x1
 00467  1292   NtOpenProcessToken  (-1, 0x8, ... 56, ) == 0x0
 00468  1292   NtAccessCheck  (1395704, 56, 0x1, 1242900, 1242952, 56, 1242932, ... ) == STATUS_NO_IMPERSONATION_TOKEN
 00469  1292   NtClose  (56, ... ) == 0x0
 00470  1292   NtOpenKey  (0x20019, {24, 60, 0x40, 0, 0,  (0x20019, {24, 60, 0x40, 0, 0, "software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"}, ... 56, ) }, ... 56, ) == 0x0
 00471  1292   NtQueryValueKey  (56,  (56, "EnableBalloonTips", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00472  1292   NtClose  (56, ... ) == 0x0
 00473  1292   NtUserSystemParametersInfo  (27, 0, 2001085788, 0, ... ) == 0x1
 00474  1292   NtUserSystemParametersInfo  (102, 0, 2001086828, 0, ... ) == 0x1
 00475  1292   NtClose  (60, ... ) == 0x0
 00476  1292   NtUserSystemParametersInfo  (4130, 0, 1243600, 0, ... ) == 0x1
 00477  1292   NtOpenKey  (0x1, {24, 32, 0x40, 0, 0,  (0x1, {24, 32, 0x40, 0, 0, "Software\Microsoft\Windows NT\CurrentVersion\LanguagePack"}, ... 60, ) }, ... 60, ) == 0x0
 00478  1292   NtEnumerateValueKey  (60, 0, Full, 220, ... ) == STATUS_NO_MORE_ENTRIES
 00479  1292   NtClose  (60, ... ) == 0x0
 00480  1292   NtAllocateVirtualMemory  (-1, 1396736, 0, 4096, 4096, 4, ... 1396736, 4096, ) == 0x0
 00481  1292   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00482  1292   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x816dc03b
 00483  1292   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x816dc03d
 00484  1292   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00485  1292   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x816dc03f
 00486  1292   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00487  1292   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x816dc041
 00488  1292   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00489  1292   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x816dc043
 00490  1292   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x816dc045
 00491  1292   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00492  1292   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x816dc047
 00493  1292   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00494  1292   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x816dc049
 00495  1292   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00496  1292   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x816dc04b
 00497  1292   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00498  1292   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x816dc04d
 00499  1292   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00500  1292   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x816dc04f
 00501  1292   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x816dc051
 00502  1292   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00503  1292   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x816dc053
 00504  1292   NtUserFindExistingCursorIcon  (1242844, 1242860, 1242908, ... ) == 0x10011
 00505  1292   NtUserRegisterClassExWOW  (1242788, 1242856, 1242872, 1242888, 0, 384, 0, ... ) == 0x816dc055
 00506  1292   NtUserFindExistingCursorIcon  (1242844, 1242860, 1242908, ... ) == 0x10011
 00507  1292   NtUserRegisterClassExWOW  (1242788, 1242856, 1242872, 1242888, 0, 384, 0, ... ) == 0x816dc057
 00508  1292   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00509  1292   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x816dc059
 00510  1292   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10013
 00511  1292   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x816dc05b
 00512  1292   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00513  1292   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x816dc05d
 00514  1292   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00515  1292   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x816dc05f
 00516  1292   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00517  1292   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x816dc017
 00518  1292   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00519  1292   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x816dc019
 00520  1292   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10013
 00521  1292   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x816dc018
 00522  1292   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00523  1292   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x816dc01a
 00524  1292   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00525  1292   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x816dc01c
 00526  1292   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00527  1292   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x816dc01e
 00528  1292   NtUserFindExistingCursorIcon  (1242840, 1242856, 1242904, ... ) == 0x10011
 00529  1292   NtUserRegisterClassExWOW  (1242840, 1242908, 1242924, 1242940, 0, 384, 0, ... ) == 0x816dc01b
 00530  1292   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00531  1292   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x816dc068
 00532  1292   NtUserFindExistingCursorIcon  (1242848, 1242864, 1242912, ... ) == 0x10011
 00533  1292   NtUserRegisterClassExWOW  (1242792, 1242860, 1242876, 1242892, 0, 384, 0, ... ) == 0x816dc06a
 00534  1292   NtOpenKey  (0x1, {24, 32, 0x40, 0, 0,  (0x1, {24, 32, 0x40, 0, 0, "SYSTEM\Setup"}, ... 60, ) }, ... 60, ) == 0x0
 00535  1292   NtQueryValueKey  (60,  (60, "SystemSetupInProgress", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 144, ... TitleIdx=0, Type=4, Data= (60, "SystemSetupInProgress", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 00536  1292   NtClose  (60, ... ) == 0x0
 00537  1292   NtQueryDefaultUILanguage  (1241692, ...
 00538  1292   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00539  1292   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... -2147482580, ) == 0x0
 00540  1292   NtQueryInformationToken  (-2147482580, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00541  1292   NtClose  (-2147482580, ... ) == 0x0
 00542  1292   NtOpenKey  (0x2000000, {24, 0, 0x640, 0, 0,  (0x2000000, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... -2147482580, ) }, ... -2147482580, ) == 0x0
 00543  1292   NtOpenKey  (0x80000000, {24, -2147482580, 0x240, 0, 0,  (0x80000000, {24, -2147482580, 0x240, 0, 0, "Software\Policies\Microsoft\Control Panel\Desktop"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00544  1292   NtOpenKey  (0x80000000, {24, -2147482580, 0x640, 0, 0,  (0x80000000, {24, -2147482580, 0x640, 0, 0, "Control Panel\Desktop"}, ... -2147481364, ) }, ... -2147481364, ) == 0x0
 00545  1292   NtQueryValueKey  (-2147481364,  (-2147481364, "MultiUILanguageId", Partial, 256, ... ) , Partial, 256, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00546  1292   NtClose  (-2147481364, ... ) == 0x0
 00547  1292   NtClose  (-2147482580, ... ) == 0x0
 00537  1292   NtQueryDefaultUILanguage  ... ) == 0x0
 00548  1292   NtOpenFile  (0x1200a9, {24, 0, 0x40, 0, 0,  (0x1200a9, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\SHELL32.dll"}, 1, 96, ... 60, {status=0x0, info=1}, ) }, 1, 96, ... 60, {status=0x0, info=1}, ) == 0x0
 00549  1292   NtCreateSection  (0x4, 0x0, 0x0, 2, 134217728, 60, ... 56, ) == 0x0
 00550  1292   NtMapViewOfSection  (56, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 2, ... (0x930000), 0x0, 8462336, ) == 0x0
 00551  1292   NtOpenFile  (0x1200a9, {24, 0, 0x40, 0, 0,  (0x1200a9, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\SHELL32.dll.124.Manifest"}, 1, 96, ... ) }, 1, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00552  1292   NtQueryDefaultUILanguage  (2090319928, ...
 00553  1292   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00554  1292   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... -2147482580, ) == 0x0
 00555  1292   NtQueryInformationToken  (-2147482580, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00556  1292   NtClose  (-2147482580, ... ) == 0x0
 00557  1292   NtOpenKey  (0x2000000, {24, 0, 0x640, 0, 0,  (0x2000000, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... -2147482580, ) }, ... -2147482580, ) == 0x0
 00558  1292   NtOpenKey  (0x80000000, {24, -2147482580, 0x240, 0, 0,  (0x80000000, {24, -2147482580, 0x240, 0, 0, "Software\Policies\Microsoft\Control Panel\Desktop"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00559  1292   NtOpenKey  (0x80000000, {24, -2147482580, 0x640, 0, 0,  (0x80000000, {24, -2147482580, 0x640, 0, 0, "Control Panel\Desktop"}, ... -2147481364, ) }, ... -2147481364, ) == 0x0
 00560  1292   NtQueryValueKey  (-2147481364,  (-2147481364, "MultiUILanguageId", Partial, 256, ... ) , Partial, 256, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00561  1292   NtClose  (-2147481364, ... ) == 0x0
 00562  1292   NtClose  (-2147482580, ... ) == 0x0
 00552  1292   NtQueryDefaultUILanguage  ... ) == 0x0
 00563  1292   NtQueryInstallUILanguage  (2090319930, ... ) == 0x0
 00564  1292   NtQueryDefaultLocale  (1, 1239788, ... ) == 0x0
 00565  1292   NtOpenFile  (0x1200a9, {24, 0, 0x40, 0, 0,  (0x1200a9, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\SHELL32.dll.124.Config"}, 1, 96, ... ) }, 1, 96, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00566  1292   NtRequestWaitReplyPort  (24, {128, 156, new_msg, 0, 2088850039, 1240824, 1179817, 1240548}  (24, {128, 156, new_msg, 0, 2088850039, 1240824, 1179817, 1240548} "\210\6\31\1\33\0\1\0`\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\1\0>\0@\0\250\6\31\1<\0\0\0\377\377\377\377\0\0\0\0@ \266\0\0\0\0\0\236\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0(\0,\0\350\6\31\1\0\0\0\0\0\0\0\0\354\362\22\0\0\0\0\0" ... {128, 156, reply, 0, 1756, 1292, 57967, 0} "\300\270\26\0\33\0\1\0\0\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\1\0>\0@\0\250\6\31\1<\0\0\0\377\377\377\377\0\0\0\0@ \266\0\0\0\0\0\236\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0(\0,\0\350\6\31\1\0\0\0\0\0\0\0\0\354\362\22\0\0\0\0\0" )  ... {128, 156, reply, 0, 1756, 1292, 57967, 0}  (24, {128, 156, new_msg, 0, 2088850039, 1240824, 1179817, 1240548} "\210\6\31\1\33\0\1\0`\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\1\0>\0@\0\250\6\31\1<\0\0\0\377\377\377\377\0\0\0\0@ \266\0\0\0\0\0\236\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0(\0,\0\350\6\31\1\0\0\0\0\0\0\0\0\354\362\22\0\0\0\0\0" ... {128, 156, reply, 0, 1756, 1292, 57967, 0} "\300\270\26\0\33\0\1\0\0\0\0\0\0\0\0\0\1\0\0\0\0\0\11\4\1\1\1\0>\0@\0\250\6\31\1<\0\0\0\377\377\377\377\0\0\0\0@ \266\0\0\0\0\0\236\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0(\0,\0\350\6\31\1\0\0\0\0\0\0\0\0\354\362\22\0\0\0\0\0" )  ) == 0x0
 00567  1292   NtClose  (60, ... ) == 0x0
 00568  1292   NtClose  (56, ... ) == 0x0
 00569  1292   NtUnmapViewOfSection  (-1, 0x930000, ... ) == 0x0
 00570  1292   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00571  1292   NtOpenKey  (0x8, {24, 0, 0x40, 0, 0,  (0x8, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows\CurrentVersion\SideBySide\AssemblyStorageRoots"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00572  1292   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00573  1292   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00574  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\u:\work\packed.exe.Local\"}, 1238980, ... ) }, 1238980, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00575  1292   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00576  1292   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00577  1292   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00578  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03"}, 1239044, ... ) }, 1239044, ... ) == 0x0
 00579  1292   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03"}, 3, 33, ... 56, {status=0x0, info=1}, ) }, 3, 33, ... 56, {status=0x0, info=1}, ) == 0x0
 00580  1292   NtQueryDebugFilterState  (53, 2, ... ) == 0x0
 00581  1292   NtOpenFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\Device\KsecDD"}, 7, 16, ... 60, {status=0x0, info=0}, ) }, 7, 16, ... 60, {status=0x0, info=0}, ) == 0x0
 00582  1292   NtDeviceIoControlFile  (60, 0, 0x0, 0x0, 0x390008,  (60, 0, 0x0, 0x0, 0x390008, "\256\250\234(%\307pH\264\246a\261A>J\273\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 00583  1292   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 00584  1292   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 00585  1292   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 00586  1292   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 00587  1292   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 00588  1292   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 00589  1292   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 00590  1292   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147482580, 2, ) }, 0, 0x0, 0, ... -2147482580, 2, ) == 0x0
 00591  1292   NtSetValueKey  (-2147482580,  (-2147482580, "Seed", 0, 3, "&\3540A\207\247.l\346\220\343\262X\244\7\364~\350R\332\3061]*\355n\\357P\221, 80, ... ) , 0, 3,  (-2147482580, "Seed", 0, 3, "&\3540A\207\247.l\346\220\343\262X\244\7\364~\350R\332\3061]*\355n\\357P\221, 80, ... ) , 80, ... ) == 0x0
 00592  1292   NtClose  (-2147482580, ... ) == 0x0
 00582  1292   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "\255\205V\273\205I\253\316fVyiyJ\12\0\334\340\360\20\201b\344\24No{\302\253\254\321w}\221\6\217'\270\322\261F\346L\230D\260_\3\314v\2510l\266!\252y)\203\227\1776\371\352bb\327Kf\14\350\260\236\310xP\24\17j\304\340F 5J6^\Zk\317'LaK\310\241\335\351q\330\236\356|\314~St;br\320\224R:\213l\334\332Z\11\273Rt\365\334\262LI\354\322\301\253$j\330%k\272`l\177\360\210\2774\241N\\22y\21\304\2661s\35\331 ?g\305\33\322\316\270\315\250\357r\267\277YXPp@V\256+6\334\322]W\365\373\240G\206\324\254W\340a\37C\267\362\304\202\370U\3x`\26\220\177\242\246\342\251\234*\251\260\237\324o4s\233\205\347\2440Kk\231\242\235?\272E!z\300#\2667\2004Z\267\266n,\245&\233bF\3116\201", ) , ) == 0x0
 00593  1292   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00594  1292   NtQuerySystemInformation  (Processor, 12, ... {system info, class 1, size 12}, 0x0, ) == 0x0
 00595  1292   NtOpenKey  (0x20019, {24, 32, 0x40, 0, 0,  (0x20019, {24, 32, 0x40, 0, 0, "SYSTEM\CurrentControlSet\Control\Session Manager"}, ... 64, ) }, ... 64, ) == 0x0
 00596  1292   NtQueryValueKey  (64,  (64, "CriticalSectionTimeout", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\215'\0"}, 16, ) , Partial, 144, ... TitleIdx=0, Type=4, Data= (64, "CriticalSectionTimeout", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\215'\0"}, 16, ) }, 16, ) == 0x0
 00597  1292   NtClose  (64, ... ) == 0x0
 00598  1292   NtOpenKey  (0x20019, {24, 32, 0x40, 0, 0,  (0x20019, {24, 32, 0x40, 0, 0, "Software\Microsoft\Ole"}, ... 64, ) }, ... 64, ) == 0x0
 00599  1292   NtQueryValueKey  (64,  (64, "RWLockResourceTimeOut", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00600  1292   NtClose  (64, ... ) == 0x0
 00601  1292   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00602  1292   NtQuerySystemInformation  (Processor, 12, ... {system info, class 1, size 12}, 0x0, ) == 0x0
 00603  1292   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00604  1292   NtQuerySystemInformation  (Processor, 12, ... {system info, class 1, size 12}, 0x0, ) == 0x0
 00605  1292   NtAllocateVirtualMemory  (-1, 1400832, 0, 4096, 4096, 4, ... 1400832, 4096, ) == 0x0
 00606  1292   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Classes\Interface"}, ... 64, ) }, ... 64, ) == 0x0
 00607  1292   NtQueryValueKey  (64,  (64, "InterfaceHelperDisableAll", Full, 0, ... ) , Full, 0, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00608  1292   NtQueryValueKey  (64,  (64, "InterfaceHelperDisableAllForOle32", Full, 0, ... ) , Full, 0, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00609  1292   NtQueryValueKey  (64,  (64, "InterfaceHelperDisableTypeLib", Full, 0, ... ) , Full, 0, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00610  1292   NtClose  (64, ... ) == 0x0
 00611  1292   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Classes\Interface\{00020400-0000-0000-C000-000000000046}"}, ... 64, ) }, ... 64, ) == 0x0
 00612  1292   NtQueryValueKey  (64,  (64, "InterfaceHelperDisableAll", Full, 0, ... ) , Full, 0, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00613  1292   NtQueryValueKey  (64,  (64, "InterfaceHelperDisableAllForOle32", Full, 0, ... ) , Full, 0, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00614  1292   NtClose  (64, ... ) == 0x0
 00615  1292   NtOpenEvent  (0x1f0003, {24, 48, 0x0, 0, 0,  (0x1f0003, {24, 48, 0x0, 0, 0, "HookSwitchHookEnabledEvent"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00616  1292   NtTestAlert  (... ) == 0x0
 00617  1292   NtContinue  (1244464, 1, ...
 00618  1292   NtSetInformationThread  (-2, Win32StartAddress(LpcReceivedMessageId), {StartAddress(LpcReceivedMsgId)=0x403962,}, 4, ... ) == 0x0
 00619  1292   NtQueryVirtualMemory  (-1, 0x4079aa, Basic, 28, ... {BaseAddress=0x407000,AllocationBase=0x400000,AllocationProtect=0x80,RegionSize=0x2000,State=0x1000,Protect=0x20,Type=0x1000000,}, 28, ) == 0x0
 00620  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\u:\work\talkback.exe"}, 1244624, ... ) }, 1244624, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00621  1292   NtOpenKey  (0x1, {24, 32, 0x40, 0, 0,  (0x1, {24, 32, 0x40, 0, 0, "Software\America Online\Loader"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00622  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\rpcss.dll"}, 1242592, ... ) }, 1242592, ... ) == 0x0
 00623  1292   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\rpcss.dll"}, 5, 96, ... 64, {status=0x0, info=1}, ) }, 5, 96, ... 64, {status=0x0, info=1}, ) == 0x0
 00624  1292   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 64, ... 68, ) == 0x0
 00625  1292   NtClose  (64, ... ) == 0x0
 00626  1292   NtMapViewOfSection  (68, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x390000), 0x0, 401408, ) == 0x0
 00627  1292   NtClose  (68, ... ) == 0x0
 00628  1292   NtUnmapViewOfSection  (-1, 0x390000, ... ) == 0x0
 00629  1292   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00630  1292   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00631  1292   NtQuerySystemInformation  (Basic, 44, ... {Unknown=0,MaximumIncrement=156250,PhysicalPageSize=0x1000,NumberOfPhysicalPages=0xff7c,LowestPhysicalPage=0x1,HighestPhysicalPage=0xffff,AllocationGranularity=0x10000,LowestUserAddress=0x10000,HighestUserAddress=0x7ffeffff,ActiveProcessors=1,NumberProcessors=1,}, 0x0, ) == 0x0
 00632  1292   NtDeviceIoControlFile  (60, 0, 0x0, 0x0, 0x390008,  (60, 0, 0x0, 0x0, 0x390008, "\256\250\234(%\307pe\3152V9l\244\1\23\14\232h\17\240\203\201\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 00633  1292   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 00634  1292   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 00635  1292   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 00636  1292   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 00637  1292   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 00638  1292   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 00639  1292   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 00640  1292   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147482580, 2, ) }, 0, 0x0, 0, ... -2147482580, 2, ) == 0x0
 00641  1292   NtSetValueKey  (-2147482580,  (-2147482580, "Seed", 0, 3, ",wS\305)\12\357\314\23\212ex^}\374=~\34\337\203\317g+P\244\242\11l\356\210\263\365\363;e\261u\326q\2445\1yV\303h=\215\247\223\312\373\346b\226\242\224\266\352\252N\277A\34\\251\350\223\214\377\330\222x\10y\303\315\311\325\205", 80, ... ) , 0, 3,  (-2147482580, "Seed", 0, 3, ",wS\305)\12\357\314\23\212ex^}\374=~\34\337\203\317g+P\244\242\11l\356\210\263\365\363;e\261u\326q\2445\1yV\303h=\215\247\223\312\373\346b\226\242\224\266\352\252N\277A\34\\251\350\223\214\377\330\222x\10y\303\315\311\325\205", 80, ... ) , 80, ... ) == 0x0
 00642  1292   NtClose  (-2147482580, ... ) == 0x0
 00632  1292   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "\227\366\211K\210%\203\233\314t\215\241\371\326\247\222W\267t\2273\217\241p\373}\227\223\235\270+\10E\324\217\5\13JyY8c<\303\307\237'\370t\177\30\306nh\276\17\32a\377\212\374\4\245\250'q|\34\236PgP\375T\304%+F\263\224}\225\253\216\267\17]\224ZW\20\274$IZ\347\354\227,\263\311[\211\304*\207\32\200p\364E\230\252YNB\312AT\322\21=\365Dq0\362\317\214p\347!\257S\224\201\266\341\241\206\275q(\222o\32F\333\350r\204\14\375\223/2\316n\250\265!\261e\233\14\4\317\275b\204`\314UyS\350\365\344\345%\363{\274-\376\227\212\255R\366\262\22\4\266\312\2310\23Yy\20\226\264Y\276\365\311H\311d\336K\312Z\310\231\260Uj\343\244\240t#gzu\346\25\213;\357\20"\371\250.\345\273\21\354\262\204v\377\\10\16\362\343\37\315\337\212\2312", ) \371\250.\345\273\21\354\262\204v\377\\10\16\362\343\37\315\337\212\2312", ) == 0x0
 00643  1292   NtDeviceIoControlFile  (60, 0, 0x0, 0x0, 0x390008,  (60, 0, 0x0, 0x0, 0x390008, "\256\250\234(%\307pe\3152V9l\244,j\230\255\340":\310)\14\232h\17\240\203\201\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... :\310)\14\232h\17\240\203\201\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ...
 00644  1292   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 00645  1292   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 00646  1292   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 00647  1292   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 00648  1292   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 00649  1292   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 00650  1292   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 00651  1292   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147482580, 2, ) }, 0, 0x0, 0, ... -2147482580, 2, ) == 0x0
 00652  1292   NtSetValueKey  (-2147482580,  (-2147482580, "Seed", 0, 3, "\376K\261O\333\13j\270\346I\245;QjQ\254G\210\361\226C\204+.\245\2\3361C\363\177m\3322\233\326\321\320Rk\252\257\277\15\2", 80, ... ) , 0, 3,  (-2147482580, "Seed", 0, 3, "\376K\261O\333\13j\270\346I\245;QjQ\254G\210\361\226C\204+.\245\2\3361C\363\177m\3322\233\326\321\320Rk\252\257\277\15\2", 80, ... ) C\363\177m\3322\233\326\321\320Rk\252\257\277\15\2", 80, ... ) == 0x0
 00653  1292   NtClose  (-2147482580, ... ) == 0x0
 00643  1292   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "\217\374Y\24T\206\212!\203\351]9\340C~\3\352\24\30\333\321v:\377\255g Tt\312h6t\304\235b\260\301\256\215\224\314\360\275\372\375f\26$$\305:\10\7z\233\257\377,\343\321\213\355\266\1\2074\330\331\232\6\341z|A\332\15\316n\320\360&|~h\235\10\302\260\341\351\6A3\225\10DV30\276f\337:\332k#\30P\305\263w\356B\7\24\340\21\336\336\23\350\223\242\370\355e\253\3607\254\310\14]\213\6\23\325\30\3771\277+\366\2\24\30=4\321\256|\367\347!\10B\1l\230:'L\203\367*T\252\25\320\232\323'\321L\210m\321\1\210]'\224h\317\246\264)\300\335\1777\327\334i\202\231\4\253.\377\31F\301\326\226\362\23\350=\265\30\17\177\12y\254P\266\375\305d;\240\200\351\317\336\271\354B`}\213\225c\346\14\236\347-\220J\17N\3279\226\264\321-\244(6", ) , ) == 0x0
 00654  1292   NtDeviceIoControlFile  (60, 0, 0x0, 0x0, 0x390008,  (60, 0, 0x0, 0x0, 0x390008, "\256\250\234(%\307pe\3152V9l\244,j\230\255\340":\345P\230\255\340":\310)\14\232h\17\240\203\201\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... :\345P\230\255\340 (60, 0, 0x0, 0x0, 0x390008, "\256\250\234(%\307pe\3152V9l\244,j\230\255\340":\345P\230\255\340":\310)\14\232h\17\240\203\201\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 00655  1292   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 00656  1292   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 00657  1292   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 00658  1292   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 00659  1292   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 00660  1292   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 00661  1292   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 00662  1292   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147482580, 2, ) }, 0, 0x0, 0, ... -2147482580, 2, ) == 0x0
 00663  1292   NtSetValueKey  (-2147482580,  (-2147482580, "Seed", 0, 3, "q\313O\200Q\241\202\177\270\341\374x\224\273o9N\255G\347\\300\264\217IN\333\210h\214\211\322\343\214\247\262\3\277T\324\355\3172\344\12k\10S\270\26E'\3u\221\337\14\6\325ZZ\214e>\375\335b\356\24\201 \271\316\24"\240\337\177\274", 80, ... ) , 0, 3,  (-2147482580, "Seed", 0, 3, "q\313O\200Q\241\202\177\270\341\374x\224\273o9N\255G\347\\300\264\217IN\333\210h\214\211\322\343\214\247\262\3\277T\324\355\3172\344\12k\10S\270\26E'\3u\221\337\14\6\325ZZ\214e>\375\335b\356\24\201 \271\316\24"\240\337\177\274", 80, ... ) \240\337\177\274", 80, ... ) == 0x0
 00664  1292   NtClose  (-2147482580, ... ) == 0x0
 00654  1292   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "a\276t\204\301\206\26N\220\34\361\342\245\325e\14\206\322\376i\331\343c^{p\330\213 \325\343h\200\271\236\313\262\322}Cfe\342\353"<\333u\220\245\346]\261\12\21\223CJaW\341\207G\251\256\265\353&\300\373\26\1\247\26^\264\346\256;\201\202\267&<\216\305\276\327(\270^}e\4\244%\320\317\315t\306\220\3031qG\300}\37\240&/\267\33\344\214'\323\371`c\201\302\263G\262\366\330Da\2147|!\207y=\2\370\20`7,J\352\2M\224\357=n\310\312r\266R$\36\227\32\371\336\13^\245Q\226W\226\370\2555\15\264IBh\247Y\237\245B\366\255\342\36\216\5?S\331.1\263\340\206\203\214j\251\37K\37*\4\273Jt\236[(\317\277\230\35\265\30\373\342BD\372"B\317\307%qE\204\231{\370!1\159)\367\301b\377:\11\314\315\244\177.Z2\345nf\272\200", ) <\333u\220\245\346]\261\12\21\223CJaW\341\207G\251\256\265\353&\300\373\26\1\247\26^\264\346\256;\201\202\267&<\216\305\276\327(\270^}e\4\244%\320\317\315t\306\220\3031qG\300}\37\240&/\267\33\344\214'\323\371`c\201\302\263G\262\366\330Da\2147|!\207y=\2\370\20`7,J\352\2M\224\357=n\310\312r\266R$\36\227\32\371\336\13^\245Q\226W\226\370\2555\15\264IBh\247Y\237\245B\366\255\342\36\216\5?S\331.1\263\340\206\203\214j\251\37K\37*\4\273Jt\236[(\317\277\230\35\265\30\373\342BD\372 ... {status=0x0, info=256}, "a\276t\204\301\206\26N\220\34\361\342\245\325e\14\206\322\376i\331\343c^{p\330\213 \325\343h\200\271\236\313\262\322}Cfe\342\353"<\333u\220\245\346]\261\12\21\223CJaW\341\207G\251\256\265\353&\300\373\26\1\247\26^\264\346\256;\201\202\267&<\216\305\276\327(\270^}e\4\244%\320\317\315t\306\220\3031qG\300}\37\240&/\267\33\344\214'\323\371`c\201\302\263G\262\366\330Da\2147|!\207y=\2\370\20`7,J\352\2M\224\357=n\310\312r\266R$\36\227\32\371\336\13^\245Q\226W\226\370\2555\15\264IBh\247Y\237\245B\366\255\342\36\216\5?S\331.1\263\340\206\203\214j\251\37K\37*\4\273Jt\236[(\317\277\230\35\265\30\373\342BD\372"B\317\307%qE\204\231{\370!1\159)\367\301b\377:\11\314\315\244\177.Z2\345nf\272\200", ) , ) == 0x0
 00665  1292   NtDeviceIoControlFile  (60, 0, 0x0, 0x0, 0x390008,  (60, 0, 0x0, 0x0, 0x390008, "\256\250\234(%\307pe\3152V9l\244,j\230\255\340":\345P\230\255\340":\345P\230\255\340":\310)\14\232h\17\240\203\201\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... :\345P\230\255\340 (60, 0, 0x0, 0x0, 0x390008, "\256\250\234(%\307pe\3152V9l\244,j\230\255\340":\345P\230\255\340":\345P\230\255\340":\310)\14\232h\17\240\203\201\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... :\310)\14\232h\17\240\203\201\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ...
 00666  1292   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 00667  1292   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 00668  1292   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 00669  1292   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 00670  1292   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 00671  1292   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 00672  1292   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 00673  1292   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147482580, 2, ) }, 0, 0x0, 0, ... -2147482580, 2, ) == 0x0
 00674  1292   NtSetValueKey  (-2147482580,  (-2147482580, "Seed", 0, 3, "\262`;^\350\2764\232uJ\11\335\252\V\377\2\15{\364o\357\223(<\355O\26R\272q/\353\306\277\217\241\3773*\351\0\346IN\351a^\37\32\336,Z>\212\231\211^\344\304\2A\21"\25j\231\241\330\266\324\277\330w\35.~\251\255\352", 80, ... ) , 0, 3,  (-2147482580, "Seed", 0, 3, "\262`;^\350\2764\232uJ\11\335\252\V\377\2\15{\364o\357\223(<\355O\26R\272q/\353\306\277\217\241\3773*\351\0\346IN\351a^\37\32\336,Z>\212\231\211^\344\304\2A\21"\25j\231\241\330\266\324\277\330w\35.~\251\255\352", 80, ... ) \25j\231\241\330\266\324\277\330w\35.~\251\255\352", 80, ... ) == 0x0
 00675  1292   NtClose  (-2147482580, ... ) == 0x0
 00665  1292   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "le\36e\330zy\320\336\204\324\262:\310\2221\230ia<\267\305\377\246\202\276Hf\342J\270U\3627YY\365~u!\330\25\276tZ\3321\273<\200k\330\241r9*IeB\345\302^\311\332\273\21\312\370\361\276\13\261\341YCy\36\277\326\17\327\257\277\22\316k\353\341%\367A-\310\252`^\20\242bn\15\11k\333\242\34\3512\325/\337 \252\260\10\224h\6\373\320\177\337G0Q\12w*\10\24\206\177v\351\352{\224\260\0;F\333\353\313\247\22R3\202\361\277\242Yc\255zja\263\272\36\5\214D\214)\236\224\357"\377\200\300HP\272\206\342\325\267\272\13L\36^6\262\270\300`\337\332n]\26+u~a\22 \333k\312\336\2209\2.\321\4 D\350\16\324P{o\360\302\207hf\222\302?\334\310B9\4\2278\10\25H,c\272\234|\301\211%\370<\1;\12\305\361Z\232]\257", ) \377\200\300HP\272\206\342\325\267\272\13L\36^6\262\270\300`\337\332n]\26+u~a\22 \333k\312\336\2209\2.\321\4 D\350\16\324P{o\360\302\207hf\222\302?\334\310B9\4\2278\10\25H,c\272\234|\301\211%\370<\1;\12\305\361Z\232]\257", ) == 0x0
 00676  1292   NtDeviceIoControlFile  (60, 0, 0x0, 0x0, 0x390008,  (60, 0, 0x0, 0x0, 0x390008, "\256\250\234(%\307pe\3152V9l\244,j\230\255\340":\345P\230\255\340":\345P\230\255\340":\345P\230\255\340":\310)\14\232h\17\240\203\201\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... :\345P\230\255\340 (60, 0, 0x0, 0x0, 0x390008, "\256\250\234(%\307pe\3152V9l\244,j\230\255\340":\345P\230\255\340":\345P\230\255\340":\345P\230\255\340":\310)\14\232h\17\240\203\201\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... :\345P\230\255\340 (60, 0, 0x0, 0x0, 0x390008, "\256\250\234(%\307pe\3152V9l\244,j\230\255\340":\345P\230\255\340":\345P\230\255\340":\345P\230\255\340":\310)\14\232h\17\240\203\201\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 00677  1292   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 00678  1292   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 00679  1292   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 00680  1292   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 00681  1292   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 00682  1292   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 00683  1292   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 00684  1292   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147482580, 2, ) }, 0, 0x0, 0, ... -2147482580, 2, ) == 0x0
 00685  1292   NtSetValueKey  (-2147482580,  (-2147482580, "Seed", 0, 3, "\243\360G\205l\305\261V r\355\326w\376r\0c\344\321,2\253\22l\17\3039B\314\2658\353\215\315\203\306\347l\201L\375l\367\314E\321\361rg\255\303Ta)\225, 80, ... ) , 0, 3,  (-2147482580, "Seed", 0, 3, "\243\360G\205l\305\261V r\355\326w\376r\0c\344\321,2\253\22l\17\3039B\314\2658\353\215\315\203\306\347l\201L\375l\367\314E\321\361rg\255\303Ta)\225, 80, ... ) , 80, ... ) == 0x0
 00686  1292   NtClose  (-2147482580, ... ) == 0x0
 00676  1292   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "P\223i@\23d\6\361\312G\232H\362\263\250\32\21s\265u\244\262%s\302\215\3635\347R\355\36\31>1?N\245\5\20\4v\14\310s\224\3312\11P&<\315\7 \177\302\344\3506\313\15+\251q^\232u\353\234:@T\17G\36;\260\260\222_\351X\3512Y\367H\3046"\347\262o\0\142Y`\325\225E\340kB\257\341\371(\353\212\354+q83\255\331\213\335\305qU7E\35z\36E5\246+\1\334D\317\205\377\206\255r\312\367\347(\334\214\271\342\252\222;\211\16%B\16\12\355Gy\351/\36\222{'\256s6\273ky\10\\351\215\317\356gc\313x\5\230\264\366o\257\24wk\3018\3410\212VW^\21\10\232C\277\247\230Js3\324I\247\367\2409\204\252\24\207\313\313M\260kY:\34\323\246\374\366\341v\32nD\22w\36\311\355\335\1\22318\3269Y\30\364`|o\225", ) \347\262o\0\142Y`\325\225E\340kB\257\341\371(\353\212\354+q83\255\331\213\335\305qU7E\35z\36E5\246+\1\334D\317\205\377\206\255r\312\367\347(\334\214\271\342\252\222;\211\16%B\16\12\355Gy\351/\36\222{'\256s6\273ky\10\\351\215\317\356gc\313x\5\230\264\366o\257\24wk\3018\3410\212VW^\21\10\232C\277\247\230Js3\324I\247\367\2409\204\252\24\207\313\313M\260kY:\34\323\246\374\366\341v\32nD\22w\36\311\355\335\1\22318\3269Y\30\364`|o\225", ) == 0x0
 00687  1292   NtDeviceIoControlFile  (60, 0, 0x0, 0x0, 0x390008,  (60, 0, 0x0, 0x0, 0x390008, "\256\250\234(%\307pe\3152V9l\244,j\230\255\340":\345P\230\255\340":\345P\230\255\340":\345P\230\255\340":\345P\230\255\340":\310)\14\232h\17\240\203\201\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... :\345P\230\255\340 (60, 0, 0x0, 0x0, 0x390008, "\256\250\234(%\307pe\3152V9l\244,j\230\255\340":\345P\230\255\340":\345P\230\255\340":\345P\230\255\340":\345P\230\255\340":\310)\14\232h\17\240\203\201\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... :\345P\230\255\340 (60, 0, 0x0, 0x0, 0x390008, "\256\250\234(%\307pe\3152V9l\244,j\230\255\340":\345P\230\255\340":\345P\230\255\340":\345P\230\255\340":\345P\230\255\340":\310)\14\232h\17\240\203\201\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... :\310)\14\232h\17\240\203\201\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ...
 00688  1292   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 00689  1292   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 00690  1292   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 00691  1292   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 00692  1292   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 00693  1292   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 00694  1292   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 00695  1292   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147482580, 2, ) }, 0, 0x0, 0, ... -2147482580, 2, ) == 0x0
 00696  1292   NtSetValueKey  (-2147482580,  (-2147482580, "Seed", 0, 3, "D\10\317\23\5&cDyT\213@\212g\277\207r\207\212\335\202\30>G\332P\353\204\263\30\324\20\225\27\300\254\17\247\357m&J\261#;\333\313\35\315\240\332{*\360'\4,#\376\210\373`V\2249\377M\276\177\241\3\243\267f\5\37'n.", 80, ... ) , 0, 3,  (-2147482580, "Seed", 0, 3, "D\10\317\23\5&cDyT\213@\212g\277\207r\207\212\335\202\30>G\332P\353\204\263\30\324\20\225\27\300\254\17\247\357m&J\261#;\333\313\35\315\240\332{*\360'\4,#\376\210\373`V\2249\377M\276\177\241\3\243\267f\5\37'n.", 80, ... ) , 80, ... ) == 0x0
 00697  1292   NtClose  (-2147482580, ... ) == 0x0
 00687  1292   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "\273\250\200\350B\15\202\327m\304\335:\327lf\37\22B\260`\3433\263\323\227m;\326\365\335W\302VY\236\323\26\4\246\257\12\37\260\210F\202\322D.\321\265\34\256B\240\335\245h\226j\322\360\334\316\2740\32\304\217I\345\225\337\25\250f\241\213*$\23} \313\3024\37\305\353us\15\10\331\\26\323\7\322\244\355\322I\244\2\276\1\377\0)\314O\255A\237/\341\226\253\11\27\372T\2076\35w\200\335\7\203\326\341\346\223]\24\355\16\22y{\320\21\207\3750\243\14I8\357\22\253N4\255T\242\346-\306\320N\277<\344p\325pM\262(Ly\3\272\252NG\354\336J\364\234\4#\345\27\371\21\371\203\m\272\301\320\235FU\331ZK\247\245\206\27\30\2360\3567\317\326\312\368C\23\241\244=\251B\34U\5\304\300\22\36\264'\35z\303x\301\373\237\247\4\26\226\363=\10\30%y\367\2168\264\272", ) , ) == 0x0
 00698  1292   NtDeviceIoControlFile  (60, 0, 0x0, 0x0, 0x390008,  (60, 0, 0x0, 0x0, 0x390008, "\256\250\234(%\307pe\3152V9l\244,j\230\255\340":\345P\230\255\340":\345P\230\255\340":\345P\230\255\340":\345P\230\255\340":\345P\230\255\340":\310)\14\232h\17\240\203\201\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... :\345P\230\255\340 (60, 0, 0x0, 0x0, 0x390008, "\256\250\234(%\307pe\3152V9l\244,j\230\255\340":\345P\230\255\340":\345P\230\255\340":\345P\230\255\340":\345P\230\255\340":\345P\230\255\340":\310)\14\232h\17\240\203\201\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... :\345P\230\255\340 (60, 0, 0x0, 0x0, 0x390008, "\256\250\234(%\307pe\3152V9l\244,j\230\255\340":\345P\230\255\340":\345P\230\255\340":\345P\230\255\340":\345P\230\255\340":\345P\230\255\340":\310)\14\232h\17\240\203\201\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... :\345P\230\255\340 (60, 0, 0x0, 0x0, 0x390008, "\256\250\234(%\307pe\3152V9l\244,j\230\255\340":\345P\230\255\340":\345P\230\255\340":\345P\230\255\340":\345P\230\255\340":\345P\230\255\340":\310)\14\232h\17\240\203\201\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", 256, 256, ... , 256, 256, ...
 00699  1292   NtQuerySystemInformation  (TimeOfDay, 48, ... {system info, class 3, size 48}, 48, ) == 0x0
 00700  1292   NtQuerySystemInformation  (ProcessorTimes, 48, ... {system info, class 8, size 48}, 48, ) == 0x0
 00701  1292   NtQuerySystemInformation  (Performance, 312, ... {system info, class 2, size 312}, 312, ) == 0x0
 00702  1292   NtQuerySystemInformation  (Exception, 16, ... {system info, class 33, size 16}, 16, ) == 0x0
 00703  1292   NtQuerySystemInformation  (Lookaside, 32, ... {system info, class 45, size 32}, 32, ) == 0x0
 00704  1292   NtQuerySystemInformation  (ProcessorStatistics, 3016, ... {system info, class 23, size 0}, 0, ) == 0x0
 00705  1292   NtQuerySystemInformation  (ProcessesAndThreads, 3008, ... ) == STATUS_INFO_LENGTH_MISMATCH
 00706  1292   NtCreateKey  (0x2, {24, 0, 0x240, 0, 0,  (0x2, {24, 0, 0x240, 0, 0, "\Registry\Machine\SOFTWARE\Microsoft\Cryptography\RNG"}, 0, 0x0, 0, ... -2147482580, 2, ) }, 0, 0x0, 0, ... -2147482580, 2, ) == 0x0
 00707  1292   NtSetValueKey  (-2147482580,  (-2147482580, "Seed", 0, 3, "\352)\257\352\370S0\342\331c\37\362\344>\242\266\35\345yi\371`\321~?\306NF\207\35\35\377\342\204\337\363\216\353K:\10\244\212]\303g\305\7k:\306\5\25u\203<\351\330\327\364\333\244\264\10\11\264\177.\206M<`\267\34RQ\353\303\230", 80, ... ) , 0, 3,  (-2147482580, "Seed", 0, 3, "\352)\257\352\370S0\342\331c\37\362\344>\242\266\35\345yi\371`\321~?\306NF\207\35\35\377\342\204\337\363\216\353K:\10\244\212]\303g\305\7k:\306\5\25u\203<\351\330\327\364\333\244\264\10\11\264\177.\206M<`\267\34RQ\353\303\230", 80, ... ) , 80, ... ) == 0x0
 00708  1292   NtClose  (-2147482580, ... ) == 0x0
 00698  1292   NtDeviceIoControlFile  ... {status=0x0, info=256},  ... {status=0x0, info=256}, "\254\31-\345\5E\321kJ\315W\366H\260\255;\3Ft\277\17\217\\315\4\254cu\240L\246B\214M\345\264`\260NFx\233\242\301\263\354Z\210`\0\237\272\346\344\26\370\315\213\221\367>\227(`\17\371\324\331\20s\354\212\237\326h\273\336E\265?\372\15\233\22e\227\262\314\220-#AD\213\213\315\266y\322Zy$\331fLH\5\0\211\377!\313\341\351\256\210\306)\277\343\34[g0:!M\211\276\32=\13u\321\357\335H\26Ld\247\220\334\251\330\14\254y\264>\201>\314\333\365\332\230zA\243\366fm&\327\237\235q\256b\26j\323JE\311d6\361\356Y\350K\361\303\342s\4\314\367\361\244\366!\30\307zw\36\3412d\252A\353\177\256\223\321\Q\375\7\273\371"c\205\203\254m\35u|\242\166\200\247\351x\277\213\21Q\260\324\32\244\373]\336\303!(_\374\177Fr\\32\221\2133", ) c\205\203\254m\35u|\242\166\200\247\351x\277\213\21Q\260\324\32\244\373]\336\303!(_\374\177Fr\\32\221\2133", ) == 0x0
 00709  1292   NtAllocateVirtualMemory  (-1, 1404928, 0, 16384, 4096, 4, ... 1404928, 16384, ) == 0x0
 00710  1292   NtUserRegisterClassExWOW  (1244200, 1244268, 1244284, 1244300, 0, 384, 0, ... ) == 0x816dc038
 00711  1292   NtUserGetAtomName  (49208, 1243528, ... ) == 0x15
 00712  1292   NtUserCreateWindowEx  (0, 49208, 49208,  (0, 49208, 49208, "OleMainThreadWndName", -2013265920, -2147483648, -2147483648, -2147483648, -2147483648, -3, 0, 2001600512, 0, 1073742848, 0, ... , -2013265920, -2147483648, -2147483648, -2147483648, -2147483648, -3, 0, 2001600512, 0, 1073742848, 0, ...
 00713  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\uxtheme.dll"}, 1241000, ... ) }, 1241000, ... ) == 0x0
 00714  1292   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\uxtheme.dll"}, 5, 96, ... 68, {status=0x0, info=1}, ) }, 5, 96, ... 68, {status=0x0, info=1}, ) == 0x0
 00715  1292   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 68, ... 64, ) == 0x0
 00716  1292   NtClose  (68, ... ) == 0x0
 00717  1292   NtMapViewOfSection  (64, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x390000), 0x0, 221184, ) == 0x0
 00718  1292   NtClose  (64, ... ) == 0x0
 00719  1292   NtUnmapViewOfSection  (-1, 0x390000, ... ) == 0x0
 00720  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\uxtheme.dll"}, 1241308, ... ) }, 1241308, ... ) == 0x0
 00721  1292   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\uxtheme.dll"}, 5, 96, ... 64, {status=0x0, info=1}, ) }, 5, 96, ... 64, {status=0x0, info=1}, ) == 0x0
 00722  1292   NtCreateSection  (0xf, 0x0, 0x0, 16, 16777216, 64, ... 68, ) == 0x0
 00723  1292   NtQuerySection  (68, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 00724  1292   NtClose  (64, ... ) == 0x0
 00725  1292   NtMapViewOfSection  (68, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x5ad70000), 0x0, 229376, ) == 0x0
 00726  1292   NtClose  (68, ... ) == 0x0
 00727  1292   NtProtectVirtualMemory  (-1, (0x5ad71000), 1300, 4, ... (0x5ad71000), 4096, 32, ) == 0x0
 00728  1292   NtProtectVirtualMemory  (-1, (0x5ad71000), 4096, 32, ... (0x5ad71000), 4096, 4, ) == 0x0
 00729  1292   NtFlushInstructionCache  (-1, 1524043776, 1300, ... ) == 0x0
 00730  1292   NtProtectVirtualMemory  (-1, (0x5ad71000), 1300, 4, ... (0x5ad71000), 4096, 32, ) == 0x0
 00731  1292   NtProtectVirtualMemory  (-1, (0x5ad71000), 4096, 32, ... (0x5ad71000), 4096, 4, ) == 0x0
 00732  1292   NtFlushInstructionCache  (-1, 1524043776, 1300, ... ) == 0x0
 00733  1292   NtProtectVirtualMemory  (-1, (0x5ad71000), 1300, 4, ... (0x5ad71000), 4096, 32, ) == 0x0
 00734  1292   NtProtectVirtualMemory  (-1, (0x5ad71000), 4096, 32, ... (0x5ad71000), 4096, 4, ) == 0x0
 00735  1292   NtFlushInstructionCache  (-1, 1524043776, 1300, ... ) == 0x0
 00736  1292   NtProtectVirtualMemory  (-1, (0x5ad71000), 1300, 4, ... (0x5ad71000), 4096, 32, ) == 0x0
 00737  1292   NtProtectVirtualMemory  (-1, (0x5ad71000), 4096, 32, ... (0x5ad71000), 4096, 4, ) == 0x0
 00738  1292   NtFlushInstructionCache  (-1, 1524043776, 1300, ... ) == 0x0
 00739  1292   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\uxtheme.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00740  1292   NtUserGetWindowDC  (0, ... ) == 0x1010052
 00741  1292   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 00742  1292   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00743  1292   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 68, ) == 0x0
 00744  1292   NtQueryInformationToken  (68, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00745  1292   NtClose  (68, ... ) == 0x0
 00746  1292   NtOpenKey  (0x2001f, {24, 0, 0x640, 0, 0,  (0x2001f, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... 68, ) }, ... 68, ) == 0x0
 00747  1292   NtOpenKey  (0x1, {24, 68, 0x40, 0, 0,  (0x1, {24, 68, 0x40, 0, 0, "Software\Microsoft\Windows\CurrentVersion\ThemeManager"}, ... 64, ) }, ... 64, ) == 0x0
 00748  1292   NtQueryValueKey  (64,  (64, "Compositing", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00749  1292   NtClose  (64, ... ) == 0x0
 00750  1292   NtClose  (68, ... ) == 0x0
 00751  1292   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00752  1292   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 68, ) == 0x0
 00753  1292   NtQueryInformationToken  (68, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00754  1292   NtClose  (68, ... ) == 0x0
 00755  1292   NtOpenKey  (0x20019, {24, 0, 0x640, 0, 0,  (0x20019, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... 68, ) }, ... 68, ) == 0x0
 00756  1292   NtOpenKey  (0x1, {24, 68, 0x40, 0, 0,  (0x1, {24, 68, 0x40, 0, 0, "Control Panel\Desktop"}, ... 64, ) }, ... 64, ) == 0x0
 00757  1292   NtQueryValueKey  (64,  (64, "LameButtonText", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00758  1292   NtClose  (64, ... ) == 0x0
 00759  1292   NtClose  (68, ... ) == 0x0
 00760  1292   NtUserGetProcessWindowStation  (... ) == 0x1c
 00761  1292   NtUserGetObjectInformation  (28, 2, 1243096, 64, 1243092, ... ) == 0x1
 00762  1292   NtUserGetGUIThreadInfo  (1292, 1243116, ... ) == 0x1
 00763  1292   NtConnectPort  ( ("\ThemeApiPort", {12, 2, 1, 1}, 0x0, 0x0, 1242960, 64, ... 68, 0x0, 0x0, 0x0, 64, ) , {12, 2, 1, 1}, 0x0, 0x0, 1242960, 64, ... 68, 0x0, 0x0, 0x0, 64, ) == 0x0
 00764  1292   NtRequestWaitReplyPort  (68, {32, 56, new_msg, 0, 0, 0, 0, 0}  (68, {32, 56, new_msg, 0, 0, 0, 0, 0} "\4\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" ... {32, 56, reply, 0, 1756, 1292, 57969, 0} "\0\0\0\0\1\0\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" )  ... {32, 56, reply, 0, 1756, 1292, 57969, 0}  (68, {32, 56, new_msg, 0, 0, 0, 0, 0} "\4\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" ... {32, 56, reply, 0, 1756, 1292, 57969, 0} "\0\0\0\0\1\0\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" )  ) == 0x0
 00765  1292   NtRequestWaitReplyPort  (68, {32, 56, new_msg, 0, 0, 0, 0, 0}  (68, {32, 56, new_msg, 0, 0, 0, 0, 0} "\355\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" ... {32, 56, reply, 0, 1756, 1292, 57970, 0} "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" )  ... {32, 56, reply, 0, 1756, 1292, 57970, 0}  (68, {32, 56, new_msg, 0, 0, 0, 0, 0} "\355\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" ... {32, 56, reply, 0, 1756, 1292, 57970, 0} "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" )  ) == 0x0
 00766  1292   NtUserCallNoParam  (29, ...
 00767  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\uxtheme.dll"}, 1240356, ... ) }, 1240356, ... ) == 0x0
 00766  1292   NtUserCallNoParam  ... ) == 0x0
 00768  1292   NtUserSystemParametersInfo  (41, 0, 1524240760, 0, ... ) == 0x1
 00769  1292   NtGdiHfontCreate  (1242484, 356, 0, 0, 1395776, ... ) == 0x340a04e1
 00770  1292   NtGdiHfontCreate  (1242484, 356, 0, 0, 1395768, ... ) == 0x520a0634
 00771  1292   NtRequestWaitReplyPort  (68, {32, 56, new_msg, 0, 0, 0, 0, 0}  (68, {32, 56, new_msg, 0, 0, 0, 0, 0} "\7\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" ... {32, 56, reply, 0, 1756, 1292, 57971, 0} "\0\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" )  ... {32, 56, reply, 0, 1756, 1292, 57971, 0}  (68, {32, 56, new_msg, 0, 0, 0, 0, 0} "\7\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" ... {32, 56, reply, 0, 1756, 1292, 57971, 0} "\0\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0" )  ) == 0x0
 00772  1292   NtMapViewOfSection  (64, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 2, ... (0x390000), {0, 0}, 327680, ) == 0x0
 00773  1292   NtUserGetWindowDC  (0, ... ) == 0x1010052
 00774  1292   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 00775  1292   NtUserGetWindowDC  (0, ... ) == 0x1010052
 00776  1292   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 00777  1292   NtUserGetWindowDC  (0, ... ) == 0x1010052
 00778  1292   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 00779  1292   NtUserGetWindowDC  (0, ... ) == 0x1010052
 00780  1292   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 00781  1292   NtUserGetWindowDC  (0, ... ) == 0x1010052
 00782  1292   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 00783  1292   NtUserGetWindowDC  (0, ... ) == 0x1010052
 00784  1292   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 00785  1292   NtUserGetWindowDC  (0, ... ) == 0x1010052
 00786  1292   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 00787  1292   NtUserGetWindowDC  (0, ... ) == 0x1010052
 00788  1292   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 00789  1292   NtUserGetWindowDC  (0, ... ) == 0x1010052
 00790  1292   NtGdiCreatePatternBrushInternal  (59048383, 0, 0, ... ) == 0x72100798
 00791  1292   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 00792  1292   NtUserCallNoParam  (29, ...
 00793  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\uxtheme.dll"}, 1239796, ... ) }, 1239796, ... ) == 0x0
 00792  1292   NtUserCallNoParam  ... ) == 0x0
 00794  1292   NtUserCallNoParam  (29, ...
 00795  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\uxtheme.dll"}, 1239792, ... ) }, 1239792, ... ) == 0x0
 00794  1292   NtUserCallNoParam  ... ) == 0x0
 00796  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\MSCTF.dll"}, 1241004, ... ) }, 1241004, ... ) == 0x0
 00797  1292   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\MSCTF.dll"}, 5, 96, ... 72, {status=0x0, info=1}, ) }, 5, 96, ... 72, {status=0x0, info=1}, ) == 0x0
 00798  1292   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 72, ... 76, ) == 0x0
 00799  1292   NtClose  (72, ... ) == 0x0
 00800  1292   NtMapViewOfSection  (76, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x930000), 0x0, 294912, ) == 0x0
 00801  1292   NtClose  (76, ... ) == 0x0
 00802  1292   NtUnmapViewOfSection  (-1, 0x930000, ... ) == 0x0
 00803  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\MSCTF.dll"}, 1241312, ... ) }, 1241312, ... ) == 0x0
 00804  1292   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\MSCTF.dll"}, 5, 96, ... 76, {status=0x0, info=1}, ) }, 5, 96, ... 76, {status=0x0, info=1}, ) == 0x0
 00805  1292   NtCreateSection  (0xf, 0x0, 0x0, 16, 16777216, 76, ... 72, ) == 0x0
 00806  1292   NtQuerySection  (72, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 00807  1292   NtClose  (76, ... ) == 0x0
 00808  1292   NtMapViewOfSection  (72, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x74720000), 0x0, 307200, ) == 0x0
 00809  1292   NtClose  (72, ... ) == 0x0
 00810  1292   NtProtectVirtualMemory  (-1, (0x74721000), 928, 4, ... (0x74721000), 4096, 32, ) == 0x0
 00811  1292   NtProtectVirtualMemory  (-1, (0x74721000), 4096, 32, ... (0x74721000), 4096, 4, ) == 0x0
 00812  1292   NtFlushInstructionCache  (-1, 1953632256, 928, ... ) == 0x0
 00813  1292   NtProtectVirtualMemory  (-1, (0x74721000), 928, 4, ... (0x74721000), 4096, 32, ) == 0x0
 00814  1292   NtProtectVirtualMemory  (-1, (0x74721000), 4096, 32, ... (0x74721000), 4096, 4, ) == 0x0
 00815  1292   NtFlushInstructionCache  (-1, 1953632256, 928, ... ) == 0x0
 00816  1292   NtProtectVirtualMemory  (-1, (0x74721000), 928, 4, ... (0x74721000), 4096, 32, ) == 0x0
 00817  1292   NtProtectVirtualMemory  (-1, (0x74721000), 4096, 32, ... (0x74721000), 4096, 4, ) == 0x0
 00818  1292   NtFlushInstructionCache  (-1, 1953632256, 928, ... ) == 0x0
 00819  1292   NtProtectVirtualMemory  (-1, (0x74721000), 928, 4, ... (0x74721000), 4096, 32, ) == 0x0
 00820  1292   NtProtectVirtualMemory  (-1, (0x74721000), 4096, 32, ... (0x74721000), 4096, 4, ) == 0x0
 00821  1292   NtFlushInstructionCache  (-1, 1953632256, 928, ... ) == 0x0
 00822  1292   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSCTF.dll"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00823  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\ntdll.dll"}, 1238668, ... ) }, 1238668, ... ) == 0x0
 00824  1292   NtQueryInformationProcess  (-1, Wow64, 4, ... {process info, class 26, size 4}, 0x0, ) == 0x0
 00825  1292   NtUserCallOneParam  (0, 40, ... ) == 0x4090409
 00826  1292   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.Private", ... ) , ... ) == 0xc0a1
 00827  1292   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.SetFocus", ... ) , ... ) == 0xc0a2
 00828  1292   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.ThreadTerminate", ... ) , ... ) == 0xc0a3
 00829  1292   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.ThreadItemChange", ... ) , ... ) == 0xc0a4
 00830  1292   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.LangBarModal", ... ) , ... ) == 0xc0a5
 00831  1292   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.RpcSendReceive", ... ) , ... ) == 0xc0a6
 00832  1292   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.ThreadMarshal", ... ) , ... ) == 0xc0a7
 00833  1292   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.CheckThreadInputIdel", ... ) , ... ) == 0xc0a8
 00834  1292   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.StubCleanUp", ... ) , ... ) == 0xc0a9
 00835  1292   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.ShowFloating", ... ) , ... ) == 0xc0aa
 00836  1292   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.LBUpdate", ... ) , ... ) == 0xc0ab
 00837  1292   NtUserRegisterWindowMessage  ( ("MSUIM.Msg.MuiMgrDirtyUpdate", ... ) , ... ) == 0xc0ac
 00838  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\imm32.dll"}, 1238676, ... ) }, 1238676, ... ) == 0x0
 00839  1292   NtRequestWaitReplyPort  (24, {24, 52, new_msg, 0, 3998, 1241068, 0, 0}  (24, {24, 52, new_msg, 0, 3998, 1241068, 0, 0} "\0\0\0\0\5\4\3\0\0\0\0\0\1\0\0\0\14\5\0\0\0\0\0\0" ... {24, 52, reply, 0, 1756, 1292, 57972, 0} "\0\0\0\0\5\4\3\0\0\0\0\0\1\0\0\0\14\5\0\0\0\0\0\0" )  ... {24, 52, reply, 0, 1756, 1292, 57972, 0}  (24, {24, 52, new_msg, 0, 3998, 1241068, 0, 0} "\0\0\0\0\5\4\3\0\0\0\0\0\1\0\0\0\14\5\0\0\0\0\0\0" ... {24, 52, reply, 0, 1756, 1292, 57972, 0} "\0\0\0\0\5\4\3\0\0\0\0\0\1\0\0\0\14\5\0\0\0\0\0\0" )  ) == 0x0
 00840  1292   NtUserGetThreadDesktop  (1292, 0, ... ) == 0x28
 00841  1292   NtUserGetObjectInformation  (40, 2, 1384080, 520, 1240976, ... ) == 0x1
 00842  1292   NtOpenProcessToken  (-1, 0x8, ... 72, ) == 0x0
 00843  1292   NtQueryInformationToken  (72, User, 0, ... ) == STATUS_BUFFER_TOO_SMALL
 00844  1292   NtQueryInformationToken  (72, User, 36, ... {token info, class 1, size 36}, 36, ) == 0x0
 00845  1292   NtClose  (72, ... ) == 0x0
 00846  1292   NtCreateSection  (0xf0007, {24, 48, 0x80, 0, 0,  (0xf0007, {24, 48, 0x80, 0, 0, "CiceroSharedMemDefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, {3240, 0}, 4, 134217728, 0, ... 72, ) }, {3240, 0}, 4, 134217728, 0, ... 72, ) == STATUS_OBJECT_NAME_EXISTS
 00847  1292   NtMapViewOfSection  (72, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 4, ... (0x3e0000), {0, 0}, 4096, ) == 0x0
 00848  1292   NtOpenKey  (0x20019, {24, 32, 0x40, 0, 0,  (0x20019, {24, 32, 0x40, 0, 0, "SOFTWARE\Microsoft\CTF\Compatibility\packed.exe"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00849  1292   NtOpenKey  (0x20019, {24, 32, 0x40, 0, 0,  (0x20019, {24, 32, 0x40, 0, 0, "SOFTWARE\Microsoft\CTF\SystemShared\"}, ... 76, ) }, ... 76, ) == 0x0
 00850  1292   NtQueryValueKey  (76,  (76, "CUAS", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 144, ... TitleIdx=0, Type=4, Data= (76, "CUAS", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 00851  1292   NtClose  (76, ... ) == 0x0
 00852  1292   NtUserFindExistingCursorIcon  (1240508, 1240524, 1240572, ... ) == 0x10011
 00853  1292   NtUserRegisterClassExWOW  (1240780, 1240876, 1240860, 1240848, 0, 386, 0, ... ) == 0x816dc0ad
 00854  1292   NtCreateMutant  (0x1f0001, {24, 48, 0x80, 0, 0,  (0x1f0001, {24, 48, 0x80, 0, 0, "CTF.LBES.MutexDefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, 0, ... 76, ) }, 0, ... 76, ) == STATUS_OBJECT_NAME_EXISTS
 00855  1292   NtCreateMutant  (0x1f0001, {24, 48, 0x80, 0, 0,  (0x1f0001, {24, 48, 0x80, 0, 0, "CTF.Compart.MutexDefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, 0, ... 80, ) }, 0, ... 80, ) == STATUS_OBJECT_NAME_EXISTS
 00856  1292   NtCreateMutant  (0x1f0001, {24, 48, 0x80, 0, 0,  (0x1f0001, {24, 48, 0x80, 0, 0, "CTF.Asm.MutexDefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, 0, ... 84, ) }, 0, ... 84, ) == STATUS_OBJECT_NAME_EXISTS
 00857  1292   NtCreateMutant  (0x1f0001, {24, 48, 0x80, 0, 0,  (0x1f0001, {24, 48, 0x80, 0, 0, "CTF.Layouts.MutexDefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, 0, ... 88, ) }, 0, ... 88, ) == STATUS_OBJECT_NAME_EXISTS
 00858  1292   NtCreateMutant  (0x1f0001, {24, 48, 0x80, 0, 0,  (0x1f0001, {24, 48, 0x80, 0, 0, "CTF.TMD.MutexDefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, 0, ... 92, ) }, 0, ... 92, ) == STATUS_OBJECT_NAME_EXISTS
 00859  1292   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00860  1292   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 96, ) == 0x0
 00861  1292   NtQueryInformationToken  (96, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00862  1292   NtClose  (96, ... ) == 0x0
 00863  1292   NtOpenKey  (0x2000000, {24, 0, 0x640, 0, 0,  (0x2000000, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... 96, ) }, ... 96, ) == 0x0
 00864  1292   NtSetInformationObject  (96, Handle, {Inherit=0,ProtectFromClose=1,}, 1179904, ... ) == 0x0
 00865  1292   NtOpenKey  (0x20019, {24, 96, 0x40, 0, 0,  (0x20019, {24, 96, 0x40, 0, 0, "Keyboard Layout\Toggle"}, ... 100, ) }, ... 100, ) == 0x0
 00866  1292   NtQueryValueKey  (100,  (100, "Language Hotkey", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00867  1292   NtQueryValueKey  (100,  (100, "Hotkey", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00868  1292   NtQueryValueKey  (100,  (100, "Layout Hotkey", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00869  1292   NtClose  (100, ... ) == 0x0
 00870  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\KERNEL32.dll"}, 1238496, ... ) }, 1238496, ... ) == 0x0
 00871  1292   NtQueryDefaultUILanguage  (1241056, ...
 00872  1292   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 00873  1292   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... -2147482580, ) == 0x0
 00874  1292   NtQueryInformationToken  (-2147482580, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 00875  1292   NtClose  (-2147482580, ... ) == 0x0
 00876  1292   NtOpenKey  (0x2000000, {24, 0, 0x640, 0, 0,  (0x2000000, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... -2147482580, ) }, ... -2147482580, ) == 0x0
 00877  1292   NtOpenKey  (0x80000000, {24, -2147482580, 0x240, 0, 0,  (0x80000000, {24, -2147482580, 0x240, 0, 0, "Software\Policies\Microsoft\Control Panel\Desktop"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00878  1292   NtOpenKey  (0x80000000, {24, -2147482580, 0x640, 0, 0,  (0x80000000, {24, -2147482580, 0x640, 0, 0, "Control Panel\Desktop"}, ... -2147481364, ) }, ... -2147481364, ) == 0x0
 00879  1292   NtQueryValueKey  (-2147481364,  (-2147481364, "MultiUILanguageId", Partial, 256, ... ) , Partial, 256, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00880  1292   NtClose  (-2147481364, ... ) == 0x0
 00881  1292   NtClose  (-2147482580, ... ) == 0x0
 00871  1292   NtQueryDefaultUILanguage  ... ) == 0x0
 00882  1292   NtOpenKey  (0x20019, {24, 32, 0x40, 0, 0,  (0x20019, {24, 32, 0x40, 0, 0, "SOFTWARE\Microsoft\CTF\"}, ... 100, ) }, ... 100, ) == 0x0
 00883  1292   NtQueryValueKey  (100,  (100, "EnableAnchorContext", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 00884  1292   NtClose  (100, ... ) == 0x0
 00885  1292   NtCreateMutant  (0x1f0001, {24, 48, 0x80, 0, 0,  (0x1f0001, {24, 48, 0x80, 0, 0, "CTF.TimListCache.FMPDefaultS-1-5-21-1292428093-1383384898-725345543-1003MUTEX.DefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, 0, ... 100, ) }, 0, ... 100, ) == STATUS_OBJECT_NAME_EXISTS
 00886  1292   NtOpenSection  (0xf001f, {24, 48, 0x0, 0, 0,  (0xf001f, {24, 48, 0x0, 0, 0, "CTF.TimListCache.FMPDefaultS-1-5-21-1292428093-1383384898-725345543-1003SFM.DefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, ... 104, ) }, ... 104, ) == 0x0
 00887  1292   NtMapViewOfSection  (104, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 4, ... (0x930000), {0, 0}, 262144, ) == 0x0
 00888  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 00889  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 00890  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 00891  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 00892  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 00893  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 00894  1292   NtUserSetWindowsHookEx  (1953628160, 1242500, 1292, 2, 1953694283, 2, ... ) == 0x601df
 00895  1292   NtUserSetWindowsHookEx  (1953628160, 1242500, 1292, 7, 1953693577, 2, ... ) == 0x18022f
 00896  1292   NtUserMessageCall  (0xa0102, WM_NCCREATE, 0x0, 0x12f934, 0, 670, 0, ... ) == 0x1
 00897  1292   NtUserMessageCall  (0xa0102, WM_NCCALCSIZE, 0x0, 0x12f95c, 0, 670, 0, ... ) == 0x0
 00898  1292   NtUserSetProp  (655618, 43288, -1, ... ) == 0x1
 00712  1292   NtUserCreateWindowEx  ... ) == 0xa0102
 00899  1292   NtUserRegisterWindowMessage  ( ("ObjectLink", ... ) , ... ) == 0xc002
 00900  1292   NtAddAtom  ( ("O\0l\0e\0D\0r\0o\0p\0T\0a\0r\0g\0e\0t\0I\0n\0t\0e\0r\0f\0a\0c\0e\0", 44, 1244972, ... ) , 44, 1244972, ... ) == 0x0
 00901  1292   NtAddAtom  ( ("O\0l\0e\0D\0r\0o\0p\0T\0a\0r\0g\0e\0t\0M\0a\0r\0s\0h\0a\0l\0H\0w\0n\0d\0", 48, 1244972, ... ) , 48, 1244972, ... ) == 0x0
 00902  1292   NtUserRegisterWindowMessage  ( ("OM_POST_WM_COMMAND", ... ) , ... ) == 0xc093
 00903  1292   NtUserRegisterWindowMessage  ( ("OLE_MESSAHE", ... ) , ... ) == 0xc094
 00904  1292   NtAllocateVirtualMemory  (-1, 1421312, 0, 4096, 4096, 4, ... 1421312, 4096, ) == 0x0
 00905  1292   NtCreateFile  (0x100001, {24, 0, 0x40, 0, 0,  (0x100001, {24, 0, 0x40, 0, 0, "\??\C:\DOCUME~1\MARTIM~1\LOCALS~1\Temp\"}, 0x0, 128, 3, 2, 16417, 0, 0, ... ) }, 0x0, 128, 3, 2, 16417, 0, 0, ... ) == STATUS_OBJECT_NAME_COLLISION
 00906  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\DOCUME~1\MARTIM~1\LOCALS~1\Temp"}, 1244624, ... ) }, 1244624, ... ) == 0x0
 00907  1292   NtRequestWaitReplyPort  (24, {20, 48, new_msg, 0, 0, 0, 0, 0}  (24, {20, 48, new_msg, 0, 0, 0, 0, 0} "\0\0\0\0\2\0\1\0\0\0\0\0X\2\0\0\2\0\0\0" ... {20, 48, reply, 0, 1756, 1292, 57973, 0} "\0\0\0\0\2\0\1\0\2\0\0\0X\2\0\0\2\0\0\0" )  ... {20, 48, reply, 0, 1756, 1292, 57973, 0}  (24, {20, 48, new_msg, 0, 0, 0, 0, 0} "\0\0\0\0\2\0\1\0\0\0\0\0X\2\0\0\2\0\0\0" ... {20, 48, reply, 0, 1756, 1292, 57973, 0} "\0\0\0\0\2\0\1\0\2\0\0\0X\2\0\0\2\0\0\0" )  ) == 0x0
 00908  1292   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 1244632,  (0x80100080, {24, 0, 0x40, 0, 1244632, "\??\C:\DOCUME~1\MARTIM~1\LOCALS~1\Temp\nso2.tmp"}, 0x0, 128, 0, 2, 96, 0, 0, ... }, 0x0, 128, 0, 2, 96, 0, 0, ...
 00909  1292   NtQueryDirectoryFile  (-2147482580, 0, 0, 0, -519819264, 4096, Names, 1,  (-2147482580, 0, 0, 0, -519819264, 4096, Names, 1, "DOCUME~1", 1, ... {status=0x0, info=56}, ) , 1, ... {status=0x0, info=56}, ) == 0x0
 00910  1292   NtClose  (-2147482580, ... ) == 0x0
 00911  1292   NtQueryDirectoryFile  (-2147482580, 0, 0, 0, -519819264, 4096, Names, 1,  (-2147482580, 0, 0, 0, -519819264, 4096, Names, 1, "MARTIM~1", 1, ... {status=0x0, info=40}, ) , 1, ... {status=0x0, info=40}, ) == 0x0
 00912  1292   NtClose  (-2147482580, ... ) == 0x0
 00913  1292   NtQueryDirectoryFile  (-2147482580, 0, 0, 0, -519819264, 4096, Names, 1,  (-2147482580, 0, 0, 0, -519819264, 4096, Names, 1, "LOCALS~1", 1, ... {status=0x0, info=40}, ) , 1, ... {status=0x0, info=40}, ) == 0x0
 00914  1292   NtClose  (-2147482580, ... ) == 0x0
 00908  1292   NtCreateFile  ... 108, {status=0x0, info=2}, ) == 0x0
 00915  1292   NtClose  (108, ... ) == 0x0
 00916  1292   NtOpenFile  (0x10080, {24, 0, 0x40, 0, 0,  (0x10080, {24, 0, 0x40, 0, 0, "\??\C:\DOCUME~1\MARTIM~1\LOCALS~1\Temp\nso2.tmp"}, 7, 2113600, ... 108, {status=0x0, info=1}, ) }, 7, 2113600, ... 108, {status=0x0, info=1}, ) == 0x0
 00917  1292   NtQueryInformationFile  (108, 1245012, 8, AttributeFlag, ... {status=0x0, info=8}, ) == 0x0
 00918  1292   NtSetInformationFile  (108, 1245063, 1, Disposition, ... {status=0x0, info=0}, ) == 0x0
 00919  1292   NtClose  (108, ... ) == 0x0
 00920  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\u:\work\packed.exe"}, 1244856, ... ) }, 1244856, ... ) == 0x0
 00921  1292   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 1244840,  (0x80100080, {24, 0, 0x40, 0, 1244840, "\??\u:\work\packed.exe"}, 0x0, 32, 1, 1, 96, 0, 0, ... 108, {status=0x0, info=1}, ) }, 0x0, 32, 1, 1, 96, 0, 0, ... 108, {status=0x0, info=1}, ) == 0x0
 00922  1292   NtQueryInformationFile  (108, 1244908, 24, Standard, ... {status=0x0, info=24}, ) == 0x0
 00923  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "MZ\220\0\3\0\0\0\4\0\0\0\377\377\0\0\270\0\0\0\0\0\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\350\0\0\0\16\37\272\16\0\264\11\315!\270\1L\315!This program cannot be run in DOS mode.\15\15\12$\0\0\0\0\0\0\0\10\361\266\250L\220\330\373L\220\330\373L\220\330\373\317\230\207\373M\220\330\373\226\263\304\373M\220\330\373_\230\205\373N\220\330\373\317\230\205\373F\220\330\373\266\263\301\373I\220\330\373L\220\331\373\357\220\330\373I\234\207\373G\220\330\373\240\233\206\373M\220\330\373I\234\202\373M\220\330\373RichL\220\330\373\0\0\0\0\0\0\0\0PE\0\0L\1\5\02\2126D\0\0\0\0\0\0\0\0\340\0\17\1\13\1\7\12\0~\0\0\0\274\2\0\0\4\0\0b9\0\0\0\20\0\0\0\220\0\0\0\0@\0\0\20\0\0\0\2\0\0\4\0\0\0\0\0\0\0\4\0\0\0\0\0\0\0\0@\4\0\0\4\0\0\322\261\324\0\2\0\0\4\0\0\20\0\0\20\0\0\0\0\20\0\0\20\0\0\0\0\0\0\20\0\0\0\0\0\0\0\0\0\0\0p\265\0\0\264\0\0\0\0\320\3\0\0p\0\0\0\0\0\0\0\0\0\0\30\36\324\0`\25\0\0\0\0\0\0\0\0\0\0\260\222\0\0\34\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\220\0\0\254\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0.text\0\0\0\254|\0\0\0\20\0\0\0~\0\0", ) , ) == 0x0
 00924  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0 \0\0`.rdata\0\0\2304\0\0\0\220\0\0\06\0\0\0\202\0\0\0\0\0\0\0\0\0\0\0\0\0\0@\0\0@.data\0\0\04r\2\0\0\320\0\0\0\2\0\0\0\270\0\0\0\0\0\0\0\0\0\0\0\0\0\0@\0\0\300.ndata\0\0\0\200\0\0\0P\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\200\0\0\300.rsrc\0\0\0\0p\0\0\0\320\3\0\0n\0\0\0\272\0\0\0\0\0\0\0\0\0\0\0\0\0\0@\0\0@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) , ) == 0x0
 00925  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "U\213\354\203\354\\203}\14\17t+\203}\14F\213E\24u\15\203H\30\20\213\15\200AC\0\211H\4P\377u\20\377u\14\377u\10\377\25p\222@\0\351B\1\0\0SV\2135\210AC\0W\215E\244P\377u\10\377\25\204\222@\0\203e\364\0\211E\14\215E\344P\377u\10\377\25t\222@\0\213}\360\203e\360\0\213\35@\220@\0\351\200\0\0\0\17\266FR\17\266VV\17\257U\350\213\317+M\350\17\257\301\3\302\231\367\3773\322\211M\20\212\360\17\266FQ\17\257\301\17\266NU\17\257M\350\3\301\213\312\231\367\377\17\266VT\17\257U\350\212\310\17\266FP\17\257E\20\3\302\231\367\377\301\341\10\17\266\300\13\310\215E\364P\211M\370\377\25D\220@\0\203E\360\4P\211E\24\215E\344P\377u\14\377\25x\222@\0\377u\24\377\323\203E\350\49}\350\17\214w\377\377\377\203~X\377te\377v4\377\25H\220@\0\205\300\211E\24tU\213}\14j\1W\307E\344\20\0\0\0\307E\350\10\0\0\0\377\25L\220@\0\377vXW\377\25P\220@\0\377u\24\2135X\220@\0W\377\326h \10\0\0\211E\14\215E\344Pj\377h\2009C\0W\377\25|\222@\0\377u\14W\377\326\377u\24\377\323\215E\244P\377u\10\377\25\200\222@\0_^3\300[\311\302\20\0\213L$\4\241\250AC\0\213\321i\322\30\4\0\0\213T\2\10\366\302\2tUVW\215q\13\377;5\254AC\0sD\213\316i\311\30\4\0\0\215D\1\10S\213\10\366\301\2t\3G\353\36\366\301\4t\11\213\317O\205\311t \353\20\366\301\20u\13\213\3313\332\203\343\13\331\211\30F\5\30\4\0\0;5\254AC\0r\312[_^\302\4\0U\213\354QQ", ) , ) == 0x0
 00926  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0W\213=\250AC\0\213D>\103\311\250\2\211M\374\211M\370t\159M\14u\10\203\340\276\211D>\10B;\25\254AC\0sD\213\302i\300\30\4\0\0\215\8\10\213\13\366\301\2\215B\1t\12j\0R\350\244\377\377\377\213\13\366\301\4u(\366\301@t\3\377E\374\366\301\1t\5\377E\374\353\3\377E\370;\5\254AC\0\213\320r\2743\300_^[\311\302\10\0\203}\374\0t\363\203}\370\0\215L>\10t\5\203\11@\353\344\213\21\201\342\177\377\377\377\203\312\1\211\21\353\325j\1j\0\350H\377\377\377\303\213L$\4\241\250AC\0V3\366\203\371 s695\254AC\0v.\215P\10W\213\2\250\6u\243\377G\323\347\205z\374t\5\203\310\1\353\3\203\340\376\211\2F\201\302\30\4\0\0;5\254AC\0r\327_^\302\4\0U\213\354\203\354\14\241\210AC\0\203e\374\0SV\5\224\0\0\0W\213=\254AC\0\211E\370\213E\3703\3339\30tK;\337sE\2135\250AC\0\203\306\10\213\26\366\302\6u(\213E\10\205\300t\6\203<\230\0t\33\213M\3743\300@\323\340\213N\374\203\342\1#\310\213\301\213M\374\323\342;\302u\13C\201\306\30\4\0\0;\337r\306;\337t\15\377E\374\203E\370\4\203}\374 r\237\213E\374_^[\311\302\4\0\203=\244\320@\0\0Vu-3\311j\10\213\301^\213\320\200\342\1\366\332\33\322\201\342 \203\270\355\321\3503\302Nu\352\211\4\215\240\320@\0A\201\371\0\1\0\0|\325\213t$\20\205\366\213D$\10\367\320v\36\213L$\143\322\212\213\320\201\342\377\0\0\0\301\350\103\4\225\240\320@\0ANu\346\367\320^\302\14\0U\213\354SVW\213}\10\205\377\17\214", ) , ) == 0x0
 00927  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\213\15\260AC\0\213\307\301\340\5\3\301\213\10\203\371\1\17\204\241\0\0\0\205\35\344AC\0t\12\203\371\24t\5\203\371>u3P\350\357\1\0\0\213\360\201\376\377\377\377\177\17\204\204\0\0\0\205\35\344AC\0u\27\205\366}\25F\301\346\12\270\0PC\0+\306P\350>K\0\0\213\360\205\366t\21\205\35\344AC\0u\11N\213\307\213\376+\360\353\2FG\203}\14\0t7\241d9C\0\15l9C\03\311\205\300\17\224\301j\0\3\310Qh0u\0\0\3775l9C\0\377\250\221@\0Ph\2\4\0\0\377u\14\377\25l\222@\0\205\377\17\215G\377\377\3773\300_^[]\302\10\0\270\377\377\377\177\353\362\213D$\4\213\15\210AC\0j\0\377t\201l\350\11\377\377\377\302\4\0h\250\330@\0\377t$\10\350$;\0\0\302\4\0\241\344\360@\0\3774\210j\0\350\266Q\0\0P\350\222J\0\0\303\205\366\213\306}\2\367\330\213\25\344\360@\0\213\310\301\370\4W\203\341\17\3774\212\301\340\12\5\250\324@\0P\350\207Q\0\0\205\366\213\370}\6W\350\362J\0\0\213\307_\303U\213\354\201\354\14\1\0\0SVW\215E\374Pj\103\333S\377u\14\377u\10\377\25\10\220@\0;\303uM\2135\4\220@\0\277\5\1\0\0\353\319]\20uBS\215\205\364\376\377\377P\377u\374\350\271\377\377\377\205\300u\22W\215\205\364\376\377\377PS\377u\374\377\326\205\300t\325\377u\374\377\25 \220@\0\377u\14\377u\10\377\25\0\220@\0_^[\311\302\14\0\377u\374\377\25 \220@\03\300@\353\353\205\300u\12\241\4BC\0\5\1\0\0\200\303U\213\354\241\344\360@\0\213@\4\205\300VWt\4\213\370\353\14\213=\4BC\0\201\307\1", ) , ) == 0x0
 00928  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "j"^\350\0\377\377\377PW\377\25\10\220@\0\367\330\33\300\367\320#E\10_^]\302\4\0U\213\354\201\354\244\1\0\0\241\200AC\0\203e\364\0\203e\374\0SV\213u\10Wj\10Y\215}\304\363\245\213U\314\213u\310\215M\310\211\15\344\360@\0\213M\304\211E\360\213\332\301\343\12\213\306\301\340\12\203\301\376\201\303\0PC\0\203\371B\215\270\0PC\0\17\207q\33\0\0\377$\215\3751@\0Vh\334\230@\0\350\345J\0\0\213E\310YY\351`\33\0\03\366\350k\376\377\377Ph\314\230@\0\350\311J\0\0YYV\377u\310\350`9\0\0\351\256\27\0\0\377\5T9C\0\203}\360\0\17\204\236\27\0\0j\0\377\25\214\221@\0\351\221\27\0\0\205\366}\25\271\0PC\0+\310\201\351\0\4\0\0Q\350\255H\0\0\353\2\213\306\215p\377Vh\300\230@\0\350sJ\0\0YYj\0V\350\337\374\377\377\351\351\32\0\0\205\322t)\366\302\10t\17\241\10\320@\0\243<\320@\0\351\306\32\0\0\241<\320@\0\243\10\320@\0\211\25<\320@\0\351\261\32\0\03\366\350\307\375\377\377Ph\260\230@\0\350%J\0\0YYV\377u\310\350\2748\0\0\351\217\32\0\03\311\350\217\375\377\377\213\360Vh\244\230@\0\350\1J\0\0\203\376\1YY\177\33\366FV\377\25\260\220@\0\351e\32\0\0h\224\230@\0\350\341I\0\0Y\377u\360\377\250\222@\0\351L\32\0\03\311A\350K\375\377\377\213M\310\211\4\215\0BC\0\3515\32\0\0\213M\320\213U\3243\300\215\14\215\0BC\09\1\17\224\300!\21\213D\205\310\351!\32\0\0\3774\225\0BC\0W\351\237\31\0\0\241`9C\0\205\300\213=4\222@\0t\7RP\377", ) ^\350\0\377\377\377PW\377\25\10\220@\0\367\330\33\300\367\320#E\10_^]\302\4\0U\213\354\201\354\244\1\0\0\241\200AC\0\203e\364\0\203e\374\0SV\213u\10Wj\10Y\215}\304\363\245\213U\314\213u\310\215M\310\211\15\344\360@\0\213M\304\211E\360\213\332\301\343\12\213\306\301\340\12\203\301\376\201\303\0PC\0\203\371B\215\270\0PC\0\17\207q\33\0\0\377$\215\3751@\0Vh\334\230@\0\350\345J\0\0\213E\310YY\351`\33\0\03\366\350k\376\377\377Ph\314\230@\0\350\311J\0\0YYV\377u\310\350`9\0\0\351\256\27\0\0\377\5T9C\0\203}\360\0\17\204\236\27\0\0j\0\377\25\214\221@\0\351\221\27\0\0\205\366}\25\271\0PC\0+\310\201\351\0\4\0\0Q\350\255H\0\0\353\2\213\306\215p\377Vh\300\230@\0\350sJ\0\0YYj\0V\350\337\374\377\377\351\351\32\0\0\205\322t)\366\302\10t\17\241\10\320@\0\243<\320@\0\351\306\32\0\0\241<\320@\0\243\10\320@\0\211\25<\320@\0\351\261\32\0\03\366\350\307\375\377\377Ph\260\230@\0\350%J\0\0YYV\377u\310\350\2748\0\0\351\217\32\0\03\311\350\217\375\377\377\213\360Vh\244\230@\0\350\1J\0\0\203\376\1YY\177\33\366FV\377\25\260\220@\0\351e\32\0\0h\224\230@\0\350\341I\0\0Y\377u\360\377\250\222@\0\351L\32\0\03\311A\350K\375\377\377\213M\310\211\4\215\0BC\0\3515\32\0\0\213M\320\213U\3243\300\215\14\215\0BC\09\1\17\224\300!\21\213D\205\310\351!\32\0\0\3774\225\0BC\0W\351\237\31\0\0\241`9C\0\205\300\213=4\222@\0t\7RP\377", ) == 0x0
 00929  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\204\346\31\0\0VP\377\327\351\335\31\0\0j\360^\350\362\374\377\377\377u\314\213\360Vht\230@\0\350KI\0\0\203\304\14\377u\314V\377\25\254\220@\0\205\300\17\205\260\31\0\0hX\230@\0\307E\374\1\0\0\0\350%I\0\0\351s\30\0\0j\360^\350\257\374\377\377\377u\314\213\360Vh<\230@\0\350\10I\0\0\203\304\14\200>\0t\21V\350YJ\0\0\205\300u\7\307E\374\1\0\0\0\203}\314\0t\36j\346\350R\374\377\377Vh\0\250C\0\350\210G\0\0V\377\25\250\220@\0\351E\31\0\0j\365\351\350\16\0\03\366\350T\374\377\377j\20^\213\370\350J\374\377\377W\213\360\350\307H\0\0\205\300t\26\377u\314Vh\20\230@\0\350\231H\0\0\203\304\14\351]\10\0\0\377u\320Vh\334\227@\0\350\203H\0\0\203\304\14\213E\320\351\375\30\0\0j\320^\350\7\374\377\377j\337^\211E\10\350\374\373\377\377\377u\10\273\250\330@\0S\213\370\350\6G\0\0W\350\6G\0\0\377u\10\213\360\350\374F\0\0\3\360\201\376\375\3\0\0}\22\2135\244\220@\0h\330\227@\0S\377\326WS\377\326Sh\314\227@\0\350\36H\0\0YYW\377u\10\377\25\240\220@\0\205\300t\7j\343\351+\16\0\0\203}\320\0t'\377u\10\350\25H\0\0\205\300t\33W\377u\10\350\241I\0\0j\344\350U\373\377\377Sh\264\227@\0\351'\27\0\0S\307E\374\1\0\0\0h\240\227@\0\351\25\27\0\03\366\350X\373\377\377\213\360\215E\10PS\277\0\4\0\0WV\377\25\234\220@\0\205\300t$\213E\10;\306v'\2008\0t"V\350\263G\0\0\205\300t\16\203\300,P\377u\10\3508F\0\0\353\12\307E\374\1\0\0\0\306", ) V\350\263G\0\0\205\300t\16\203\300,P\377u\10\3508F\0\0\353\12\307E\374\1\0\0\0\306", ) == 0x0
 00930  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "WSS\377\25\230\220@\0\351\335\27\0\0\203\316\377\350\362\372\377\377\215M\10QWh\0\4\0\0j\0Pj\0\377\25\224\220@\0\205\300\17\205\270\27\0\0\307E\374\1\0\0\0\306\7\0\351\251\27\0\0j\357^\350\276\372\377\377PW\350"D\0\0\205\300\17\205\222\27\0\0\307E\374\1\0\0\0\351\206\27\0\0\203\346\7\366\5\345AC\0\4\211u\10u\30j1^\350\214\372\377\377\213\330S\211]\360\350\241E\0\0\351\235\0\0\0j6^\350t\372\377\377\213\330S\211]\360\350\211E\0\0\3775\364\314B\0\213\360\350|E\0\0\215L0\1\270\5\1\0\0;\310r\17\3775\364\314B\0\350dE\0\0\215D0\1P\350aB\0\0\213\370\205\377\211}\364\17\204\213\23\0\0\3775\364\314B\0W\350;E\0\0SW\377\25\244\220@\0W\3503E\0\0\215t8\377\353\17\200>\t\16VW\377\258\222@\0\213\360;\367w\355W\306\6\0\350\271G\0\0\205\300\17\204G\23\0\0WS\306\6\\350\371D\0\0\213E\310\301\370\3S\203\340\2P\377u\10hd\227@\0\3500F\0\0\203\304\20S\350\20B\0\0\205\300\276\250\324@\0St\10V\350\310D\0\0\353\30h\0\250C\0V\350\273D\0\0P\350^F\0\0P\377\25\244\220@\0V\350\264D\0\0\273\250\330@\0\277\250\334@\0\203}\10\3|1V\350\375E\0\03\311\205\300t\20\215M\324Q\203\300\24P\377\25\220\220@\0\213\310\213E\10\203\300\375\15\0\0\0\200#\301\367\330\33\300@\211E\10\203}\10\0u\22V\377\25\214\220@\0\203\340\376PV\377\25\254\220@\03\300\203}\10\1\17\225\300@Ph\0\0\0@V\350[B\0\0\203\370\377\211E\370\17\205\267\0\0", ) D\0\0\205\300\17\205\222\27\0\0\307E\374\1\0\0\0\351\206\27\0\0\203\346\7\366\5\345AC\0\4\211u\10u\30j1^\350\214\372\377\377\213\330S\211]\360\350\241E\0\0\351\235\0\0\0j6^\350t\372\377\377\213\330S\211]\360\350\211E\0\0\3775\364\314B\0\213\360\350|E\0\0\215L0\1\270\5\1\0\0;\310r\17\3775\364\314B\0\350dE\0\0\215D0\1P\350aB\0\0\213\370\205\377\211}\364\17\204\213\23\0\0\3775\364\314B\0W\350;E\0\0SW\377\25\244\220@\0W\3503E\0\0\215t8\377\353\17\200>\t\16VW\377\258\222@\0\213\360;\367w\355W\306\6\0\350\271G\0\0\205\300\17\204G\23\0\0WS\306\6\\350\371D\0\0\213E\310\301\370\3S\203\340\2P\377u\10hd\227@\0\3500F\0\0\203\304\20S\350\20B\0\0\205\300\276\250\324@\0St\10V\350\310D\0\0\353\30h\0\250C\0V\350\273D\0\0P\350^F\0\0P\377\25\244\220@\0V\350\264D\0\0\273\250\330@\0\277\250\334@\0\203}\10\3|1V\350\375E\0\03\311\205\300t\20\215M\324Q\203\300\24P\377\25\220\220@\0\213\310\213E\10\203\300\375\15\0\0\0\200#\301\367\330\33\300@\211E\10\203}\10\0u\22V\377\25\214\220@\0\203\340\376PV\377\25\254\220@\03\300\203}\10\1\17\225\300@Ph\0\0\0@V\350[B\0\0\203\370\377\211E\370\17\205\267\0\0", ) == 0x0
 00931  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\350kE\0\0YYh\0PC\0W\350\17D\0\0Vh\0PC\0\350\4D\0\0\377u\334S\350\220J\0\0Wh\0PC\0\350\360C\0\0\213E\310\301\370\3PS\350\256@\0\0\203\350\4u\20h0\227@\0\350#E\0\0Y\3510\377\377\377Ht?h\30\227@\0\350\20E\0\0YVj\372\351D\372\377\377\377u\360j\342\350\2373\0\0\203}\10\2u\6\377\5\10BC\0\377u\10Vh\360\226@\0\350\343D\0\0\203\304\14\351F\25\0\0h\324\226@\0\350\321D\0\0\377\5\10BC\0Y\351H\25\0\0\377u\360j\352\350]3\0\0\377\5<\320@\03\333SS\377u\370\377u\320\350G\27\0\0\377\15<\320@\0\213\370VWh\274\226@\0\350\222D\0\0\203\304\14\203}\324\377u\6\203}\330\377t\17\215E\324PSP\377u\370\377\25\210\220@\0\377u\370\377\25\204\220@\0;\373\17\215\316\24\0\0\203\377\376u\24j\351V\350\234I\0\0\377u\360V\377\25\244\220@\0\353\10j\356V\350\210I\0\0Vh\270\226@\0\3507D\0\0YYh\20\0 \0V\350\246?\0\0\351\32\21\0\03\366\350\265\367\377\377\213\360Vh\250\226@\0\353Vj1^\350\243\367\377\377\213\360V\377u\310h\224\226@\0\350\374C\0\0\203\304\14\377u\310V\350l?\0\0\205\300\17\204\320\374\377\377;E\320\17\204R\1\0\0;E\330\17\205P\24\0\0\213E\334\351S\24\0\0j\360^\350]\367\377\377\213\360Vh\210\226@\0\350\271C\0\0YY\377u\314V\350#K\0\0\351#\24\0\03\366F\3508\367\377\377P\350RB\0\0P\351\0\372\377\377j\2Y\350\16\367\377\377j\3Y\211E\10\350\3\367\377\3773\366F\213\330", ) , ) == 0x0
 00932  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\7\0t\12\203}\10\0\17\204\335\23\0\0V\350\24B\0\0\205\333}\10\3\330\17\210\313\23\0\0;\330~\2\213\330\3\363VW\350\363A\0\0\213u\10\205\366\17\204\261\23\0\0}\21W\350\346A\0\0\3\360y\7\203e\10\0\213u\10\201\376\0\4\0\0\17\215\222\23\0\0\306\4>\0\351\211\23\0\0j ^\350\236\366\377\377j1^\213\370\350\224\366\377\377PW\377\25\200\220@\0\205\300ud\351l\372\377\3773\366F\350{\366\377\377\203}\320\0h\0\4\0\0WPt\21\377\25|\220@\0\205\300u\15\211u\374\210\7\353\6\377\25x\220@\0\306\207\377\3\0\0\0\351.\23\0\03\311\350.\366\377\3773\311A\213\360\350$\366\377\377\203}\334\0u\14;\360|\14\17\216\23\372\377\377\353\22;\360s\10\213E\324\351\12\23\0\0\17\206\377\371\377\377\213E\330\351\374\22\0\03\333C\213\313\350\356\365\377\377j\2Y\213\360\350\344\365\377\377\213\310\213E\324\203\370\14wh\377$\205\113@\0\3\361\353]+\361\353Y\17\257\316\213\361\353R\205\311tA\213\306\231\367\371\213\360\353E\13\361\353A#\361\353=3\361\35393\300\205\366\17\224\300\353\347\205\366u\16\353\103\366\353&\205\366t\370\205\311t\364\213\363\353\32\205\311t\11\213\306\231\367\371\213\362\353\153\366\211]\374\353\6\323\346\353\2\323\376V\351V\370\377\3773\366F\350z\365\377\377j\2Y\213\360\350Z\365\377\377PVW\377\25<\222@\0\3512\13\0\0\213E\320\205\300\2135\240\324@\0tPH\205\366t\12\205\300\2136u\365\205\366u\24\377u\320hl\226@\0\350\242A\0\0YY\351d\10\0\0\215~\4W\276\250\324@\0V\350=@\0\0\241\240\324@\0\203\300\4PW\350.@\0\0", ) , ) == 0x0
 00933  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\20\0\0\205\322t+\205\366u\20hX\226@\0\350\A\0\0Y\351>\372\377\377\215F\4PW\350\375?\0\0\213\6\243\240\324@\0V\351\263\21\0\0h\4\4\0\0\350\363<\0\0\377u\310\213\360\215F\4P\350mF\0\0\241\240\324@\0\211\6\2115\240\324@\0\351\217\21\0\0j3^\350\244\364\377\377jD^\211E\364\350\231\364\377\3773\366F\366E\334\1\211E\10u\13\377u\364\350\26?\0\0\211E\364\366E\334\2u\13\377u\10\350\5?\0\0\211E\10\203}\304!uH\213\316\350N\364\377\377j\2Y\213\360\350D\364\377\377\213M\334\301\371\2t\37\215U\370RQj\0\377u\10\377u\364PV\377\25@\222@\0\367\330\33\300@\211E\374\353@\377u\10\377u\364PV\377\25l\222@\0\353-\350\36\364\377\377j\22^\213\330\350\24\364\377\377\212\10\366\331\33\311#\310\212\3\366\330Q\33\300#\303P\377u\10\377u\364\377\25D\222@\0\211E\370\203}\310\0\17\214\314\20\0\0\377u\370\351\265\366\377\3773\311\350\304\363\377\377P\377\25H\222@\0\205\300\17\204\264\367\377\377\213E\314\351\261\20\0\0j\2Y\350\245\363\377\3773\311PA\350\234\363\377\377P\377\25L\222@\0\351t\374\377\377\241\310AC\0\3\302Pj\3533\311\350\177\363\377\377P\377\25P\222@\0\351l\20\0\0R\377u\360\377\25L\222@\0\213\370\215E\254PW\377\25t\222@\0\213E\270\17\257E\320j\20P\213E\264\17\257E\320P3\333S3\366\350V\363\377\377PS\377\25T\222@\0PShr\1\0\0W\377\25l\222@\0;\303\17\204\33\20\0\0P\377\25@\220@\0\351\17\20\0\0jHjZ\377u\360\377\25X\222@\0P\377\25<\220@\0Pj\2Y", ) , ) == 0x0
 00934  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "j\3\367\330Y\243\250\360@\0\350\343\362\377\377\377u\314\243\270\360@\0\212E\330\212\310\200\341\1\210\15\274\360@\0\212\310\200\341\2$\4h\304\360@\0\210\15\275\360@\0\242\276\360@\0\306\5\277\360@\0\1\350oD\0\0h\250\360@\0\377\25H\220@\0\351~\373\377\3773\311\350\223\362\377\3773\311A\213\360\350\211\362\377\377\203}\320\0\213\370t\13hL\226@\0\350\366>\0\0Y\203}\324\0WVu\13\377\254\222@\0\351\\17\0\0\377\25\\222@\0\351Q\17\0\03\366\350g\362\377\377j1^\213\370\350]\362\377\377j"^\213\330\350S\362\377\377SWhD\226@\0h\250\330@\0\213\360\377\25<\222@\0\203\304\20j\354\350\16\362\377\377\212\6\377u\324\366\330h\0\250C\0\33\300#\306P\212\7\366\330S\33\300#\307P\377u\360\377\25p\221@\0\203\370!}\26PVSWh\10\226@\0\350g>\0\0\203\304\24\351G\367\377\377VSWh\324\225@\0\350R>\0\0\203\304\20\351\304\16\0\03\366\350\332\361\377\377\213\360Vh\300\225@\0\3506>\0\0YYVj\353\350\316,\0\0h\0\250C\0V\350%9\0\0\205\300\211E\10V\17\204\214\0\0\0h\250\225@\0\350\13>\0\0\203}\320\0YYtrjd\377u\10\377\25t\220@\0\276\2\1\0\0;\306u3\213=`\222@\0\353\12\215E\240P\377\25d\222@\0j\1j\17j\17\215E\240j\0P\377\327\205\300u\344jd\377u\10\377\25t\220@\0;\306t\337\215E\350P\377u\10\377\25p\220@\0\203}\314\0|\13\377u\350S\350\257;\0\0\353\15\203}\350\0t\7\307E\374\1\0\0\0\377u\10\351\336\7\0\0\307E\374\1\0\0\0h\204\225@\0", ) ^\213\330\350S\362\377\377SWhD\226@\0h\250\330@\0\213\360\377\25<\222@\0\203\304\20j\354\350\16\362\377\377\212\6\377u\324\366\330h\0\250C\0\33\300#\306P\212\7\366\330S\33\300#\307P\377u\360\377\25p\221@\0\203\370!}\26PVSWh\10\226@\0\350g>\0\0\203\304\24\351G\367\377\377VSWh\324\225@\0\350R>\0\0\203\304\20\351\304\16\0\03\366\350\332\361\377\377\213\360Vh\300\225@\0\3506>\0\0YYVj\353\350\316,\0\0h\0\250C\0V\350%9\0\0\205\300\211E\10V\17\204\214\0\0\0h\250\225@\0\350\13>\0\0\203}\320\0YYtrjd\377u\10\377\25t\220@\0\276\2\1\0\0;\306u3\213=`\222@\0\353\12\215E\240P\377\25d\222@\0j\1j\17j\17\215E\240j\0P\377\327\205\300u\344jd\377u\10\377\25t\220@\0;\306t\337\215E\350P\377u\10\377\25p\220@\0\203}\314\0|\13\377u\350S\350\257;\0\0\353\15\203}\350\0t\7\307E\374\1\0\0\0\377u\10\351\336\7\0\0\307E\374\1\0\0\0h\204\225@\0", ) == 0x0
 00935  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377P\350\206=\0\0\213\360\205\366t\21\377v\24S\350j;\0\0\377v\30\351\276\363\377\377\306\7\0\306\3\0\3510\366\377\377j\356\215E\254^\211E\10\350\321\360\377\377\215M\300QP\211E\354\350`U\0\0\213\360\205\366\306\7\0\306\3\0\307E\374\1\0\0\0\17\204\220\15\0\0V\350\3168\0\0\205\300\211E\350\17\204\177\15\0\0PVj\0\377u\354\350&U\0\0\205\300t5\215E\354P\215E\10Ph\200\225@\0\377u\350\350\7U\0\0\205\300t\34\213E\10\377p\10W\350\337:\0\0\213E\10\377p\14S\350\323:\0\0\203e\374\0\377u\350\351,\15\0\03\377Gh\1\200\0\0\211}\374\377\25l\220@\0\203=0BC\0\0\17\214+\1\0\0j\360^\350)\360\377\377\213\367\211E\10\350\37\360\377\377\203}\330\0\211E\370t\20\377u\10\377\25h\220@\0\205\300\211E\364uU\2135d\220@\03\377WW\215E\354Ph\0\4\0\0\377\326\213\35`\220@\0PW\277\0\23\0\0W\377\323\377u\10j\366\350\342*\0\0\377u\354\377u\10h\\225@\0\3500<\0\0\203\304\14\377u\10\377\25\304\220@\0\205\300\211E\364t}3\377G\377u\370\377u\364\377\258\221@\0\213\3603\333;\363t99]\320\211]\374t\23\377u\320\350f\357\377\377\377\326\205\300t@\211}\374\353;h\0\320@\0h\240\324@\0h\0PC\0h\0\4\0\0\377u\360\377\326\203\304\24\353\35\377u\370j\367\350e*\0\0\377u\10\377u\370h0\225@\0\350\263;\0\0\203\304\149]\324uN\377u\364\377\25<\221@\0\353Cj\0j\0\215E\354Ph\0\4\0\0\377\326Pj\0W\377\323j\366\350\364\356\377\377\377u\354\377u\10h", ) , ) == 0x0
 00936  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\353\22j\347\350\330\356\377\377h\314\224@\0\350^;\0\0Yj\0\377\25l\220@\0\351\312\13\0\0j\360^\350\337\356\377\377j\337^\211E\370\350\324\356\377\377j\2^\213\370\350\312\356\377\377j\315^\211E\300\350\277\356\377\377jE^\211E\350\350\264\356\377\377W\211E\354\350\3756\0\0\205\300u\10j!^\350\237\356\377\377\213E\330\213\310\301\371\20Q\17\266\314Q\276\377\0\0\0#\306P\377u\350\377u\300W\377u\370h\210\224@\0\350\337:\0\0\203\304 \215E\10Ph\220\255@\0j\1j\0h\300\257@\0\377\25\244\222@\0\205\300\17\214\323\0\0\0\213E\10\213\10\215U\364Rh\360\263@\0P\377\21\213\330\205\333\17\214\253\0\0\0\213E\10\213\10WP\377QP\213\330\213E\10\213\10h\0\250C\0P\377Q$\213M\330\213\301\301\370\10#\306t\15\213M\10\213\21PQ\377R<\213M\330\213E\10\213\20\301\371\20QP\377R4\213M\350\2009\0t\20\213}\330\213E\10\213\20#\376WQP\377RD\213E\10\377u\300\213\10P\377Q,\213E\10\377u\354\213\10P\377Q\343\300;\330|,h\0\4\0\0\276\250\350@\0Vj\377\377u\370f\243\250\350@\0PP\377\25D\221@\0\213E\364\213\10j\1VP\377Q\30\213\330\213E\364\213\10P\377Q\10\213E\10\213\10P\377Q\10\205\333}\13\307E\374\1\0\0\0j\360\353\2j\364\350G\355\377\377\351L\12\0\03\366\350b\355\377\377j\21^\213\330\350X\355\377\377\213\360VShp\224@\0\350\2639\0\0\213E\360\203\304\14S\211E\240\307E\244\2\0\0\0\350T8\0\0V\306D\30\1\0\350I8\0\0j\370\277\250\334@\0W\306D0\1\0\350\306>\0\0VW\377", ) , ) == 0x0
 00937  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\211]\250\211u\254\211}\272f\211E\260\350\1(\0\0\215E\240P\377\25\200\221@\0\205\300\17\204\307\11\0\0j\0j\371\350\346'\0\0\351'\362\377\377\201\376\15\360\255\13t\24h\20\0 \0j\350j\0\350o>\0\0P\351\364\364\377\377\377\5\24BC\0\351\222\11\0\03\366hh\224@\0\273\250\330@\0S\211u\300\211u\350\211u\10\350\2567\0\0S\277\250\334@\0W\350\2427\0\09u\310t\10\350~\354\377\377\211E\300\203}\314\0t\13j\21^\350m\354\377\377\211E\350\203}\330\0t\13j"^\350\\354\377\377\211E\10j\315^\350Q\354\377\377\213\360VWSh\250\324@\0hD\224@\0\350\2468\0\0\203\304\24V\377u\10\377u\350\377u\300\377\25H\221@\0\351n\361\377\3773\366F\307E\10!N~\0\350\26\354\377\377j\22^\213\330\350\14\354\377\377j\335^\211E\354\350\1\354\377\377Ph\377\3\0\0W\215E\10P\377u\354S\377\25L\221@\0\213\7;E\10\351\7\361\377\377\203}\330\0uDj\2\350\243\354\377\377\213\370\205\377\17\204\34\361\377\377j3^\350\303\353\377\377\213\360VW\377\25\20\220@\0Vh\250\334@\0\377u\314\213\330h(\224@\0\350\158\0\0\203\304\20W\377\25 \220@\0\353"^\350\220\353\377\377\213\360V\377u\314h\24\224@\0\350\3517\0\0\213E\314\203\304\14\205\300u\12\241\4BC\0\5\1\0\0\200\213M\330\203\341\2QVP\350\226\353\377\377\213\330\205\333\17\2047\10\0\0\351\240\360\377\3773\333;\363t\5\211u\10\353\15\241\4BC\0\5\1\0\0\200\211E\10\213E\330\211E\370\213E\334j\2^\211E\354\350#\353\377\377j\21^\211E\364\350\30\353\377\377S\215M\350", ) ^\350\\354\377\377\211E\10j\315^\350Q\354\377\377\213\360VWSh\250\324@\0hD\224@\0\350\2468\0\0\203\304\24V\377u\10\377u\350\377u\300\377\25H\221@\0\351n\361\377\3773\366F\307E\10!N~\0\350\26\354\377\377j\22^\213\330\350\14\354\377\377j\335^\211E\354\350\1\354\377\377Ph\377\3\0\0W\215E\10P\377u\354S\377\25L\221@\0\213\7;E\10\351\7\361\377\377\203}\330\0uDj\2\350\243\354\377\377\213\370\205\377\17\204\34\361\377\377j3^\350\303\353\377\377\213\360VW\377\25\20\220@\0Vh\250\334@\0\377u\314\213\330h(\224@\0\350\158\0\0\203\304\20W\377\25 \220@\0\353"\211]\250\211u\254\211}\272f\211E\260\350\1(\0\0\215E\240P\377\25\200\221@\0\205\300\17\204\307\11\0\0j\0j\371\350\346'\0\0\351'\362\377\377\201\376\15\360\255\13t\24h\20\0 \0j\350j\0\350o>\0\0P\351\364\364\377\377\377\5\24BC\0\351\222\11\0\03\366hh\224@\0\273\250\330@\0S\211u\300\211u\350\211u\10\350\2567\0\0S\277\250\334@\0W\350\2427\0\09u\310t\10\350~\354\377\377\211E\300\203}\314\0t\13j\21^\350m\354\377\377\211E\350\203}\330\0t\13j"^\350\\354\377\377\211E\10j\315^\350Q\354\377\377\213\360VWSh\250\324@\0hD\224@\0\350\2468\0\0\203\304\24V\377u\10\377u\350\377u\300\377\25H\221@\0\351n\361\377\3773\366F\307E\10!N~\0\350\26\354\377\377j\22^\213\330\350\14\354\377\377j\335^\211E\354\350\1\354\377\377Ph\377\3\0\0W\215E\10P\377u\354S\377\25L\221@\0\213\7;E\10\351\7\361\377\377\203}\330\0uDj\2\350\243\354\377\377\213\370\205\377\17\204\34\361\377\377j3^\350\303\353\377\377\213\360VW\377\25\20\220@\0Vh\250\334@\0\377u\314\213\330h(\224@\0\350\158\0\0\203\304\20W\377\25 \220@\0\353"^\350\220\353\377\377\213\360V\377u\314h\24\224@\0\350\3517\0\0\213E\314\203\304\14\205\300u\12\241\4BC\0\5\1\0\0\200\213M\330\203\341\2QVP\350\226\353\377\377\213\330\205\333\17\2047\10\0\0\351\240\360\377\3773\333;\363t\5\211u\10\353\15\241\4BC\0\5\1\0\0\200\211E\10\213E\330\211E\370\213E\334j\2^\211E\354\350#\353\377\377j\21^\211E\364\350\30\353\377\377S\215M\350", ) , ) == 0x0
 00938  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "E\360\307E\374\1\0\0\0\377\25\24\220@\0\205\300\17\205\261\0\0\03\366\203}\370\1\277\250\334@\0u(j#^\350\334\352\377\377W\350\3665\0\0W\377u\364\213\360\377u\360F\377u\10h\364\223@\0\350(7\0\0\203\304\24\203}\370\4u'j\3Y\350\230\352\377\377j\4^P\377u\364\243\250\334@\0\377u\360\377u\10h\320\223@\0\350\3736\0\0\203\304\24\203}\370\3u(h\0\14\0\0WS\377u\324\350\204\11\0\0\213\360V\377u\364\377u\360\377u\10h\250\223@\0\350\3156\0\0\203\304\24VW\377u\354S\377u\364\377u\350\377\25\30\220@\0\205\300u\3\211]\374\377u\350\351\343\0\0\0\377u\360\377u\10h\204\223@\0\350\2316\0\0\203\304\14\351\13\7\0\0h\31\0\2\0\350\354\352\377\377j3^\213\330\350\24\352\377\3773\366;\336\306\7\0\17\204X\357\377\377\215M\354QW\215M\10QVPS\307E\354\0\4\0\0\377\25\34\220@\03\311A\205\300u.\203}\10\4t\229M\10t\6\203}\10\2u\359u\330t\36\353\319u\330u\7\307E\374\1\0\0\0\3777W\35034\0\0\353\6\306\7\0\211M\374S\353Sh\31\0\2\0\350t\352\377\377j\3Y\213\360\350\206\351\377\3773\322;\362\306\7\0\17\204\340\356\377\3779U\330\271\377\3\0\0\211M\10t\14QWPV\377\25\4\220@\0\353\21RRRR\215M\10QWPV\377\25\14\220@\0\306\207\377\3\0\0\0V\377\25 \220@\0\3515\6\0\0\200?\0\17\204,\6\0\0W\350\3243\0\0P\377\25\204\220@\0\351\32\6\0\0j\355^\350/\351\377\377\377u\320\377u\314P\350_2\0\0\203\370\377\17\205\350\361\377\377\306\7\0\351c\356", ) , ) == 0x0
 00939  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\356\350\377\377\242\250\330@\03\300@\353\16j\21^\350\362\350\377\377P\350\144\0\0\200?\0\17\2044\356\377\377j\0\215M\10QPh\250\330@\0W\350b3\0\0P\377\25P\221@\0\351\16\356\377\377j\2Y3\366\350\245\350\377\377\203\370\1\211E\370\17\214\222\5\0\0\271\377\3\0\0;\301~\3\211M\370\200?\0\17\204\211\0\0\0W\306E\13\0\350!3\0\0\203}\370\0\213\370~wj\0\215E\354Pj\1\215E\347PW\377\25T\221@\0\205\300t`\203}\354\1uZ\203}\324\0u!\200}\13\15t+\200}\13\12t%\212E\347\210\4\36F\204\300\210E\13t:;u\370|\276\3533\17\266E\347PS\350\2612\0\0\351 \5\0\0\212E\3478E\13t\16<\15t\4<\12u\6\210\4\36F\353\15j\1j\0j\377W\377\25X\221@\0\306\4\36\0\205\366\351Q\355\377\377\200?\0\17\204\340\4\0\0\377u\324j\0j\2Y\350\332\347\377\377PW\350z2\0\0P\377\25X\221@\0\203}\314\0\17\214\273\4\0\0\351J\4\0\0\200?\0\17\204\255\4\0\0W\350U2\0\0P\377\25\\221@\0\351\233\4\0\0\200;\0\17\204\332\354\377\377\215\205\\376\377\377PS\35032\0\0P\377\25`\221@\0\205\300\17\204\276\354\377\377\215\205\210\376\377\377PW\351|\3\0\0j\2^\350~\347\377\377\215\215\\376\377\377QP\377\25d\221@\0\203\370\377u\10\306\3\0\351I\376\377\377PS\350\3241\0\0\353\3073\366\307E\300f\375\377\377\350L\347\377\377!u\350\366\5\345AC\0\4\213=\244\220@\0\211E\10\17\204\247\0\0\0P\350M2\0\0\3775\364\314B\0\213\360\350@2\0\0\215L0\1\270\5\1\0\0;\310r", ) , ) == 0x0
 00940  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\215D0\1P\350%/\0\0\213\330\205\333\211]\364tS\3775\364\314B\0S\350\32\0\0j\\377u\10\350\3173\0\0\205\300t\4@P\353\3\377u\10S\377\327S\350\3531\0\0\215t\30\377\353\17\200>\t\21VS\377\258\222@\0\213\360;\363\211u\350w\352S\306\6\0\350n4\0\0\205\300u\12\270\377\377\377\177\351\206\3\0\0S\377u\10\306\6\\350\2461\0\0\377u\10\350\326.\0\0\205\300\377u\10\273\250\330@\0t\10S\350\2141\0\0\353\24h\0\244C\0S\350\1771\0\0P\350"3\0\0P\377\327S\350|1\0\0j\2h\0\0\0@S\350\205/\0\0\203\370\377\211E\370\17\204\254\0\0\0\241\350AC\0P\211E\354\350V.\0\0\205\300\211E\360\17\204\212\0\0\0j\0\350\20\5\0\0\377u\354\377u\360\350\323\4\0\0\377u\320\3501.\0\0\213\360\205\366\211u\300t9\377u\320Vj\0\377u\314\350\375\4\0\0\353\33\213\16\213F\4Q\211M\264\213M\360\203\306\10V\3\301P\350\365.\0\0\3u\264\200>\0u\340\377u\300\377\25@\221@\03\366V\215E\234P\377u\354\377u\360\377u\370\377\25P\221@\0\377u\360\377\25@\221@\0VV\377u\370j\377\350\247\4\0\0\211E\300\377u\370\377\25\204\220@\0S\377u\300hd\223@\0\350\3541\0\0\203\304\14\203}\300\0j\363^}\21j\357^S\377\254\221@\0\307E\374\1\0\0\0V\3509\345\377\377\366\5\345AC\0\4\17\204'\2\0\0\213E\350\213u\10h\\223@\0V\306\0\0\377\327\3775\364\314B\0V\377\327hT\223@\0V\377\327\377u\364V\377\327\377u\364V\350\217,\0\0\205\300\211E\10Vtuh4\223@\0\350", ) 3\0\0P\377\327S\350|1\0\0j\2h\0\0\0@S\350\205/\0\0\203\370\377\211E\370\17\204\254\0\0\0\241\350AC\0P\211E\354\350V.\0\0\205\300\211E\360\17\204\212\0\0\0j\0\350\20\5\0\0\377u\354\377u\360\350\323\4\0\0\377u\320\3501.\0\0\213\360\205\366\211u\300t9\377u\320Vj\0\377u\314\350\375\4\0\0\353\33\213\16\213F\4Q\211M\264\213M\360\203\306\10V\3\301P\350\365.\0\0\3u\264\200>\0u\340\377u\300\377\25@\221@\03\366V\215E\234P\377u\354\377u\360\377u\370\377\25P\221@\0\377u\360\377\25@\221@\0VV\377u\370j\377\350\247\4\0\0\211E\300\377u\370\377\25\204\220@\0S\377u\300hd\223@\0\350\3541\0\0\203\304\14\203}\300\0j\363^}\21j\357^S\377\254\221@\0\307E\374\1\0\0\0V\3509\345\377\377\366\5\345AC\0\4\17\204'\2\0\0\213E\350\213u\10h\\223@\0V\306\0\0\377\327\3775\364\314B\0V\377\327hT\223@\0V\377\327\377u\364V\377\327\377u\364V\350\217,\0\0\205\300\211E\10Vtuh4\223@\0\350", ) == 0x0
 00941  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "jd\377u\10\377\327\276\2\1\0\0;\306u/\213\35`\222@\0\353\12\215E\240P\377\25d\222@\0j\1j\17j\17\215E\240j\0P\377\323\205\300u\344jd\377u\10\377\327;\306t\343\215E\354P\377u\10\377\25p\220@\0\203}\354\0t\3\377E\374\377u\10\377\25\204\220@\0\351y\1\0\0\377E\374h\370\222@\0\350\11\0\0YY\351e\1\0\0\205\366t5Rh\340\222@\0\350\3530\0\0\213E\314Ph\314\222@\0\243\4\35C\0\350\3300\0\0\203\304\20\203}\314\0\17\204E\1\0\0\350\301\16\0\0\351;\1\0\03\366F\350P\344\377\377Ph\270\226@\0\350\2560\0\0YY\351!\1\0\03\311\350!\344\377\377\213\370;=\254AC\0\17\203z\351\377\377\213E\320\213\367i\366\30\4\0\0\35\250AC\0\205\300|\27\213\14\206u\17\203\306\30VS\350\37/\0\0\351\343\0\0\0Q\353u\203\311\377+\310\211M\320t\153\311A\350\325\343\377\377\211E\314\353\20\377u\330\215F\30P\350\2115\0\0\200N\11\1\213E\320\213M\314\211\14\206\203}\324\0\17\204\246\0\0\0W\3502\340\377\377\351\233\0\0\03\311\350\233\343\377\377\203\370 \17\203\371\350\377\3773\3119M\324t!9M\320t\15P\3506\341\377\377\350'\341\377\377\353rQ\350t\341\377\377PS\350\372-\0\0\353c9M\320t\22\213M\314\213\25\210AC\0\211\214\202\224\0\0\0\353L\213\15\210AC\0\377\264\201\224\0\0\0S\350\55\0\0\3537\241(\365B\0j\0#\306Pj\13\377u\360\377\25l\222@\0\203}\310\0t\34j\0j\0\377u\360\377\25h\222@\0\203}\364\0t\11\377u\364\377\25@\221@\0\213E\374\1\5\10BC\0", ) , ) == 0x0
 00942  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\226\26@\0\270\26@\0\325\26@\0\15\27@\0\\27@\0\206\27@\0\342\27@\0\16\30@\0Q\30@\0\255\30@\0\237\27@\0\266\27@\0\325\27@\0\371\30@\0\251\31@\0\16\32@\0B\32@\0e\32@\0L\35@\0]\35@\0\243\35@\0\310\35@\0\334\35@\0b\36@\0\205\36@\0\275\36@\0\372\36@\0\206\37@\0\246\37@\0\ @\0\ @\0'!@\0E!@\0b!@\0\177!@\0\334!@\0X"@\0\232"@\0'#@\0\371#@\0)$@\0\271$@\0!&@\0\237'@\02(@\0Y(@\0\343(@\0&)@\0\271)@\0\340*@\0X+@\0\266+@\0\321+@\0\366+@\0C,@\0\2-@\05-@\0P-@\0\202-@\0\256-@\0w0@\0\3120@\0P1@\0\3531@\0\3531@\0\2641@\0\37\37@\0#\37@\0'\37@\0.\37@\0;\37@\0?\37@\0C\37@\0G\37@\0P\37@\0Z\37@\0f\37@\0z\37@\0~\37@\0U\213\354\201}\14\20\1\0\0VW\213}\10\276\23\1\0\0u\33j\0h\372\0\0\0j\1W\377\25\224\221@\0\213E\24\243\354\314B\0\211u\149u\14uN\213\15\350\314B\0\241\360\314B\0;\310|\2\213\310PjdQ\377\250\221@\0P\3775\354\314B\0\276\350\260A\0V\377\25<\222@\0\203\304\14VW\377\25\220\221@\0Vh\6\4\0\0W\350\23)\0\0j\5W\377\254\222@\0_3\300^]\302\20\0U\213\354V\213u\14j\0\215E\14PV\377u\10\3775\14\320@\0\377\25T\221@\0\205\300t\129u\14u\53\300@\353\2", ) @\0\232 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\226\26@\0\270\26@\0\325\26@\0\15\27@\0\\27@\0\206\27@\0\342\27@\0\16\30@\0Q\30@\0\255\30@\0\237\27@\0\266\27@\0\325\27@\0\371\30@\0\251\31@\0\16\32@\0B\32@\0e\32@\0L\35@\0]\35@\0\243\35@\0\310\35@\0\334\35@\0b\36@\0\205\36@\0\275\36@\0\372\36@\0\206\37@\0\246\37@\0\ @\0\ @\0'!@\0E!@\0b!@\0\177!@\0\334!@\0X"@\0\232"@\0'#@\0\371#@\0)$@\0\271$@\0!&@\0\237'@\02(@\0Y(@\0\343(@\0&)@\0\271)@\0\340*@\0X+@\0\266+@\0\321+@\0\366+@\0C,@\0\2-@\05-@\0P-@\0\202-@\0\256-@\0w0@\0\3120@\0P1@\0\3531@\0\3531@\0\2641@\0\37\37@\0#\37@\0'\37@\0.\37@\0;\37@\0?\37@\0C\37@\0G\37@\0P\37@\0Z\37@\0f\37@\0z\37@\0~\37@\0U\213\354\201}\14\20\1\0\0VW\213}\10\276\23\1\0\0u\33j\0h\372\0\0\0j\1W\377\25\224\221@\0\213E\24\243\354\314B\0\211u\149u\14uN\213\15\350\314B\0\241\360\314B\0;\310|\2\213\310PjdQ\377\250\221@\0P\3775\354\314B\0\276\350\260A\0V\377\25<\222@\0\203\304\14VW\377\25\220\221@\0Vh\6\4\0\0W\350\23)\0\0j\5W\377\254\222@\0_3\300^]\302\20\0U\213\354V\213u\14j\0\215E\14PV\377u\10\3775\14\320@\0\377\25T\221@\0\205\300t\129u\14u\53\300@\353\2", ) , ) == 0x0
 00943  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "t$\14\3775\14\320@\0\377\25X\221@\0\302\4\0U\213\354\203\354XV\213u\24W\213}\20\205\377\211u\370u\7\307E\370\0\200\0\0\203e\374\0\205\377\211}\364u\7\307E\364\3500A\0\213E\10\205\300|\16\213\15\330AC\0\3\310Q\350\246\377\377\377j\4\215E\24P\350i\377\377\377\205\300u\10j\375X\351\215\1\0\0\366E\27\200S\17\204d\1\0\0\213\35\264\220@\0\377\323\203%T6B\0\0\203%P6B\0\0\201e\24\377\377\377\177\211E\360\270\330LB\0\243\340\314B\0\243\334\314B\0\213E\24\307\581B\0\10\0\0\0\307\5\330\314B\0\330\314B\0\211E\10\17\216/\1\0\0\276\0@\0\09u\24}\3\213u\24V\277\350\360@\0W\350\352\376\377\377\205\300\17\204\353\0\0\0)u\24\211=(1B\0\2115,1B\0\213E\370\213}\364h(1B\0\211=01B\0\24341B\0\350p9\0\0\205\300\211E\350\17\214\273\0\0\0\213501B\0+\367\377\323\366\5<\320@\0\1\213\370tC+E\360=\310\0\0\0w\6\203}\24\0u3\377u\10\213E\10+E\24jdP\377\250\221@\0P\215E\250h\350\230@\0P\377\25<\222@\0\203\304\14\215E\250Pj\0\350\242\32\0\0\211}\3603\300;\360tM9E\20u(P\215E\354PV\377u\364\377u\14\377\25P\221@\0\205\300\17\204\251\0\0\09u\354\17\205\240\0\0\0\1u\374\353\24)u\370\1u\374\203}\370\1\24101B\0\211E\364|:\203}\350\1\17\2051\377\377\377\353.9E\24\17\217\366\376\377\377\353#j\375X\353!j\374\353\371\205\377t[9u\24}\3\213u\24VW\350\333\375\377\377\205\300t\340\211u", ) , ) == 0x0
 00944  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "u\3709u\24}\3\213u\24V\277\350\360@\0W\350\263\375\377\377\205\300t\270j\0\215E\20PVW\377u\14\377\25P\221@\0\205\300t\23;u\20u\16\1u\374)u\24\203}\24\0\177\277\353\263j\376\353\216U\213\354\203\354HSV3\366W\211u\374\377\25\264\220@\0h\0\4\0\0\211u\364\211u\370\276\0\254C\0V\3775\204AC\0\213\370\201\307\350\3\0\0\377\25\274\220@\0j\3h\0\0\0\200V\350\270'\0\0\213\330\203\373\377\211]\360\211\35\14\320@\0u\12\270H\232@\0\351E\2\0\0V\350\200+\0\0j\0S\377\25\270\220@\0\205\300\243\360\314B\0\213\360\17\216!\1\0\0\241\350AC\0\367\330\33\300%\0~\0\0\5\0\2\0\0;\360\213\336|\2\213\330Sh(\261A\0\350\337\374\377\377\205\300\17\204\202\1\0\03\3009\5\350AC\0u{j\34h(\261A\0\215E\324P\350\30'\0\0\213M\324\367\301\340\377\377\377\17\205\222\0\0\0\201}\330\357\276\255\336\17\205\205\0\0\0\201}\344Instu|\201}\340softus\201}\334Nulluj\213E\354;\306\17\217\370\0\0\0\11M\10\366E\10\10\213\25\350\314B\0\211\25\350AC\0u\6\366E\10\4um\377E\370\215p\374;\336v:\213\336\3536\366E\10\2u09E\374\17\205\326\0\0\0\377\25\264\220@\0;\307v\35h,\232@\0h=3@\0j\0jo\3775\204AC\0\377\25\234\221@\0\211E\374;5\360\314B\0}\21Sh(\261A\0\377u\364\350\273\333\377\377\211E\364\1\35\350\314B\0+\363\205\366\17\217\356\376\377\377\203}\374\0t\11\377u\374\377\25\230\221@\03\3779=\350AC\0tW9}\370t"", ) ", ) == 0x0
 00945  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\4\215E\370P\350\277\373\377\377\205\300t8\213E\364;E\370u0\377u\350\350\21%\0\0\213\360\241\350AC\0\203\300\34P\350\315\373\377\377\377u\350VWj\377\350\330\373\377\377;E\350tFV\377\25@\221@\0\270\370\230@\0\351\233\0\0\0\215E\270P\377\25d\222@\03\300j\1PPP\215E\270P\377\25`\222@\0\205\300u\341\3519\377\377\377\203}\374\0t\314\377u\374\377\25\230\221@\0\353\301\366E\10\2\2115\210AC\0t\3\203\16\10\213\6\203\340\30\366E\10\20\243 BC\0t\4\200N\1\4\366E\324\1\213\6\243\344AC\0t\6\377\5\340AC\0j\10\215FDY\203\350\10\10Iu\370j\1WW\377u\360\377\25X\221@\0\211F, ) , ) == 0x0
 00946  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377\323j\0\377\25h\220@\0\200=\0\240C\0"\243\204AC\0u\12\306D$\20"\276\1\240C\0\377t$\20V\350\22#\0\0P\377\25\244\221@\0\213\360\211t$\30\351\21\1\0\0< u\6F\200> t\372\200>"\306D$\20 u\6F\306D$\20"\200>/\17\205\334\0\0\0F\212\6NCRCu\16\212N\4\200\311 \200\371 u\3\203\317\4\201~\376 /D=\17\204\27\1\0\0\211|$\34u\11\210L$\20\203\306\3\353\30\200\371 \17\204\261\0\0\0\204\311\17\204\251\0\0\0\306D$\20 \213\360\377t$\20V\350P"\0\0\205\300\17\204\316\0\0\0+\306@@U\213\370\350-"\0\0\205\300\243\364\314B\0\17\204\274\0\0\0;\375v\2\213\375OWVP\377\323\3775\364\314B\0\350\245&\0\0j\0\3775\364\314B\0\377\25\300\220@\0\213|$\34\306D$\20/\377t$\20V\350\367!\0\0\213\360\200>"u\1F\212\6\204\300\17\205\345\376\377\377W\350\347\372\377\377\213\3303\355;\335\17\205\274\0\0\09-\340AC\0\17\204\231\0\0\0\213|$\30UW\350\274!\0\0\213\360\353UU\350\243!\0\0\205\300\243\364\314B\0t\20h<\233@\0P\350\202$\0\0\241\364\314B\0j\0P\377\25\300\220@\0\353\237\306F\376\0\203\306\2Vh\0\244C\0\350`$\0\0\353\225\273\350\232@\0\353\\273\330\232@\0\353U\201> _?=t\5N;\367s\363;\367\273H\232@\0rd\306\6\0\203\306\4V\350^&\0\0", ) \243\204AC\0u\12\306D$\20 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377\323j\0\377\25h\220@\0\200=\0\240C\0"\243\204AC\0u\12\306D$\20"\276\1\240C\0\377t$\20V\350\22#\0\0P\377\25\244\221@\0\213\360\211t$\30\351\21\1\0\0< u\6F\200> t\372\200>"\306D$\20 u\6F\306D$\20"\200>/\17\205\334\0\0\0F\212\6NCRCu\16\212N\4\200\311 \200\371 u\3\203\317\4\201~\376 /D=\17\204\27\1\0\0\211|$\34u\11\210L$\20\203\306\3\353\30\200\371 \17\204\261\0\0\0\204\311\17\204\251\0\0\0\306D$\20 \213\360\377t$\20V\350P"\0\0\205\300\17\204\316\0\0\0+\306@@U\213\370\350-"\0\0\205\300\243\364\314B\0\17\204\274\0\0\0;\375v\2\213\375OWVP\377\323\3775\364\314B\0\350\245&\0\0j\0\3775\364\314B\0\377\25\300\220@\0\213|$\34\306D$\20/\377t$\20V\350\367!\0\0\213\360\200>"u\1F\212\6\204\300\17\205\345\376\377\377W\350\347\372\377\377\213\3303\355;\335\17\205\274\0\0\09-\340AC\0\17\204\231\0\0\0\213|$\30UW\350\274!\0\0\213\360\353UU\350\243!\0\0\205\300\243\364\314B\0t\20h<\233@\0P\350\202$\0\0\241\364\314B\0j\0P\377\25\300\220@\0\353\237\306F\376\0\203\306\2Vh\0\244C\0\350`$\0\0\353\225\273\350\232@\0\353\\273\330\232@\0\353U\201> _?=t\5N;\367s\363;\367\273H\232@\0rd\306\6\0\203\306\4V\350^&\0\0", ) \306D$\20 u\6F\306D$\20 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377\323j\0\377\25h\220@\0\200=\0\240C\0"\243\204AC\0u\12\306D$\20"\276\1\240C\0\377t$\20V\350\22#\0\0P\377\25\244\221@\0\213\360\211t$\30\351\21\1\0\0< u\6F\200> t\372\200>"\306D$\20 u\6F\306D$\20"\200>/\17\205\334\0\0\0F\212\6NCRCu\16\212N\4\200\311 \200\371 u\3\203\317\4\201~\376 /D=\17\204\27\1\0\0\211|$\34u\11\210L$\20\203\306\3\353\30\200\371 \17\204\261\0\0\0\204\311\17\204\251\0\0\0\306D$\20 \213\360\377t$\20V\350P"\0\0\205\300\17\204\316\0\0\0+\306@@U\213\370\350-"\0\0\205\300\243\364\314B\0\17\204\274\0\0\0;\375v\2\213\375OWVP\377\323\3775\364\314B\0\350\245&\0\0j\0\3775\364\314B\0\377\25\300\220@\0\213|$\34\306D$\20/\377t$\20V\350\367!\0\0\213\360\200>"u\1F\212\6\204\300\17\205\345\376\377\377W\350\347\372\377\377\213\3303\355;\335\17\205\274\0\0\09-\340AC\0\17\204\231\0\0\0\213|$\30UW\350\274!\0\0\213\360\353UU\350\243!\0\0\205\300\243\364\314B\0t\20h<\233@\0P\350\202$\0\0\241\364\314B\0j\0P\377\25\300\220@\0\353\237\306F\376\0\203\306\2Vh\0\244C\0\350`$\0\0\353\225\273\350\232@\0\353\\273\330\232@\0\353U\201> _?=t\5N;\367s\363;\367\273H\232@\0rd\306\6\0\203\306\4V\350^&\0\0", ) \211|$\34u\11\210L$\20\203\306\3\353\30\200\371 \17\204\261\0\0\0\204\311\17\204\251\0\0\0\306D$\20 \213\360\377t$\20V\350P (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377\323j\0\377\25h\220@\0\200=\0\240C\0"\243\204AC\0u\12\306D$\20"\276\1\240C\0\377t$\20V\350\22#\0\0P\377\25\244\221@\0\213\360\211t$\30\351\21\1\0\0< u\6F\200> t\372\200>"\306D$\20 u\6F\306D$\20"\200>/\17\205\334\0\0\0F\212\6NCRCu\16\212N\4\200\311 \200\371 u\3\203\317\4\201~\376 /D=\17\204\27\1\0\0\211|$\34u\11\210L$\20\203\306\3\353\30\200\371 \17\204\261\0\0\0\204\311\17\204\251\0\0\0\306D$\20 \213\360\377t$\20V\350P"\0\0\205\300\17\204\316\0\0\0+\306@@U\213\370\350-"\0\0\205\300\243\364\314B\0\17\204\274\0\0\0;\375v\2\213\375OWVP\377\323\3775\364\314B\0\350\245&\0\0j\0\3775\364\314B\0\377\25\300\220@\0\213|$\34\306D$\20/\377t$\20V\350\367!\0\0\213\360\200>"u\1F\212\6\204\300\17\205\345\376\377\377W\350\347\372\377\377\213\3303\355;\335\17\205\274\0\0\09-\340AC\0\17\204\231\0\0\0\213|$\30UW\350\274!\0\0\213\360\353UU\350\243!\0\0\205\300\243\364\314B\0t\20h<\233@\0P\350\202$\0\0\241\364\314B\0j\0P\377\25\300\220@\0\353\237\306F\376\0\203\306\2Vh\0\244C\0\350`$\0\0\353\225\273\350\232@\0\353\\273\330\232@\0\353U\201> _?=t\5N;\367s\363;\367\273H\232@\0rd\306\6\0\203\306\4V\350^&\0\0", ) \0\0\205\300\243\364\314B\0\17\204\274\0\0\0;\375v\2\213\375OWVP\377\323\3775\364\314B\0\350\245&\0\0j\0\3775\364\314B\0\377\25\300\220@\0\213|$\34\306D$\20/\377t$\20V\350\367!\0\0\213\360\200> (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377\323j\0\377\25h\220@\0\200=\0\240C\0"\243\204AC\0u\12\306D$\20"\276\1\240C\0\377t$\20V\350\22#\0\0P\377\25\244\221@\0\213\360\211t$\30\351\21\1\0\0< u\6F\200> t\372\200>"\306D$\20 u\6F\306D$\20"\200>/\17\205\334\0\0\0F\212\6NCRCu\16\212N\4\200\311 \200\371 u\3\203\317\4\201~\376 /D=\17\204\27\1\0\0\211|$\34u\11\210L$\20\203\306\3\353\30\200\371 \17\204\261\0\0\0\204\311\17\204\251\0\0\0\306D$\20 \213\360\377t$\20V\350P"\0\0\205\300\17\204\316\0\0\0+\306@@U\213\370\350-"\0\0\205\300\243\364\314B\0\17\204\274\0\0\0;\375v\2\213\375OWVP\377\323\3775\364\314B\0\350\245&\0\0j\0\3775\364\314B\0\377\25\300\220@\0\213|$\34\306D$\20/\377t$\20V\350\367!\0\0\213\360\200>"u\1F\212\6\204\300\17\205\345\376\377\377W\350\347\372\377\377\213\3303\355;\335\17\205\274\0\0\09-\340AC\0\17\204\231\0\0\0\213|$\30UW\350\274!\0\0\213\360\353UU\350\243!\0\0\205\300\243\364\314B\0t\20h<\233@\0P\350\202$\0\0\241\364\314B\0j\0P\377\25\300\220@\0\353\237\306F\376\0\203\306\2Vh\0\244C\0\350`$\0\0\353\225\273\350\232@\0\353\\273\330\232@\0\353U\201> _?=t\5N;\367s\363;\367\273H\232@\0rd\306\6\0\203\306\4V\350^&\0\0", ) , ) == 0x0
 00947  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "$\0\0Vh\0\250C\0\350\24$\0\03\333\203\15,BC\0\377\350\262\35\0\0j\1\211D$\30\350\253$\0\0\350\372\374\377\377\377\25\234\222@\0\205\333\17\204\23\1\0\0h\20\0 \0S\350\250 \0\0j\2\351\275\1\0\0\211l$\20\277\371\314B\0\276\370\314B\0\275\370\324B\0h\0\264C\0W\306\5\370\314B\0"\350\261#\0\0h\20\320@\0V\377\25\244\220@\0W\377\254\221@\0\205\333\17\204\247\0\0\0h\0\4\0\0U\3775\204AC\0\377\25\274\220@\0h\21\320@\0\215\200\355\324B\0P\377\25\200\220@\0\205\300\17\204o\377\377\377j\0WU\377\25\314\220@\0\205\300tmj\0W\350X&\0\0\200=\0\244C\0\0t\15h\0\244C\0U\350@#\0\0\353\6U\350B%\0\0h\324\232@\0V\377\25\244\220@\0\377t$\30V\377\25\244\220@\0h\314\232@\0V\377\25\244\220@\0UV\377\25\244\220@\0V\350\260$\0\0h\0\264C\0V\350O\37\0\0\205\300t\11P\377\25\204\220@\03\333\376\5\20\320@\0\377D$\20\203|$\20\32\17\214\27\377\377\377\351\332\376\377\377\203=\24BC\0\0\17\204\235\0\0\0h\274\232@\0\377\25h\220@\0\213\3703\333;\373tv\21358\221@\0h\250\232@\0W\377\326h\220\232@\0W\211D$ \377\326hx\232@\0W\213\350\377\3269\$\30\213\360tJ;\353tF;\363tB\215D$\34Pj(\377\25\310\220@\0P\377T$$\205\300t,\215D$$Phd\232@\0S\377\325SSS\215D$,PS\377t$0\307D$8\1\0\0\0\307D$D\2\0\0\0\377\326Sj\2\377\25\240\221@\0\205\300u\7j\11\350\322", ) \350\261#\0\0h\20\320@\0V\377\25\244\220@\0W\377\254\221@\0\205\333\17\204\247\0\0\0h\0\4\0\0U\3775\204AC\0\377\25\274\220@\0h\21\320@\0\215\200\355\324B\0P\377\25\200\220@\0\205\300\17\204o\377\377\377j\0WU\377\25\314\220@\0\205\300tmj\0W\350X&\0\0\200=\0\244C\0\0t\15h\0\244C\0U\350@#\0\0\353\6U\350B%\0\0h\324\232@\0V\377\25\244\220@\0\377t$\30V\377\25\244\220@\0h\314\232@\0V\377\25\244\220@\0UV\377\25\244\220@\0V\350\260$\0\0h\0\264C\0V\350O\37\0\0\205\300t\11P\377\25\204\220@\03\333\376\5\20\320@\0\377D$\20\203|$\20\32\17\214\27\377\377\377\351\332\376\377\377\203=\24BC\0\0\17\204\235\0\0\0h\274\232@\0\377\25h\220@\0\213\3703\333;\373tv\21358\221@\0h\250\232@\0W\377\326h\220\232@\0W\211D$ \377\326hx\232@\0W\213\350\377\3269\$\30\213\360tJ;\353tF;\363tB\215D$\34Pj(\377\25\310\220@\0P\377T$$\205\300t,\215D$$Phd\232@\0S\377\325SSS\215D$,PS\377t$0\307D$8\1\0\0\0\307D$D\2\0\0\0\377\326Sj\2\377\25\240\221@\0\205\300u\7j\11\350\322", ) == 0x0
 00948  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\4\211D$\24\377t$\24\377\25h\221@\0\314\203|$\4xu\6\377\5T9C\0j\0\377t$\10h\10\4\0\0\3775\200AC\0\377\25l\222@\0\302\4\0\377t$\14j\0\350u(\0\0P\213D$\14\5\350\3\0\0P\377t$\14\350u\36\0\0\302\14\0\203=\14BC\0\0\241\10\335B\0u\5\241\30\365B\0j\1j\1h\364\0\0\0P\377\25l\222@\0\303\377t$\4\3775\30\365B\0\377\25\\222@\0\302\4\0j\1\377t$\10j(\3775\200AC\0\377\25l\222@\0\302\4\0\241H9C\0\205\300t\17j\0j\0\377t$\14P\377\25l\222@\0\302\4\0U\213\354\203\354\14\5\315\376\377\377\203\370\5V\17\207\216\0\0\0j\353\377u\14\377\25\254\221@\0\213\360\205\366t}\366F\24\2\213\6W\213=\250\221@\0t\3P\377\327\366F\24\1t\12P\377u\10\377\25P\220@\0\377v\20\377u\10\377\25L\220@\0\366F\24\10\213F\4\211E\370t\6P\377\327\211E\370\366F\24\4_t\12P\377u\10\377\25T\220@\0\366F\24\20t!\213F\10\211E\364\213F\14\205\300t\7P\377\25@\220@\0\215E\364P\377\25D\220@\0\211F\14\213F\14\353\23\300^\311\302\10\0U\213\354\201\354\0\4\0\0h\0\244C\0\215\205\0\374\377\377P\377\25\340\220@\0h\274\233@\0\215\205\0\374\377\377Ph 5C\0\350\205 \0\0P\350("\0\0P\377\25\244\220@\0\311\303\200=\0\260C\0\0SUVW\277\377\377\0\0\273\0\260C\0t\10S\350\320\37\0\0\353\6\377\25\344\220@\03\311\2135\304AC\0\205\366tI\213\15\210AC\0\213Id\213\321\17\257\316\367\332\3\15\300AC\03", ) \0\0P\377\25\244\220@\0\311\303\200=\0\260C\0\0SUVW\277\377\377\0\0\273\0\260C\0t\10S\350\320\37\0\0\353\6\377\25\344\220@\03\311\2135\304AC\0\205\366tI\213\15\210AC\0\213Id\213\321\17\257\316\367\332\3\15\300AC\03", ) == 0x0
 00949  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "f\205\355t\6\205\366u\352\353\33\213Q\2\211\25\9C\0\213Q\6\211\25(BC\0\215Q\12\211\25h9C\0\203=h9C\0\0u\22f\201\377\377\377u\7\277\377\3\0\0\353\2263\377\353\222\17\267\1PS\3505\37\0\0j\376h\2009C\0\350`&\0\0P\3775\24\335B\0\377\25\220\221@\0\241\254AC\0\205\300\2135\250AC\0t\33\213\370\213\6\205\300t\12P\215F\30P\3502&\0\0\201\306\30\4\0\0Ou\347_^][\303U\213\354\203}\14\1V\2135l\222@\0u\34\377u\24h\373\3\0\0\350!\34\0\0\377u\24j\1hf\4\0\0\377u\10\377\326\203}\14\2u-\377u\24\377u\20\377\25\204\221@\0\205\300t\16j\7\350\355\323\377\377\205\300u\3@\353\23\300Pj\0he\4\0\0\377u\10\377\3263\300^]\302\20\0U\213\354\377u\20\213E\10\213\15\370\330B\0\3\310Q\377u\14\377\25\320\220@\0\377u\14\350\14\37\0\0\213M\24\1\5\370\330B\0\211\13\300]\302\20\0U\213\354\203\354\14\201}\14\20\1\0\0SVW\17\205\12\1\0\0\213]\24\213{0\205\377}\21\213\15h9C\0\215\4\275\4\0\0\0+\310\2139\241\270AC\0\377s4\3\370\17\276\7\203e\370\0\211E\24\213C\24\213\360\301\356\5\367\326j"\377u\10\13\360G\211}\364\307E\374\371@@\0\203\346\1\350\241\374\377\377\377s8j#\377u\10\350\224\374\377\3773\300\205\366\17\224\300j\1\5\12\4\0\0P\377u\10\377\25\270\221@\0V\350\274\374\377\377h\350\3\0\0\377u\10\377\25L\222@\0\213\330S\350\271\374\377\377\2135l\222@\0j\0j\1h[\4\0\0S\377\326\241\210AC\0\213@h\205\300}", ) \377u\10\13\360G\211}\364\307E\374\371@@\0\203\346\1\350\241\374\377\377\377s8j#\377u\10\350\224\374\377\3773\300\205\366\17\224\300j\1\5\12\4\0\0P\377u\10\377\25\270\221@\0V\350\274\374\377\377h\350\3\0\0\377u\10\377\25L\222@\0\213\330S\350\271\374\377\377\2135l\222@\0j\0j\1h[\4\0\0S\377\326\241\210AC\0\213@h\205\300}", ) == 0x0
 00950  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0hC\4\0\0S\377\326h\0\0\1\4j\0hE\4\0\0S\377\326\203%\370\330B\0\0W\350\3\36\0\0Pj\0h5\4\0\0S\377\326\215E\364P\377u\24hI\4\0\0S\377\326\203%$\365B\0\03\300\351~\1\0\0\201}\14\21\1\0\0\213=L\222@\0\213\35l\222@\0uZ\213E\20\301\350\20f\205\300\17\205K\1\0\03\3009\5$\365B\0\17\205=\1\0\0\2135\34\365B\0\203\306\24\366\6 \17\204+\1\0\0PPh\360\0\0\0h\12\4\0\0\377u\10\377\327P\377\323\213\16\203\340\1\203\341\376\13\310P\211\16\350\306\373\377\377\350\235\373\377\377\203}\14N\17\205\347\0\0\0h\350\3\0\0\377u\10\377\327\213M\24\201y\10\13\7\0\0\17\205\210\0\0\0\201y\14\1\2\0\0\2135\264\221@\0\213=\260\221@\0u^\213Q\30\211U\364\213Q\34\211U\370+U\364\307E\374 -C\0\201\372\0\10\0\0s@\215M\364Qj\0hK\4\0\0P\377\323h\2\177\0\0j\0\377\327P\377\326j\1j\0j\0\377u\374h\310\233@\0\377u\10\377\25p\221@\0h\0\177\0\0j\0\377\327P\377\326\213M\24\203y\14 u\17h\211\177\0\0j\0\377\327P\377\326\213M\24\201y\10\0\7\0\0uN\201y\14\0\1\0\0uE\203y\20\15u\24j\0j\1h\21\1\0\0\3775\200AC\0\377\323\213M\24\203y\20\33u\16j\0j\0j\20\3775\200AC\0\377\3233\300@\353\36\201}\14\13\4\0\0u\6\377\5$\365B\0\213M\24\213E\14Q\377u\20\350\367\372\377\377_^[\311\302\20\0U\213\354\201}\14\20\1\0\0V\213u\24u&\377v0j\35\377u\10\350H\372\377\377\213F<\301\340", ) , ) == 0x0
 00951  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377u\10\350\303\30\0\0\213E\14V\377u\20\350\256\372\377\377^]\302\20\0U\213\354\203\354@SVWj\24_\213\360\201\376\0\4\0\0j\334[s\63\377j\336\353\15\201\376\0\0\20\0s\6j\12_j\335[j\337\215E\340P\350f"\0\0PS\215E\300P\350["\0\0P\215\4\266j\12\321\340\213\317\323\350Y3\322\367\361\213\317\323\356RVh\320\233@\0\377u\14\276\30\345B\0V\3501"\0\0V\213\370\350\232\33\0\0\3\370W\377\25<\222@\0\203\304\30V\377u\10\3775H9C\0\350"\30\0\0_^[\311\302\10\0\213\25\254AC\0\213\15\250AC\03\300\205\322t\30V\366A\10\1t\7\213t$\10\3\4\261\201\301\30\4\0\0Ju\352^\302\4\0U\213\354\203\354H\241\34\365B\0SV\213p<\301\346\12\211E\340\213@8\201\306\0PC\0\201}\14\13\4\0\0W\211E\374\273\373\3\0\0u%VS\350\274\27\0\0V\350\23\33\0\0\350L\372\377\377h\360\3\0\0\377u\10\377\25\300\221@\0\243\4\35C\0\201}\14\20\1\0\0\17\205\206\0\0\0j\20\377\25\274\221@\0\204\344\213=L\222@\0y$h\360\3\0\0\377u\10\377\327j\340j\10\377u\10\211E\370\350\314\370\377\377j\10\377u\370\377\254\222@\0V\350\336\27\0\0\205\300t\20V\350\373\27\0\0\205\300u\6V\350;\34\0\0VS\377u\10\3501\27\0\0\213E\24\377p4j\1\377u\10\350\215\370\377\377\213E\24\377p0j\24\377u\10\350}\370\377\377S\377u\10\377\327P\350\312\370\377\377\201}\14\21\1\0\0\17\205\273\0\0\0\17\267E\20;\303u\30\213M\20\301\351\20f\201\371\0\3\17\205\1\2\0\0\307E\14\17\4\0\0=", ) \0\0PS\215E\300P\350[ (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377u\10\350\303\30\0\0\213E\14V\377u\20\350\256\372\377\377^]\302\20\0U\213\354\203\354@SVWj\24_\213\360\201\376\0\4\0\0j\334[s\63\377j\336\353\15\201\376\0\0\20\0s\6j\12_j\335[j\337\215E\340P\350f"\0\0PS\215E\300P\350["\0\0P\215\4\266j\12\321\340\213\317\323\350Y3\322\367\361\213\317\323\356RVh\320\233@\0\377u\14\276\30\345B\0V\3501"\0\0V\213\370\350\232\33\0\0\3\370W\377\25<\222@\0\203\304\30V\377u\10\3775H9C\0\350"\30\0\0_^[\311\302\10\0\213\25\254AC\0\213\15\250AC\03\300\205\322t\30V\366A\10\1t\7\213t$\10\3\4\261\201\301\30\4\0\0Ju\352^\302\4\0U\213\354\203\354H\241\34\365B\0SV\213p<\301\346\12\211E\340\213@8\201\306\0PC\0\201}\14\13\4\0\0W\211E\374\273\373\3\0\0u%VS\350\274\27\0\0V\350\23\33\0\0\350L\372\377\377h\360\3\0\0\377u\10\377\25\300\221@\0\243\4\35C\0\201}\14\20\1\0\0\17\205\206\0\0\0j\20\377\25\274\221@\0\204\344\213=L\222@\0y$h\360\3\0\0\377u\10\377\327j\340j\10\377u\10\211E\370\350\314\370\377\377j\10\377u\370\377\254\222@\0V\350\336\27\0\0\205\300t\20V\350\373\27\0\0\205\300u\6V\350;\34\0\0VS\377u\10\3501\27\0\0\213E\24\377p4j\1\377u\10\350\215\370\377\377\213E\24\377p0j\24\377u\10\350}\370\377\377S\377u\10\377\327P\350\312\370\377\377\201}\14\21\1\0\0\17\205\273\0\0\0\17\267E\20;\303u\30\213M\20\301\351\20f\201\371\0\3\17\205\1\2\0\0\307E\14\17\4\0\0=", ) \0\0V\213\370\350\232\33\0\0\3\370W\377\25<\222@\0\203\304\30V\377u\10\3775H9C\0\350 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377u\10\350\303\30\0\0\213E\14V\377u\20\350\256\372\377\377^]\302\20\0U\213\354\203\354@SVWj\24_\213\360\201\376\0\4\0\0j\334[s\63\377j\336\353\15\201\376\0\0\20\0s\6j\12_j\335[j\337\215E\340P\350f"\0\0PS\215E\300P\350["\0\0P\215\4\266j\12\321\340\213\317\323\350Y3\322\367\361\213\317\323\356RVh\320\233@\0\377u\14\276\30\345B\0V\3501"\0\0V\213\370\350\232\33\0\0\3\370W\377\25<\222@\0\203\304\30V\377u\10\3775H9C\0\350"\30\0\0_^[\311\302\10\0\213\25\254AC\0\213\15\250AC\03\300\205\322t\30V\366A\10\1t\7\213t$\10\3\4\261\201\301\30\4\0\0Ju\352^\302\4\0U\213\354\203\354H\241\34\365B\0SV\213p<\301\346\12\211E\340\213@8\201\306\0PC\0\201}\14\13\4\0\0W\211E\374\273\373\3\0\0u%VS\350\274\27\0\0V\350\23\33\0\0\350L\372\377\377h\360\3\0\0\377u\10\377\25\300\221@\0\243\4\35C\0\201}\14\20\1\0\0\17\205\206\0\0\0j\20\377\25\274\221@\0\204\344\213=L\222@\0y$h\360\3\0\0\377u\10\377\327j\340j\10\377u\10\211E\370\350\314\370\377\377j\10\377u\370\377\254\222@\0V\350\336\27\0\0\205\300t\20V\350\373\27\0\0\205\300u\6V\350;\34\0\0VS\377u\10\3501\27\0\0\213E\24\377p4j\1\377u\10\350\215\370\377\377\213E\24\377p0j\24\377u\10\350}\370\377\377S\377u\10\377\327P\350\312\370\377\377\201}\14\21\1\0\0\17\205\273\0\0\0\17\267E\20;\303u\30\213M\20\301\351\20f\201\371\0\3\17\205\1\2\0\0\307E\14\17\4\0\0=", ) , ) == 0x0
 00952  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "Y\377u\3743\300\215}\274\363\253\213E\10\277\30\345B\0j\0\211E\270\211}\300\307E\314\223@@\0\211u\320\350\215 \0\0\211E\304\215E\270P\307E\310A\0\0\0\377\25t\221@\0\205\300tLP\350\2\26\0\0\241\210AC\0\213\200\34\1\0\0\205\300t'Pj\0\350X \0\0W\277 -C\0W\377\25\200\220@\0\205\300t\16WV\350T\33\0\0P\377\25\244\220@\0\377\5\4\331B\0VS\377u\10\350=\26\0\0\201}\14\17\4\0\0t\15\201}\14\5\4\0\0\17\205I\1\0\0\203e\374\0\203e\370\0VS\203\317\377\350\33\26\0\0V\350\226\33\0\0\205\300u\7\307E\374\1\0\0\0V\276\10\331B\0V\350O\31\0\0V\350\250\26\0\0\205\300t\3\306\0\0h\360\233@\0\377\25h\220@\0\205\300\273\0\4\0\0t2h\334\233@\0P\377\258\221@\0\205\300t"\215M\344Q\215M\354Q\215M\330QV\377\320\205\300t\17\213}\330\213E\334\17\254\307\12\301\350\12\353/\215E\334P\215E\364P\215E\350P\215E\360PV\377\25\350\220@\0\205\300t\33\213E\360\17\257E\350S\377u\364P\377\250\221@\0\213\370\307E\370\1\0\0\0j\5\350M\375\377\377;\370s\7\307E\374\2\0\0\0\213\15h9C\03\3669q\20t+j\373h\377\3\0\0\350\222\374\377\3779u\370t\14j\374S\213\307\350\203\374\377\377\353\16h\332\233@\0S\377u\10\350%\25\0\0\213E\374;\306\243$BC\0u\12j\7\350\20\315\377\377\211E\374\213E\340\205X\24t\3\211u\3743\3009u\374\17\224\300P\350\250\366\377\3779u\374u\1595\4\331B\0u\5\350r\366\377\377\2115\4\331B\0\377u\24\213E\14\377", ) \215M\344Q\215M\354Q\215M\330QV\377\320\205\300t\17\213}\330\213E\334\17\254\307\12\301\350\12\353/\215E\334P\215E\364P\215E\350P\215E\360PV\377\25\350\220@\0\205\300t\33\213E\360\17\257E\350S\377u\364P\377\250\221@\0\213\370\307E\370\1\0\0\0j\5\350M\375\377\377;\370s\7\307E\374\2\0\0\0\213\15h9C\03\3669q\20t+j\373h\377\3\0\0\350\222\374\377\3779u\370t\14j\374S\213\307\350\203\374\377\377\353\16h\332\233@\0S\377u\10\350%\25\0\0\213E\374;\306\243$BC\0u\12j\7\350\20\315\377\377\211E\374\213E\340\205X\24t\3\211u\3743\3009u\374\17\224\300P\350\250\366\377\3779u\374u\1595\4\331B\0u\5\350r\366\377\377\2115\4\331B\0\377u\24\213E\14\377", ) == 0x0
 00953  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\20\0U\213\354\203\354,\241\250AC\03\3119\15\254AC\0\307E\3400\360\0\0\211M\374\17\216\254\0\0\0SV\2135l\222@\0W\215x\10\213E\14\213\4\210\205\300tz\213\27j\10\211E\330X\213\312#\310\213\332\203\343 \321\341\13\313\366\306\1\211E\324\211M\334t\24\215G\20\307E\324\11\0\0\0\211E\344\200g\1\376\213M\334\366\302@t\5j\3X\353\16\213\302\203\340\1@\366\302\20t\3\203\300\3\377u\330\301\340\14\13\3103\300\205\333\17\225\300\211M\334@Ph\2\21\0\0\377u\10\377\326\215E\324Pj\0h\15\21\0\0\377u\10\377\326\213M\374A\201\307\30\4\0\0;\15\254AC\0\211M\374\17\214c\377\377\377_^[\311\302\10\0U\213\354\203\354\20\377\25\310\221@\0\17\277\310\301\350\20\17\277\300\211E\364\215E\360P\377u\10\211M\360\377\25\304\221@\0\215E\360Pj\0h\21\21\0\0\377u\10\377\25l\222@\0\212E\370$f\366\330\33\300#E\374\311\302\4\0U\213\354\203\354(\201}\14\2\1\0\0VWu\33\203}\20 \17\205\255\0\0\0h\23\4\0\0\350a\365\377\3773\300\351\265\0\0\0\203\317\377\203}\14\2u\6\211=8\320@\0\201}\14\0\2\0\0\276\31\4\0\0u?\377u\10\377\25\320\221@\0\205\300tr\377u\10\350V\377\377\377\205\300\211E\334t\36\215E\330Pj\0h\14\21\0\0\377u\10\307E\330\4\0\0\0\377\25l\222@\0\213}\374\211u\14\353\3\213}\249u\14u;9=8\320@\0t3S\276\0PC\0V\273\30\345B\0S\211=8\320@\0\350Q\26\0\0WV\350\250\25\0\0j\6\350\352\312\377\377SV\350<\26\0\0[\353\3\213}\24W\377u\20\377u\14\377", ) , ) == 0x0
 00954  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "@\0_^\311\302\20\0U\213\354\203\354TSV\2135L\222@\0Wh\371\3\0\0\377u\10\377\326h\10\4\0\0\377u\10\211E\370\377\326\2135l\222@\0\211E\374\241\250AC\0\211E\350\241\210AC\0\5\224\0\0\03\333\201}\14\20\1\0\0j\20\211E\344_\17\205\32\2\0\0\213E\10\243\354AC\0\241\254AC\0\301\340\2P\211]\340\307E\354\2\0\0\0\350\261\22\0\0jn\3775\204AC\0\243\20\335B\0\377\25\324\221@\0h!I@\0j\374\377u\374\211E\360\377\25P\222@\0Sj\6j!WW\243\0\331B\0\377\254\220@\0h\377\0\377\0\377u\360\243\14\335B\0P\377\25,\220@\0\3775\14\335B\0j\2h\11\21\0\0\377u\374\377\326SSh\34\21\0\0\377u\374\377\326;\307}\14SWh\33\21\0\0\377u\374\377\326\377u\360\377\25@\220@\03\377\213E\344\213\4\270;\303t'\203\377 t\3\211]\354PS\350\233\33\0\0PShC\1\0\0\377u\370\377\326WPhQ\1\0\0\377u\370\377\326G\203\377!|\311\213E\354\213}\24\377t\2070j\25\377u\10\350\351\362\377\377\213E\354\377t\2074j\26\377u\10\350\330\362\377\3773\3779\35\254AC\0\211]\364\17\216\274\0\0\0\213E\350\203\300\10\211E\360\273\0\21\0\0\213U\360\215B\20\2008\0\17\204\204\0\0\0\213M\364\211E\304\213\2j \211M\254Y\213\320#\321\250\2\307E\260\2\0\377\377\307E\264\15\0\0\0\211M\300\211}\330\211U\274t&\215E\254Pj\0S\377u\374\307E\264M\0\0\0\307E\324\1\0\0\0\377\326\211E\364\307E\340\1\0\0\0\353(\213E\360\366\0\4t\24\377u\364j\3h\12\21\0\0\377u", ) , ) == 0x0
 00955  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "j\0S\377u\374\377\326\213\15\20\335B\0\211\4\271\201E\360\30\4\0\0G;=\254AC\0\17\214Y\377\377\3773\3339]\340u\32j\360\377u\374\377\25\254\221@\0\203\340\373Pj\360\377u\374\377\25P\222@\0Sj\6h\25\1\0\0\377u\374\377\3269]\354u\30j\5\377u\370\377\254\222@\0\377u\370\350%\362\377\377\351\216\3\0\0\377u\374\350\30\362\377\377\201}\14\5\4\0\0u\223\377G\211]\20\211}\24\307E\14\17\4\0\0\353\3\213}\24\203}\14N\270\23\4\0\0t\119E\14\17\205\376\0\0\09E\14t\15\201\177\4\10\4\0\0\17\205\354\0\0\0\366\5\345AC\0\2\17\205\235\0\0\09E\14t\24\203\177\10\376\17\205\216\0\0\0\377u\374\350\365\373\377\377\353\15Sj\11h\12\21\0\0\377u\374\377\326;\303\211E\274tp\215E\270PSh\14\21\0\0\377u\374\307E\270\4\0\0\0\377\326\205\300tV\213E\334\213M\350i\300\30\4\0\0\215L\10\10\213\1\250\20u@\250@t\235\200\0\0\0\204\300y\5\203\310\1\353\10\203\340\376\353\3\203\360\1\211\1\377u\334\3503\304\377\377\241\344AC\03\311\301\350\10A\367\320#\301\211M\20\211E\24\307E\14\17\4\0\0;\373t>\201\177\10n\376\377\377u\16\377w\Sh\31\4\0\0\377u\374\377\326\201\177\10j\376\377\377u\36\213G\\213M\350i\300\30\4\0\0\203\177\14\2\215D\10\10u\5\203\10 \353\3\203 \337\201}\14\21\1\0\0urf\201}\20\371\3\17\205A\2\0\0\213E\20\301\350\20f=\1\0\17\2051\2\0\0SShG\1\0\0\377u\370\377\326\203\370\377\17\204\34\2\0\0SPhP\1\0\0\377u\370\377\326\213\370\203\377\377t", ) , ) == 0x0
 00956  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "W\350\242\304\377\377WSh \4\0\0\377u\10\377\326\307E\20\1\0\0\0\211]\24\307E\14\17\4\0\0\201}\14\0\2\0\0u\14SSh\0\2\0\0\377u\374\377\326\201}\14\13\4\0\0u2\241\14\335B\0;\303t\7P\377\250\220@\0\241\20\335B\0;\303t\7P\377\25@\221@\0\211\35\14\335B\0\211\35\20\335B\0\211\35\354AC\0\201}\14\17\4\0\0\17\205@\1\0\0\350\31\304\377\3779]\20t\7j\10\3508\306\377\3779]\24t?\3775\20\335B\0\350R\304\377\377\213\370W\350\377\303\377\3773\3003\311;\373~\16\213U\3449\34\202t\1A@;\307|\362SQhN\1\0\0\377u\370\377\326\211}\24\307E\14 \4\0\0\350\304\303\377\3779\35\254AC\0\241\20\335B\0\213=\250AC\0\211E\340\307E\3040\360\0\0\211]\354\17\216\245\0\0\0\203\307\10\213E\340\213M\354\213\4\210;\303t}\213\27j\10\211E\274X\213\312#\310\211U\350\203e\350 \321\341\13M\350\366\306\1\211E\270\211M\300t\24\215G\20\307E\270\11\0\0\0\211E\310\200g\1\376\213M\300\366\302@t\5j\3X\353\16\213\302\203\340\1@\366\302\20t\3\203\300\3\377u\274\301\340\14\13\3103\3009]\350\211M\300\17\225\300@Ph\2\21\0\0\377u\374\377\326\215E\270PSh\15\21\0\0\377u\374\377\326\377E\354\213E\354\201\307\30\4\0\0;\5\254AC\0\17\214^\377\377\377\241h9C\09X\20t\23j\5\350\374\364\377\377j\373h\377\3\0\0\350Y\364\377\377\201}\14 \4\0\0u5\366\5\345AC\0\1t,\21354\222@\03\300\203}\24 \17\224\300\301\340\3\213\370W\377u\374\377\326Wh\376\3\0\0\377u", ) , ) == 0x0
 00957  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\24\213E\14\377u\20\350\266\356\377\377_^[\311\302\20\0U\213\354\203\3540\241L9C\0W3\377;\307\211E\370\17\204\272\0\0\0S\213\35<\320@\0\211]\374\203e\374\1V\276\30\335B\0u\11\377u\10V\350l\26\0\0V\350\327\17\0\09}\14\211E\10t\34\377u\14\350\307\17\0\0\3E\10=\0\10\0\0sy\377u\14V\377\25\244\220@\0\366\303\4t\15V\3775X9C\0\377\25\220\221@\0\366\303\2tIWWh\4\20\0\0\377u\370\211u\344\2135l\222@\0\307E\320\1\0\0\0\377\326+E\374\367\323\211E\324\215E\320PW\203\343\1\201\313\6\20\0\0S\377u\370\211}\330\377\326W\377u\324h\23\20\0\0\377u\370\377\3269}\374t\12\213E\10\306\200\30\335B\0\0^[_\311\302\10\0V\2135\250AC\0W\213=\254AC\0j\0\377\25\240\222@\0\11\50BC\0\205\377tQ\203\306\30O\366F\360\1u\30\366\5\345AC\0\4u\17Vh\20\234@\0\350H\20\0\0YY\353\35Vh\0\234@\0\3509\20\0\0YY\377t$\14\377v\364\350\241\302\377\377\205\300u\14\201\306\30\4\0\0\205\377u\272\353\6\377\5\14BC\0h\4\4\0\0\350A\355\377\377\377\25\234\222@\0\241\14BC\0_^\302\4\0U\213\354\203\354, ) , ) == 0x0
 00958  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\211E\374\350\210\354\377\377j\4\350\241\362\377\377h\0\244C\0j\375S\243d9C\0\211\35l9C\0\350\220\24\0\0Ph(\234@\0\350?\17\0\0\203\304\14\215E\354P\377u\374\377\25t\222@\0j\25\377\25\370\221@\0\213M\364\2135l\222@\0+\310\215E\314PSh\33\20\0\0\377u\374\211M\324\377\326\270\0@\0\0PPh6\20\0\0\377u\374\377\3269]\14|\34\377u\14Sh\1\20\0\0\377u\374\377\326\377u\14Sh&\20\0\0\377u\374\377\3269]\20|\16\377u\20Sh$\20\0\0\377u\374\377\326\213E\24\377p0j\33\377u\10\350{\353\377\377\366\5\344AC\0\3t)S\3775`9C\0\377\254\222@\0\366\5\344AC\0\2u\15j\10\377u\374\377\254\222@\0\353\6\211\35`9C\0h\354\3\0\0\377u\10\377\327h\0\00uS\213\370h\1\4\0\0W\377\326\366\5\344AC\0\4\17\204\357\1\0\0\377u\20Sh\11\4\0\0W\377\326\377u\14Sh\1 \0\0W\377\326\351\322\1\0\0\201}\14\5\4\0\0u(\215E\10PSh\354\3\0\0\377u\10\377\25L\222@\0Ph\353P@\0SS\377\25\370\220@\0P\377\25\204\220@\0\201}\14\21\1\0\0\213=4\222@\0u\33f\201}\20\3\4u5S\3775`9C\0\377\327j\10V\377\327\350\314\352\377\377\201}\14\4\4\0\0uU9\35T9C\0t&jx\307\5 \365B\0\2\0\0\0\350a\352\377\377\377u\24\213E\14\377u\20\350\5\353\377\377_^[\311\302\20\0j\10\3775\200AC\0\377\3279\35\14BC\0u\16\241\34\365B\0S\377p4\350/\374\377\377j\1\350%\352\377\377\203}\14{u\2769u\20", ) , ) == 0x0
 00959  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "l\222@\0;\303\211E\10\17\216\365\0\0\0\377\25\364\221@\0j\341S\213\370\350\230\22\0\0Pj\1SW\377\25\360\221@\0\213E\24\203\370\377u\23\215E\354PV\377\25\354\221@\0\213M\354\213E\360\353\11\17\277\310\301\350\20\17\277\300SVSPQh\200\1\0\0W\377\25\350\221@\03\377G;\307\17\205\232\0\0\0\213u\10\211]\314\307E\330\30\345B\0\307E\334\377\17\0\0\215E\304PNVh-\20\0\0\377u\374\377\25l\222@\0;\363\215|\7\2u\344S\377\25\344\221@\0\377\25\340\221@\0WjB\377\25\364\220@\0P\211E\14\377\25\360\220@\0\213\360\215E\304PSh-\20\0\0\377u\374\211u\330\211}\334\377\25l\222@\0V\350M\13\0\0\3\360f\307\6\15\12FFC;]\10|\322\377u\14\377\25\354\220@\0\377u\14j\1\377\25\334\221@\0\377\25\330\221@\03\300\351\262\376\377\377\203\354\20SU\213l$ \271\20\1\0\0;\351VW\17\204t\1\0\0\201\375\10\4\0\0\17\204h\1\0\0\203\375G\213\$$u\25j\233\300PPPPS\3775\24\335B\0\377\25\10\222@\0\203\375\5u\30\213D$,H\367\330\33\300#\305P\3775\24\335B\0\377\254\222@\0\201\375\15\4\0\0u\32\3775H9C\0\377\25\230\221@\0\213D$,\243H9C\0\351\21\4\0\0\203\375\21u\23j\0j\0S\377\25P\222@\03\300@\351 \4\0\0\203\375\20u3\241\244AC\0H9\5 \320@\0\17\205\310\0\0\0\3775\10\335B\0\377\25\4\222@\0\205\300\17\205\264\0\0\0\275\21\1\0\0\307D$,\1\0\0\0\201\375\21\1\0\0\17\205\233\0\0\0\17\267t$,VS\377\25L\222@", ) , ) == 0x0
 00960  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\33j\0j\0h\363\0\0\0W\377\323W\377\25\4\222@\0\205\300\17\204\246\3\0\03\377G;\367u\3W\353A\203\376\3u\15\203= \320@\0\0~:j\377\353/\203\376\2u1\203=\14BC\0\0t\16V\350}\276\377\377\2115 \365B\0\353\21j\3\350n\276\377\377\205\300u$\211= \365B\0jx\350\244\347\377\377\353\25\377t$0\377t$0h\21\1\0\0\3775H9C\0\377\323\377t$0\213\305\377t$0\3500\350\377\377\351-\3\0\0;\351\213D$,\213\$$\243\374\330B\0uM\2135L\222@\0j\1S\211\35\200AC\0\377\326j\2S\243\30\365B\0\377\326j\377j\34S\243\10\335B\0\350e\347\377\377\3775P9C\0j\362S\377\25\0\222@\0j\4\350\341\275\377\377\243T9C\03\300@\243\374\330B\0\213\15 \320@\0\213\361\301\346\6\35\240AC\03\377;\317|>\203\370\1u1W\377v\20\350\315\274\377\377\205\300t$j\1Wh\17\4\0\0\3775H9C\0\377\25l\222@\03\3009=T9C\0\17\224\300\351\202\2\0\09>\17\204x\2\0\0h\13\4\0\0\350S\347\377\377\241\374\330B\0\1\5 \320@\0\301\340\6\3\360\241 \320@\0;\5\244AC\0u\7j\1\350Q\275\377\377\203=T9C\0\0\17\205\370\1\0\0\241\244AC\09\5 \320@\0\17\203\347\1\0\0\377v$\213~\24h\0\300C\0\350\21\17\0\0\377v h\31\374\377\377S\350\203\346\377\377\377v\34h\33\374\377\377S\350u\346\377\377\377v(h\32\374\377\377S\350g\346\377\377j\3S\377\25L\222@\0\203=\14BC\0\0\213\350t\11\201\347\375\376\377\377\203\317\4\213\307\203\340\10PU", ) , ) == 0x0
 00961  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0PU\377\25\\222@\0\213\307\203\340\2P\350i\346\377\377\203\347\4W\3775\10\335B\0\377\25\\222@\0j\13\377Wh\364\0\0\0U\213-l\222@\0\377\3259=\14BC\0t\23Wj\2h\1\4\0\0S\377\325\3775\10\335B\0\353\6\3775\30\365B\0\3503\346\377\377h\2009C\0\275\30\345B\0U\350\265\7\0\0\377v\30U\350\262\7\0\0\3\305P\3509\16\0\0US\377\25\220\221@\0W\377v\10\350X\273\377\377\205\300\17\205\275\376\377\3779\6\17\204\265\376\377\377\203~\4\5u\359\5\14BC\0\17\205\21\1\0\09\5\0BC\0\17\205\227\376\377\377\351\0\1\0\0\3775H9C\0\377\25\230\221@\0\203>\0\2115\34\365B\0\17\216\300\0\0\0\213F\4V\3774\205$\320@\0f\213\6f\3\5\9C\0S\17\267\300P\3775\204AC\0\377\25\234\221@\0\205\300\243H9C\0\17\204\215\0\0\0\377v,j\6P\350\34\345\377\377\215D$\20Ph\372\3\0\0S\377\25L\222@\0P\377\25\354\221@\0\215D$\20PS\377\25\304\221@\0j\253\377WW\377t$ \377t$ W\3775H9C\0\377\25\10\222@\0W\377v\14\350\204\272\377\377j\10\3775H9C\0\377\254\222@\0h\5\4\0\0\350,\345\377\377\353 \3775H9C\0\377\25\230\221@\0\3775 \365B\0\203%\200AC\0\0S\377\25\374\221@\0\203=(\365B\0\0u\34\203=H9C\0\0t\23j\12S\377\254\222@\0\307\5(\365B\0\1\0\0\03\300_^][\203\304\20\302\20\0\241\344AC\0\203\354\24SUV\2135\210AC\0\203\340 W\243\0BC\0\350\277\345\377\377\275\0\244C\0U\350", ) , ) == 0x0
 00962  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\213NH;\313ty\241\270AC\0\213VL\277 -C\0W\3\320R\3\310Q\377vD\350\226\4\0\0\240 -C\0:\303tT<"u\17j"\277!-C\0W\350\377\2\0\0\210\30W\350\341\5\0\0\215D8\374;\307v&hD\234@\0P\377\25\200\220@\0\205\300u\26W\377\25\214\220@\0\203\370\377t\4\250\20u\6W\350\267\7\0\0W\350P\7\0\0PU\350\240\5\0\0U\350\312\7\0\0\205\300u\14\377\266\30\1\0\0U\350\37\14\0\03\355E\366\5\344AC\0\20t\239\35\340AC\0u\13\350\273\344\377\377\211-\4\35C\0h@\200\0\0SSUjg\3775\204AC\0\377\25T\222@\0\243P9C\0\203~P\377\277 9C\0\17\204\211\0\0\0\213\15\204AC\0\24349C\0\215D$\20W\307D$\24_Nb\0\307\5$9C\0\0\20@\0\211\1509C\0\243D9C\0\377\25\34\222@\0f\205\300\17\204#\1\0\0S\215D$\30PSj0\377\25\30\222@\0\213D$ +D$\30S\3775\204AC\0SSP\213D$0+D$(P\377t$0\215D$,\377t$0h\0\0\0\200SPh\200\0\0\0\377\25\24\222@\0\243\24\335B\0S\350Y\271\377\377\205\300t\10j\2X\351\306\0\0\0\350+\344\377\3779\35 BC\0\17\205\213\0\0\0j\5\3775\24\335B\0\377\254\222@\0\2135\304\220@\0\275L\320@\0U\377\326\205\300u\14Uf\307\5R\320@\032\377\326\213-\20\222@\0W\276@\320@\0VS\377\325\205\300u\37WVS\210\35H\320@\0\377\325W\2115D9C\0\306\5H\320@\02\377\25\34\222@\0\241\9C\0Sh\13", ) u\17j (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\213NH;\313ty\241\270AC\0\213VL\277 -C\0W\3\320R\3\310Q\377vD\350\226\4\0\0\240 -C\0:\303tT<"u\17j"\277!-C\0W\350\377\2\0\0\210\30W\350\341\5\0\0\215D8\374;\307v&hD\234@\0P\377\25\200\220@\0\205\300u\26W\377\25\214\220@\0\203\370\377t\4\250\20u\6W\350\267\7\0\0W\350P\7\0\0PU\350\240\5\0\0U\350\312\7\0\0\205\300u\14\377\266\30\1\0\0U\350\37\14\0\03\355E\366\5\344AC\0\20t\239\35\340AC\0u\13\350\273\344\377\377\211-\4\35C\0h@\200\0\0SSUjg\3775\204AC\0\377\25T\222@\0\243P9C\0\203~P\377\277 9C\0\17\204\211\0\0\0\213\15\204AC\0\24349C\0\215D$\20W\307D$\24_Nb\0\307\5$9C\0\0\20@\0\211\1509C\0\243D9C\0\377\25\34\222@\0f\205\300\17\204#\1\0\0S\215D$\30PSj0\377\25\30\222@\0\213D$ +D$\30S\3775\204AC\0SSP\213D$0+D$(P\377t$0\215D$,\377t$0h\0\0\0\200SPh\200\0\0\0\377\25\24\222@\0\243\24\335B\0S\350Y\271\377\377\205\300t\10j\2X\351\306\0\0\0\350+\344\377\3779\35 BC\0\17\205\213\0\0\0j\5\3775\24\335B\0\377\254\222@\0\2135\304\220@\0\275L\320@\0U\377\326\205\300u\14Uf\307\5R\320@\032\377\326\213-\20\222@\0W\276@\320@\0VS\377\325\205\300u\37WVS\210\35H\320@\0\377\325W\2115D9C\0\306\5H\320@\02\377\25\34\222@\0\241\9C\0Sh\13", ) , ) == 0x0
 00963  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "5\204AC\0\377\25\14\222@\0j\5\213\360\350\265\270\377\377\213\306\353*S\350\315\364\377\377\205\300t\309\35T9C\0\17\205F\377\377\377j\2\350\224\270\377\377\351:\377\377\377U\350\211\270\377\3773\300_^][\203\304\24\303U\213\354Q\215E\374P\377\25x\221@\0\213E\374\205\300t\22\377u\10\213\10P\377Q\24\213E\374\213\10P\377Q\10\311\302\4\0U\213\354\203\354\20\377u\14\307\50\365B\0D\0\0\0\377\25\214\220@\03\311\203\370\377t\4\250\20u\3\211M\14\215E\360Ph0\365B\0\377u\14QQQQQ\377u\10Q\377\25\374\220@\0\205\300t\14\377u\364\377\25\204\220@\0\213E\360\311\302\10\0\377% \222@\0h\0\4\0\0\377t$\14\377t$\14\3775H9C\0\377\25$\222@\0\302\10\0\213D$\10\213\310\201\341\377\377\37\0\203= BC\0\0t\5\301\350\25u%\203=(BC\0\0t\6\201\361\0\0\30\0Qh\2009C\0\377t$\14\3775\200AC\0\377\25(\222@\0\302\10\0\377t$\4j@\377\25\364\220@\0\302\4\0\213D$\4\353\15:L$\10t\15P\377\25\244\221@\0\212\10\204\311u\355\302\10\0\213L$\4\212\1\14 f\2019\\t\22, ) , ) == 0x0
 00964  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\374\210\340t\32V\377\25\244\221@\0\213\360V\377\327;E\374}\3213\300_^[\311\302\10\0\213\306\353\365\213L$\4V\213t$\20\205\366~\17\213D$\14+\301\212\24\10\210\21ANu\367^\302\14\0\377t$\4\377\25\214\220@\0\213\310Aj\0\367\331\33\311#\310Q\377t$\24j\0j\1\377t$\34\377t$\34\377\25\4\221@\0\302\14\0U\213\354V\213u\10Wjd_O\307E\10nsa\0\377\25\264\220@\0j\32Y3\322\367\361Vj\0\215E\10P\377u\14\0U\12\377\25\10\221@\0\205\300u\15\205\377u\320\306\6\0_^]\302\10\0\213\306\353\366U\213\354SV\213u\24\215E\14Ph\31\0\2\03\333S\377u\14\210\36\377u\10\377\25\10\220@\0\205\300u>\215E\10PV\215E\24PS\377u\20\307E\10\0\4\0\0\377u\14\377\25\34\220@\0\205\300u\14\203}\24\1t\10\203}\24\2t\2\210\36\377u\14\210\236\377\3\0\0\377\25 \220@\0^[]\302\20\0U\213\354QQVW\215E\370P3\366\215E\374PVh?\0\17\0VVV\377u\14\211u\374\377u\10\211u\370\377\25\24\220@\0\213\370;\376u!\377u\34\377u\30\377u\24V\377u\20\377u\374\377\25\30\220@\0\377u\374\213\370\377\25 \220@\0\213\307_^\311\302\30\0\377t$\10hP\234@\0\377t$\14\377\25<\222@\0\203\304\14\302\10\0U\213\354Q\213M\10SVW3\377\2009-\307E\374\1\0\0\0\260\12\2639u\5A\203M\374\377\20090u\34A\212\21\200\3720|\11\200\3727\177\4\260\10\2637\200\342\337\200\372Xu\3\260\20A\17\276\21A\203\3720|\14\17\276\363;\326\177\5\203\3520\353\31<\20u!", ) , ) == 0x0
 00965  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "F\177\22\203\342\7\203\302\11\17\276\360\17\257\367\3\362\213\376\353\306\213E\374\17\257\307_^[\311\302\4\0\377%\340\220@\0\377%\0\221@\0SU\213-\244\221@\0V\213t$\20W\353\5V\377\325\213\360\200> t\366\200>\u\25\200~\1\u\17\200~\2?u\11\200~\3\u\3\203\306\4\200>\0t\14V\350\355\374\377\377\205\300t\2FF\213\336\213\3763\300\353+<\37v"PhT\234@\0\350\264\374\377\377\2008\0u\22V\377\325+\306PVW\350\210\375\377\377W\377\325\213\370V\377\325\213\360\212\6\204\300u\317\210\7WS\377\258\222@\0\213\370\212\7< t\4<\u\7;\337\306\7\0r\345_^]\213\303[\302\4\0U\213\354S3\3339]\10t\32\241\\320@\0\203\370\377t\7P\377\25\204\220@\0\203\15\\320@\0\377\353u9\35\4\35C\0tm8\35 5C\0t/\203=\\320@\0\377u/j\4h\0\0\0@h 5C\0\350#\375\377\377\203\370\377\243\\320@\0tAj\2SSP\377\25X\221@\0\203=\\320@\0\377t-Vh`\234@\0\276 \35C\0V\377\25\244\220@\0S\215E\10PV\377\25\0\221@\0PV\3775\\320@\0\377\25P\221@\0^[]\302\4\0\215D$\10P\377t$\10h \35C\0\377\25,\222@\0j\0\350F\377\377\377\303SV\2135l\220@\0Wh\1\200\0\0\377\326\277x\375B\0W\377t$\24\377\25d\221@\0j\0\213\330\377\326\203\373\377t\13S\377\25\\221@\0\213\307\353\23\300_^[\302\4\0V\213t$\10V\377\25\0\221@\0\3\306PV\377\258\222@\0\2008\t\14h\200\225@\0V\377\25\244\220@\0\213\306", ) PhT\234@\0\350\264\374\377\377\2008\0u\22V\377\325+\306PVW\350\210\375\377\377W\377\325\213\370V\377\325\213\360\212\6\204\300u\317\210\7WS\377\258\222@\0\213\370\212\7< t\4<\u\7;\337\306\7\0r\345_^]\213\303[\302\4\0U\213\354S3\3339]\10t\32\241\\320@\0\203\370\377t\7P\377\25\204\220@\0\203\15\\320@\0\377\353u9\35\4\35C\0tm8\35 5C\0t/\203=\\320@\0\377u/j\4h\0\0\0@h 5C\0\350#\375\377\377\203\370\377\243\\320@\0tAj\2SSP\377\25X\221@\0\203=\\320@\0\377t-Vh`\234@\0\276 \35C\0V\377\25\244\220@\0S\215E\10PV\377\25\0\221@\0PV\3775\\320@\0\377\25P\221@\0^[]\302\4\0\215D$\10P\377t$\10h \35C\0\377\25,\222@\0j\0\350F\377\377\377\303SV\2135l\220@\0Wh\1\200\0\0\377\326\277x\375B\0W\377t$\24\377\25d\221@\0j\0\213\330\377\326\203\373\377t\13S\377\25\\221@\0\213\307\353\23\300_^[\302\4\0V\213t$\10V\377\25\0\221@\0\3\306PV\377\258\222@\0\2008\t\14h\200\225@\0V\377\25\244\220@\0\213\306", ) == 0x0
 00966  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\25\0\221@\0\21358\222@\0\3\307PW\377\326\205\377t\22;\307v\16\212\10:L$\20t\6PW\377\326\353\356_^\302\10\0V\213t$\10V\377\25\0\221@\0\3\306\2008\t\14PV\377\258\222@\0;\306w\357\306\0\0^\302\4\0V\377t$\10\276x\365B\0V\377\25\340\220@\0V\350\30\373\377\377\205\300u\43\300\353W\366\5\344AC\0\200t\13\212\10\204\311t\355\200\371\t\350S\213\35\0\221@\0W\213\370+\376\353\25V\350\364\376\377\377\205\300t\5\366\0\20t*V\350\204\377\377\377V\377\323;\307\177\344V\350\26\377\377\377V\377\25\214\220@\03\311\203\370\377\17\225\301\213\301_[^\302\4\03\300\353\366UVW\213|$\20W\350\244\372\377\377\213\3603\355\205\366t4Sj\V\350P\372\377\377\213\360\212\36W\306\6\0\350\222\376\377\377\205\300u\14PW\377\25\300\220@\0\205\300\353\3\366\0\20u\1E\210\36F\204\333u\316[_3\300\205\355^\17\224\300]\302\4\0\201\354(\10\0\0\203$$\0SUWh\360\233@\0\377\25h\220@\0\213\254$<\10\0\0\213\274$8\10\0\0;\357\213\330\17\204U\3\0\0WU\377\25\200\220@\0\205\300\17\204E\3\0\0V\2135\0\221@\0W\377\326\200|8\377\u\10\307D$\20\1\0\0\0\205\355t\22U\377\326\200|(\377\u\10\307D$\20\1\0\0\0\205\333t\36h\254\235@\0S\377\258\221@\0\205\300t\16j\5UW\377\320\205\300\17\205\355\2\0\0\273\0\4\0\0S\276\270\6C\0VW\307\5x\371B\0NUL\0\377\25\230\220@\0\205\300\17\204\316\2\0\0;\303\17\217\306\2\0\0\213=<\222@\0V\273x\371B\0Sh\244\235", ) , ) == 0x0
 00967  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\205\355\211D$\24t4j\1j\0U\3502\372\377\377P\377\25\204\220@\0\277\0\4\0\0WSU\377\25\230\220@\0\205\300\17\204{\2\0\0;\307\17\217s\2\0\0\351\343\0\0\0h\240\235@\0S\377\25\340\220@\0\203|$\20\0\17\204\314\0\0\0j\4hL\234@\0j\4h\230\235@\0hd\235@\0h\2\0\0\200\350\265\372\377\377\205\300\17\205\224\0\0\0h\4\1\0\0\215\204$<\4\0\0Pj\0\377\25\274\220@\0\213-\0\221@\0\213\336VK\377\325\200<\30\u\7V\377\325\306\4\30\0\241\270\12C\0\377\5\270\12C\0P\215\204$<\4\0\0P\215D$,hX\235@\0P\377\327V\215D$Lh@\235@\0P\377\327\203\304\34\215D$8P\377\325@P\215D$, ) , ) == 0x0
 00968  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\25\364\220@\0\213\350\205\355t>h\270\376B\0U\377\25\340\220@\0\213D$\24\3\305\3\367;\336s\10\212\13\210\10@C\353\364+\305PU\377t$(\350\354\367\377\377+\337\3\$\24U\213\363\377\25@\221@\0\353,W\377\25\20\221@\0\377t$\20\2135\204\220@\0\377\326\377t$\30\377\326\353FUh\270\376B\0\215\47P\350\261\367\377\377\213\363W\377\25\20\221@\0\377t$\20\377\25\204\220@\0\213|$\303\311QQVW\377\25X\221@\0W\377\25\14\221@\0W\377\25\204\220@\0\377\5\20BC\0^_][\201\304(\10\0\0\302\10\0\203\354\24U\213l$ \205\355V}\21\213\15h9C\0\215\4\255\4\0\0\0+\310\213)\241\270AC\0\213L$ \3\350\270 -C\0+\310\201\371\0\10\0\0\213\360s\11\213t$ \203d$ \0\212U\0\204\322\17\204\277\1\0\0SW\213\316+\310\201\371\0\4\0\0\17\215\253\1\0\0E\200\372\374\17\206\203\1\0\0\17\276E\1\17\276M\0\213\370\203\347\177\213\331\203\343\177\301\347\7\13\373\273\0\200\0\0\211L$\24\13\313\211D$\34\13\303EE\200\372\376\211L$\30\211D$ \17\205\362\0\0\03\377\203|$\34\4\211|$,\306\6\0u\13j\2\307D$0\30\236@\0_\213\$\24\203\373+u\25Vh\10\236@\0h\334\235@\0h\2\0\0\200\350&\367\377\377\203\373&u&Vh\314\235@\0h\334\235@\0h\2\0\0\200\350\14\367\377\377\200>\0u}h\270\235@\0V\377\25\340\220@\0\203\373%u\14h\0\4\0\0V\377\25\34\221@\0\203\373$u\14h\0\4\0\0V\377\25\330\220@\0\200>\0uJ\203=\4BC\0\0j\4_u\5j", ) , ) == 0x0
 00969  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\24O\3775\200AC\0\377\25|\221@\0\205\300u\34V\377t$\24\377\25\204\221@\0\377t$\20\213\330\350"\364\377\377\205\333u\11\353\3\306\6\0\205\377u\303\200>\0tF\203|$,\0t?\377t$,V\377\25\244\220@\0\3532\200\372\375u>\203\377\33u\16\3775\200AC\0V\350\34\367\377\377\353\22\213\307\301\340\12\5\0PC\0PV\377\25\340\220@\0\203\307\353\203\377\6s\6V\350\250\367\377\377V\377\25\0\221@\0\3\360\353!\200\372\377u\34\203\310\377+\307PV\350\25\376\377\377\353\342u\11\212E\0\210\6FE\353\3\210\26F\212U\0\204\322\270 -C\0\17\205E\376\377\377_[\203|$ \0\306\6\0^]t\20h\0\4\0\0P\377t$ \377\25\320\220@\0\203\304\24\302\10\0U\213\354\201\354D\1\0\0S\213]\10S\350Y\371\377\377S\211E\374\350\213\370\377\377\205\300u\22Sh\30\237@\0\350`\370\377\377YY\351\332\1\0\0\213E\14\250\10t\27S\377\254\221@\0\367\330\33\300@\1\5\10BC\0\351\274\1\0\0\211E\10\203e\10\1Vt\22\203}\374\0\17\204\247\1\0\0\250\2\17\2046\1\0\0WS\276\270\2C\0V\377\25\340\220@\0\203}\10\0\213=\244\220@\0t\12h\20\237@\0V\377\327\353\6S\350\260\370\377\377h\200\225@\0S\377\327S\377\25\0\221@\0\213\370\215\205\274\376\377\377PV\3\373\377\25d\221@\0\213\360\203\376\377\17\204\325\0\0\0\200\275\350\376\377\377.u\32\200\275\351\376\377\377.\17\204\242\0\0\0\200\275\351\376\377\377\0\17\204\225\0\0\0\215\205\350\376\377\377PW\377\25\340\220@\0\366\205\274\376\377\377\20t\25\213E\14\203\340\3<\3ut\377u\14S\350\361\376\377", ) \364\377\377\205\333u\11\353\3\306\6\0\205\377u\303\200>\0tF\203|$,\0t?\377t$,V\377\25\244\220@\0\3532\200\372\375u>\203\377\33u\16\3775\200AC\0V\350\34\367\377\377\353\22\213\307\301\340\12\5\0PC\0PV\377\25\340\220@\0\203\307\353\203\377\6s\6V\350\250\367\377\377V\377\25\0\221@\0\3\360\353!\200\372\377u\34\203\310\377+\307PV\350\25\376\377\377\353\342u\11\212E\0\210\6FE\353\3\210\26F\212U\0\204\322\270 -C\0\17\205E\376\377\377_[\203|$ \0\306\6\0^]t\20h\0\4\0\0P\377t$ \377\25\320\220@\0\203\304\24\302\10\0U\213\354\201\354D\1\0\0S\213]\10S\350Y\371\377\377S\211E\374\350\213\370\377\377\205\300u\22Sh\30\237@\0\350`\370\377\377YY\351\332\1\0\0\213E\14\250\10t\27S\377\254\221@\0\367\330\33\300@\1\5\10BC\0\351\274\1\0\0\211E\10\203e\10\1Vt\22\203}\374\0\17\204\247\1\0\0\250\2\17\2046\1\0\0WS\276\270\2C\0V\377\25\340\220@\0\203}\10\0\213=\244\220@\0t\12h\20\237@\0V\377\327\353\6S\350\260\370\377\377h\200\225@\0S\377\327S\377\25\0\221@\0\213\370\215\205\274\376\377\377PV\3\373\377\25d\221@\0\213\360\203\376\377\17\204\325\0\0\0\200\275\350\376\377\377.u\32\200\275\351\376\377\377.\17\204\242\0\0\0\200\275\351\376\377\377\0\17\204\225\0\0\0\215\205\350\376\377\377PW\377\25\340\220@\0\366\205\274\376\377\377\20t\25\213E\14\203\340\3<\3ut\377u\14S\350\361\376\377", ) == 0x0
 00970  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377\377\213\205\274\376\377\377YY\203\340\376PS\377\25\254\220@\0S\377\254\221@\0\205\300Su8\366E\14\4t\36h\320\236@\0\350@\367\377\377YYSj\361\350\330\345\377\377j\0S\350\343\370\377\377\353\33h\260\236@\0\350"\367\377\377\377\5\10BC\0YY\353\7j\362\350\263\345\377\377\215\205\274\376\377\377PV\377\25`\221@\0\205\300\17\2052\377\377\377V\377\25\\221@\0\203}\10\0t\4\306G\377\0_3\3669u\374tb9u\10t]S\3501\367\377\377Sh\220\236@\0\350\314\366\377\377YYS\377\25 \221@\0\205\300Su7\366E\14\4t\35hh\236@\0\350\256\366\377\377YYSj\361\350F\345\377\377VS\350R\370\377\377\353\33hD\236@\0\350\221\366\377\377\377\5\10BC\0YY\353\7j\345\350"\345\377\377^[\311\302\10\0SW\213\276\264\233\0\0\213\236\270\233\0\0;\373v\6\213\236\260\233\0\0\213F\14+\337;\330r\2\213\330SW\377v\10+\303\211F\14\350\373\362\377\377\1^\10\213\206\260\233\0\0\3\373;\370u\269\206\270\233\0\0\215\276\260\33\0\0u\271\211\276\270\233\0\0\353\261\211\276\264\233\0\0_[\303U\215l$\250\201\354\360\0\0\0VWj\20\213\360Y3\300\215}\344\363\253\213}d\213M`\213\327\213\1\215D\205\344\377\0\203\301\4Ju\3629}\344u\20\213Et\203 \0\203&\03\300\351\335\2\0\0\213\26j\173\377GX\211UT\213\317S3\3339\\215\344u\5A;\310v\363;\321\211MPs\3\211MT9\\205\344u\3Hu\3679ET\211E@v\3\211ET\213UT\211\26\323\347\353\15+|\215\344\17\210\211\2\0\0A\321\347;\310r\357\213\320\301\342\2\215", ) \367\377\377\377\5\10BC\0YY\353\7j\362\350\263\345\377\377\215\205\274\376\377\377PV\377\25`\221@\0\205\300\17\2052\377\377\377V\377\25\\221@\0\203}\10\0t\4\306G\377\0_3\3669u\374tb9u\10t]S\3501\367\377\377Sh\220\236@\0\350\314\366\377\377YYS\377\25 \221@\0\205\300Su7\366E\14\4t\35hh\236@\0\350\256\366\377\377YYSj\361\350F\345\377\377VS\350R\370\377\377\353\33hD\236@\0\350\221\366\377\377\377\5\10BC\0YY\353\7j\345\350 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377\377\213\205\274\376\377\377YY\203\340\376PS\377\25\254\220@\0S\377\254\221@\0\205\300Su8\366E\14\4t\36h\320\236@\0\350@\367\377\377YYSj\361\350\330\345\377\377j\0S\350\343\370\377\377\353\33h\260\236@\0\350"\367\377\377\377\5\10BC\0YY\353\7j\362\350\263\345\377\377\215\205\274\376\377\377PV\377\25`\221@\0\205\300\17\2052\377\377\377V\377\25\\221@\0\203}\10\0t\4\306G\377\0_3\3669u\374tb9u\10t]S\3501\367\377\377Sh\220\236@\0\350\314\366\377\377YYS\377\25 \221@\0\205\300Su7\366E\14\4t\35hh\236@\0\350\256\366\377\377YYSj\361\350F\345\377\377VS\350R\370\377\377\353\33hD\236@\0\350\221\366\377\377\377\5\10BC\0YY\353\7j\345\350"\345\377\377^[\311\302\10\0SW\213\276\264\233\0\0\213\236\270\233\0\0;\373v\6\213\236\260\233\0\0\213F\14+\337;\330r\2\213\330SW\377v\10+\303\211F\14\350\373\362\377\377\1^\10\213\206\260\233\0\0\3\373;\370u\269\206\270\233\0\0\215\276\260\33\0\0u\271\211\276\270\233\0\0\353\261\211\276\264\233\0\0_[\303U\215l$\250\201\354\360\0\0\0VWj\20\213\360Y3\300\215}\344\363\253\213}d\213M`\213\327\213\1\215D\205\344\377\0\203\301\4Ju\3629}\344u\20\213Et\203 \0\203&\03\300\351\335\2\0\0\213\26j\173\377GX\211UT\213\317S3\3339\\215\344u\5A;\310v\363;\321\211MPs\3\211MT9\\205\344u\3Hu\3679ET\211E@v\3\211ET\213UT\211\26\323\347\353\15+|\215\344\17\210\211\2\0\0A\321\347;\310r\357\213\320\301\342\2\215", ) , ) == 0x0
 00971  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "l\2\0\0\3\367\21113\311H\211]\250t\203\366\3L5\350\203\306\4H\211L5\250u\362\213]`3\366\213\3\203\303\4\205\300t\20\215D\205\244\213\10\2114\215\310\12C\0A\211\10F;udr\341\213D\25\244\213MP\203MH\377\211Ed\213ET3\333\367\330;M@\211]L\211]\244\307E8\310\12C\0\211\235h\377\377\377\211](\17\217\356\1\0\0\215Q\377\215L\215\344\211U0\211M4\213M4\2131\205\366\17\204\276\1\0\0\353\3\213u,\213MT\3\310N9MP\211u,\211M<\17\216\314\0\0\0F\211uD\213u@+u<\377EH;uTv\3\213uT\213MP+M<3\322B\323\342;UDv#\213]4\203\317\377+},\3\327;\316s\24\353\15\203\303\4\213;\321\342;\327v\7+\327A;\316r\356\213U|\213\223\366F\323\346\215<2\201\377\240\5\0\0\211u(\17\207`\1\0\0\213ux\215\34\226\213U|\213uH\211:\213UH\205\322\215\264\265h\377\377\377\211\36t.\213}L\213v\374\211|\225\244\212UT\210Ua\210M`\213\310\213\327\323\352\213\303+\306\301\370\2+\302f\211Eb\213E`\211\4\226\353\5\213Et\211\30\213M<\213\301\3MT9MP\211M<\17\217;\377\377\377\213}$\212MP\213u8*\310\210Ma\213Md\215\14\215\310\12C\0;\361r\6\306E`\300\353F\213\16;Mhs\34\201\371\0\1\0\0\17\222\301\376\311\203\341`\210M`f\213\16\203\306\4\211u8\353\37+Mh\213Up\213}$\321\341\212\24\21\200\302P\203E8\4\210U`\213Ulf\213\14\21f\211Mb\213MP\213UL3\366+\310F\323\346\213\310\323\352\353\10\213M`\211", ) , ) == 0x0
 00972  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\213uL3\322B\323\342\353\43\362\321\352\205\326u\3703\311A3\362\213\321\213\310\323\342\211uLJ#\326\213\312\213UH;L\225\244t\30+ET3\366F\213\310\323\346JN#uL;t\225\244u\353\211UH\203},\0\17\205D\376\377\377\377EP\203E4\4\213MP\377E0;M@\17\216\37\376\377\377\205\377t\13\203}@\1t\5\203\310\377\353\23\300[_^\203\305X\311\302 \0U\213\354\203\354@\213E\10\213\10S\215X\20\213@\4\211E\320\213\203\34\5\0\0\211E\304\213\203\30\5\0\0\211M\314\213\213\250\233\0\0\211E\310\213\203\244\233\0\0;\310VW\211M\324s\5+\301H\353\10\213\203\240\233\0\0+\301\211E\330\351\15\12\0\0\377$\205?y@\0\213u\310\353!3\3779}\320\17\204"\12\0\0\213E\314\17\266\0\377M\320\213\316\323\340\11E\304\377E\314\203\306\10\203\376\3r\332\213E\304\301m\304\3\203\340\7\213\310\200\341\1\203\356\3\366\331\211u\310\33\311\203\341\7\203\301\10\321\350\203\350\0\211\213\24\5\0\0\17\204,\1\0\0HtXHtJH\17\205\236\11\0\0\203\317\377\307\3\21\0\0\0\213E\304\213M\10\211\203\34\5\0\0\213E\310\211\203\30\5\0\0\213E\320\211A\4\213E\314\213u\10\211\6\213E\324\211\203\250\233\0\0\350y\373\377\377\213\307_^[\311\302\4\0\307\3\13\0\0\0\351P\11\0\0\200=L\34C\0\0\17\205\234\0\0\0\203e\374\0\276H\17C\0\213\306=\204\21C\0\261\10~\24=H\23C\0}\4\376\301\353\11=\250\23C\0}\2\261\7\17\276\311\211\10\203\300\4=\310\23C\0|\324\215E\374Ph\310\23C\0h\300\12C\0h\244\237@\0hd\237@\0h\1\1\0\0h", ) \12\0\0\213E\314\17\266\0\377M\320\213\316\323\340\11E\304\377E\314\203\306\10\203\376\3r\332\213E\304\301m\304\3\203\340\7\213\310\200\341\1\203\356\3\366\331\211u\310\33\311\203\341\7\203\301\10\321\350\203\350\0\211\213\24\5\0\0\17\204,\1\0\0HtXHtJH\17\205\236\11\0\0\203\317\377\307\3\21\0\0\0\213E\304\213M\10\211\203\34\5\0\0\213E\310\211\203\30\5\0\0\213E\320\211A\4\213E\314\213u\10\211\6\213E\324\211\203\250\233\0\0\350y\373\377\377\213\307_^[\311\302\4\0\307\3\13\0\0\0\351P\11\0\0\200=L\34C\0\0\17\205\234\0\0\0\203e\374\0\276H\17C\0\213\306=\204\21C\0\261\10~\24=H\23C\0}\4\376\301\353\11=\250\23C\0}\2\261\7\17\276\311\211\10\203\300\4=\310\23C\0|\324\215E\374Ph\310\23C\0h\300\12C\0h\244\237@\0hd\237@\0h\1\1\0\0h", ) == 0x0
 00973  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\373\377\377j\36Yj\5X\213\376\363\253\215E\374Ph\310\23C\0hH\34C\0h \240@\0h\344\237@\0j\0j\36V\270\210\320@\0\350#\373\377\377\306\5L\34C\0\1\240\204\320@\0\210C\20\240\210\320@\0\210C\21\241\300\12C\0\211C\24\241H\34C\0\211C\30\203#\0\351\177\10\0\0\213\316\203\341\7\323m\304+\361\211u\310\307\3\11\0\0\0\351g\10\0\0\213M\3103\377\203\371\20s\379}\320\17\204d\10\0\0\213E\314\17\266\0\377M\320\323\340\11E\304\377E\314\203\301\10\353\334\213E\304%\377\377\0\0;\307\211C\4\211}\310\211}\304\17\204\352\0\0\0j\12X\351\350\0\0\03\3779}\320\17\204*\10\0\09}\330\17\205\227\0\0\0\213\213\240\233\0\09M\324u'\213\203\244\233\0\0\215\223\240\33\0\0;\320t\27\211U\324s\10+\302H\211E\330\353\5+\312\211M\3309}\330ue\213E\324\213u\10\211\203\250\233\0\0\350\333\371\377\377\213\263\250\233\0\0\213\213\244\233\0\0;\361\211u\324s\7\213\301+\306H\353\10\213\203\240\233\0\0+\306\213\223\240\233\0\0;\362\211E\330u\35\215\263\240\33\0\0;\361t\23\211u\324s\7+\316I\213\301\353\4+\326\213\302\211E\330\205\300\17\204\300\7\0\0\213E\330;E\320\213\360r\3\213u\320\213C\4;\306s\2\213\360V\377u\314\377u\324\350\222\354\377\377\1u\314)u\320\1u\324)u\330)s\4\17\205;\7\0\0\213\203\24\5\0\0\211\3\351.\7\0\0\213u\310\353$3\3779}\320\17\204J\7\0\0\213E\314\17\266\0\377M\320\213\316\323\340\11E\304\377E\314\203\306\10\211u\310\203\376\16r\327\213E\304%\377?\0\0\213\310\203\341\37\200\371\35\211C", ) , ) == 0x0
 00974  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "=\240\3\0\0\17\2079\375\377\377\301m\304\16\203\356\16\203c\10\0\307\3\14\0\0\0\353I\213u\310\353G3\3779}\320\17\204\340\6\0\0\213E\314\17\266\0\377M\320\213\316\323\340\11E\304\377E\314\203\306\10\203\376\3r\332\213K\10\213E\304\17\276\211P\237@\0\301m\304\3\203\340\7\211D\213\14\377C\10\203\356\3\211u\310\213C\4\301\350\12\203\300\49C\10r\314j\23Y\353\22\213C\10\17\276\200P\237@\0\203d\203\14\0\377C\109K\10r\351\215U\364R\215\223 \5\0\0R3\300\215\223\20\5\0\0RPPQ\211E\364Q\215C\14\215\273\14\5\0\0P\213\307\307\7\7\0\0\0\350\221\370\377\377\205\300u\229\7t\16!C\10\307\3\15\0\0\0\351-\1\0\0\307\3\21\0\0\0\351\373\5\0\0\213u\310\351\32\1\0\0\213\203\14\5\0\0\353!3\3779}\320\17\204\14\6\0\0\213M\314\17\266\21\377M\320\213\316\323\342\11U\304\377E\314\203\306\10;\360r\333\17\267\4E`\320@\0#E\304\213\213\20\5\0\0\215\4\201\17\266P\1\17\267@\2\203\370\20\211E\364s\31\213\312\323m\304\213K\10+\362\211D\213\14\377C\10\211u\310\351\260\0\0\0\203\370\22u\14j\7X\307E\374\13\0\0\0\353-\203\300\362\307E\374\3\0\0\0\353!3\3779}\320\17\204\215\5\0\0\213M\314\17\2669\377M\320\213\316\323\347\11}\304\377E\314\203\306\10\215\14\20;\361r\330\213\312\323m\304\17\267\14E`\320@\0#M\304+\362\213U\374\3\321\213\310\323m\304\213K\10+\360\213C\4\213\370\301\357\5\203\347\37\203\340\37\215\204\7\2\1\0\0\215<\12;\370\211u\310\17\207b\373\377\377\203}\364\20u\17\203\371\1\17\202S\373\377\377\213|\213", ) , ) == 0x0
 00975  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\203\300\4Ju\367\211K\10\213C\4\213\310\301\351\5\203\341\37\203\340\37\215\204\1\2\1\0\09C\10\17\202\310\376\377\377\213C\4\203\243\20\5\0\0\0\203e\370\0\213\370\301\350\5\203\340\37\271\1\1\0\0\203\347\37\3\371@\211E\360\215U\370R\215\203 \5\0\0P\215E\354Ph\244\237@\0hd\237@\0QW\215C\14P\215E\374\307E\374\11\0\0\0\307E\364\6\0\0\0\350\327\366\377\377\203}\374\0u\3\203\310\377\205\300\17\205\263\372\377\377\215E\370P\215\203 \5\0\0P\215E\350Ph \240@\0h\344\237@\0j\0\377u\360\215D\273\14P\215E\364\350\233\366\377\377\205\300\17\205\200\372\377\377\213E\364\205\300u\14\201\377\1\1\0\0\17\217m\372\377\377\212M\374\203#\0\210C\21\213E\354\211C\24\213E\350\210K\20\211C\30\353\3\213u\310\17\266C\20\211C\14\213C\24\211C\10\307\3\1\0\0\0\353\3\213u\310\213C\14\353!3\3779}\320\17\204\362\3\0\0\213M\314\17\266\21\377M\320\213\316\323\342\11U\304\377E\314\203\306\10;\360r\333\17\267\4E`\320@\0#E\304\213K\10\215\4\201\17\266H\1\323m\304+\361\17\266\10\205\311\211u\310u\22\17\267@\2\211C\10\307\3\6\0\0\0\351v\3\0\0\366\301\20t\30\203\341\17\211K\10\17\267@\2\211C\4\307\3\2\0\0\0\351Y\3\0\0\366\301@\17\204\336\0\0\0\366\301 \17\204\251\371\377\377\307\3\7\0\0\0\351<\3\0\0\213C\10\213U\310\353!3\3779}\320\17\204]\3\0\0\213M\314\17\2661\377M\320\213\312\323\346\11u\304\377E\314\203\302\10;\320r\333\17\267\14E`\320@\0#M\304\1K\4\213\310\323m\304+\320\17\266C\21\211C\14\213C\30\211C", ) , ) == 0x0
 00976  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\213C\14\353!3\3779}\320\17\204\6\3\0\0\213M\314\17\2661\377M\320\213\312\323\346\11u\304\377E\314\203\302\10;\320r\333\17\267\4E`\320@\0#E\304\213K\10\215\4\201\17\266H\1\323m\304+\321\17\266\10\366\301\20\211U\310t\30\203\341\17\211K\10\17\267@\2\211C\14\307\3\4\0\0\0\351{\2\0\0\366\301@\17\205\324\370\377\377\211K\14\17\267H\2\215\4\210\211C\10\351`\2\0\0\213C\10\213U\310\353!3\3779}\320\17\204\201\2\0\0\213M\314\17\2661\377M\320\213\312\323\346\11u\304\377E\314\203\302\10;\320r\333\17\267\14E`\320@\0#M\304\1K\14\213\310\323m\304+\320\211U\310\307\3\5\0\0\0\213M\324\213C\14\213\321+\323\201\352\240\33\0\0;\320s\23\213\223\240\233\0\0+\320+\323\215\274\12`\344\377\377\353\4\213\371+\370\203{\4\0\211}\344\17\204V\371\377\377\213u\330\213E\324\205\366\17\205\220\0\0\0\213\263\240\233\0\0;\306u#\213\213\244\233\0\0\215\223\240\33\0\0;\312t\23\213\302;\301s\7+\310I\213\361\353\2+\360\205\366uc\213u\10\211\203\250\233\0\0\350\251\363\377\377\213\203\250\233\0\0\213\213\244\233\0\0;\301\211E\324s\7\213\361+\360N\353\10\213\263\240\233\0\0+\360\213\223\240\233\0\0;\302u\36\215\273\240\33\0\0;\317t\24\213\307;\301\211E\324s\7+\310I\213\361\353\4+\320\213\362\205\366\17\204\220\1\0\0\213}\344\212\17\210\10@GN;\273\240\233\0\0\211E\324\211}\344\211u\330u\11\215\273\240\33\0\0\211}\344\377K\4\203{\4\0\17\205:\377\377\377\351\205\370\377\377\203}\330\0\17\205\230\0\0\0\213\213\240\233\0\09M\324u(\213\203\244\233\0\0\215\223\240", ) , ) == 0x0
 00977  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "+\302H\211E\330\353\5+\312\211M\330\203}\330\0ue\213E\324\213u\10\211\203\250\233\0\0\350\323\362\377\377\213\263\250\233\0\0\213\213\244\233\0\0;\361\211u\324s\7\213\301+\306H\353\10\213\203\240\233\0\0+\306\213\223\240\233\0\0;\362\211E\330u\35\215\263\240\33\0\0;\361t\23\211u\324s\7+\316I\213\301\353\4+\326\213\302\211E\330\205\300\17\204\270\0\0\0\213M\324\212C\10\377E\324\377M\330\210\1\351\320\367\377\377\203}\310\7v\12\203m\310\10\377E\320\377M\314\213E\324\213u\10\211\203\250\233\0\0\350K\362\377\377\213\213\250\233\0\0\213\223\244\233\0\0;\312\211M\324s\7\213\302+\301H\353\10\213\203\240\233\0\0+\301;\312\211E\330u[\213\203\24\5\0\0\203\370\10\211\3uU\213\3\203\370\17\17\206\350\365\377\377\351R\366\377\377\211\213\30\5\0\0\353"\213E\304\211\203\34\5\0\0\213E\310\211\203\30\5\0\0\353\27\211\263\30\5\0\0\353\6\211\223\30\5\0\0\213E\304\211\203\34\5\0\0\213E\10\211x\4\3518\366\377\3773\377\351\26\366\377\3773\377G\351\16\366\377\377\361t@\0\11u@\0\246u@\0\375u@\0\202v@\0\315v@\0\326w@\0\213x@\0\334n@\0{p@\0\305p@\0\264q@\0\36r@\0\347r@\0Do@\0\233x@\0\314\377%(\220@\0\377%0\220@\0\377%,\220@\0\377%4\220@\0\377%\224\222@\0\377%\220\222@\0\377%\214\222@\0U\213\354\203\354\34Vj\34\215E\344Ph\252y@\03\366\377\25$\221@\0\205\300t\3\213u\350\213\306^\311\303V\21358\221@\0h\\240@\0W\377\326hh\240@\0W\243P\34C\0\377\326hx\240@\0W\243T", ) \213E\304\211\203\34\5\0\0\213E\310\211\203\30\5\0\0\353\27\211\263\30\5\0\0\353\6\211\223\30\5\0\0\213E\304\211\203\34\5\0\0\213E\10\211x\4\3518\366\377\3773\377\351\26\366\377\3773\377G\351\16\366\377\377\361t@\0\11u@\0\246u@\0\375u@\0\202v@\0\315v@\0\326w@\0\213x@\0\334n@\0{p@\0\305p@\0\264q@\0\36r@\0\347r@\0Do@\0\233x@\0\314\377%(\220@\0\377%0\220@\0\377%,\220@\0\377%4\220@\0\377%\224\222@\0\377%\220\222@\0\377%\214\222@\0U\213\354\203\354\34Vj\34\215E\344Ph\252y@\03\366\377\25$\221@\0\205\300t\3\213u\350\213\306^\311\303V\21358\221@\0h\\240@\0W\377\326hh\240@\0W\243P\34C\0\377\326hx\240@\0W\243T", ) == 0x0
 00978  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "X\34C\0\377\326h\240\240@\0W\243\\34C\0\377\326h\274\240@\0W\243`\34C\0\377\326h\334\240@\0W\243d\34C\0\377\326h\354\240@\0W\243h\34C\0\377\326h\0\241@\0W\243l\34C\0\377\326h\20\241@\0W\243p\34C\0\377\326h$\241@\0W\243t\34C\0\377\326h8\241@\0W\243x\34C\0\377\326hx\241@\0W\243|\34C\0\377\326h\210\241@\0W\243\200\34C\0\377\326h\234\241@\0W\243\204\34C\0\377\326h\254\241@\0W\243\210\34C\0\377\326h\300\241@\0W\243\214\34C\0\377\326h\324\241@\0W\243\220\34C\0\377\326hP\241@\0W\243\224\34C\0\377\326hd\241@\0W\243\230\34C\0\377\326h\370\242@\0W\243\234\34C\0\377\326h\350\242@\0W\243\240\34C\0\377\326h\30\242@\0W\243\370\34C\0\377\326h(\242@\0W\243\320\34C\0\377\326h<\242@\0W\243\324\34C\0\377\326h\\242@\0W\243\330\34C\0\377\326ht\242@\0W\243\334\34C\0\377\326h\214\242@\0W\243\340\34C\0\377\326h\240\242@\0W\243\344\34C\0\377\326h\304\242@\0W\243\350\34C\0\377\326h\344\241@\0W\243\364\34C\0\377\326h\370\241@\0W\243\354\34C\0\377\326h\14\243@\0W\243\360\34C\0\377\326h\34\243@\0W\243\244\34C\0\377\326h(\243@\0W\243\250\34C\0\377\326h8\243@\0W\243\254\34C\0\377\326hD\243@\0W\243\260\34C\0\377\326hP\243@\0W\243\264\34C\0\377\326h`\243@\0W\243\270\34C\0\377\326ht\243@\0W\243\274\34C\0\377\326\243\300\34C\0h\200\243@\0W\377\326h\230\243@\0W\243\304\34C\0\377\326", ) , ) == 0x0
 00979  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\326\243\314\34C\0^\303U\213\354\241P\34C\0\205\300Vj\2^t%P\377\25(\221@\0\205\300u\32\377u\30\377u\24\377u\20\377u\14\377u\10\377\25P\34C\0\203\304\24\213\360\213\306^]\303U\213\354\241X\34C\0\205\300Vj\2^t%P\377\25(\221@\0\205\300u\32\377u\30\377u\24\377u\20\377u\14\377u\10\377\25X\34C\0\203\304\24\213\360\213\306^]\303U\213\354\241\\34C\0\205\300Vj\2^t\27P\377\25(\221@\0\205\300u\14\377u\10\377\25\\34C\0Y\213\360\213\306^]\303U\213\354\241`\34C\0\205\300Vj\2^t\27P\377\25(\221@\0\205\300u\14\377u\10\377\25`\34C\0Y\213\360\213\306^]\303\241\250\34C\0\205\300Vj\2^t\23P\377\25(\221@\0\205\300u\10\377\25\250\34C\0\213\360\213\306^\303\241\254\34C\0\205\300Vj\2^t\23P\377\25(\221@\0\205\300u\10\377\25\254\34C\0\213\360\213\306^\303U\213\354\241\260\34C\0\205\300Vj\2^t\27P\377\25(\221@\0\205\300u\14\377u\10\377\25\260\34C\0Y\213\360\213\306^]\303U\213\354\241\264\34C\0\205\300Vj\2^t\27P\377\25(\221@\0\205\300u\14\377u\10\377\25\264\34C\0Y\213\360\213\306^]\303U\213\354\241h\34C\0\205\300Vj\2^t\37P\377\25(\221@\0\205\300u\24\377u\20\377u\14\377u\10\377\25h\34C\0\203\304\14\213\360\213\306^]\303U\213\354\241p\34C\0\205\300Vj\2^t\33P\377\25(\221@\0\205\300u\20\377u\14\377u\10\377\25p\34C\0YY\213\360\213\306^]\303U\213\354\241x\34C\0\205\300Vj\2^t\33P\377\25(\221@\0\205\300u\20\377", ) , ) == 0x0
 00980  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "Y\213\360\213\306^]\303U\213\354\241\230\34C\0\205\300Vj\2^t(P\377\25(\221@\0\205\300u\35\377u\34\377u\30\377u\24\377u\20\377u\14\377u\10\377\25\230\34C\0\203\304\30\213\360\213\306^]\303U\213\354\241\234\34C\0\205\300Vj\2^t\27P\377\25(\221@\0\205\300u\14\377u\10\377\25\234\34C\0Y\213\360\213\306^]\303U\213\354\241\200\34C\0\205\300Vj\2^t\33P\377\25(\221@\0\205\300u\20\377u\14\377u\10\377\25\200\34C\0YY\213\360\213\306^]\303U\213\354\241\210\34C\0\205\300Vj\2^t\33P\377\25(\221@\0\205\300u\20\377u\14\377u\10\377\25\210\34C\0YY\213\360\213\306^]\303U\213\354\241\214\34C\0\205\300Vj\2^t\33P\377\25(\221@\0\205\300u\20\377u\14\377u\10\377\25\214\34C\0YY\213\360\213\306^]\303U\213\354\241\220\34C\0\205\300Vj\2^t\33P\377\25(\221@\0\205\300u\20\377u\14\377u\10\377\25\220\34C\0YY\213\360\213\306^]\303U\213\354\241\224\34C\0V3\366\205\300t\27P\377\25(\221@\0\205\300u\14\377u\10\377\25\224\34C\0Y\213\360\213\306^]\303U\213\354\241\320\34C\0\205\300t\32P\377\25(\221@\0\205\300u\17\215E\14P\377u\10\377\25\320\34C\0YY]\303U\213\354\241\240\34C\0\205\300t\22P\377\25(\221@\0\205\300u\7]\377%\240\34C\0]\303\241\330\34C\0\205\300Vj\2^t\23P\377\25(\221@\0\205\300u\10\377\25\330\34C\0\213\360\213\306^\303U\213\354\203\354\14\213E\0\211E\374\213E\4\211E\370\211m\364\213E\364\203\300\10\211E\364\203=\324\34C\0\0t"\3775\324\34C", ) \3775\324\34C", ) == 0x0
 00981  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "u\374\377u\364\377u\370\377\25\324\34C\0\203\304\14\311\303U\213\354\203\354\14\203=\334\34C\0\0t@\3775\334\34C\0\377\25(\221@\0\205\300u0\213E\0\211E\374\213E\4\211E\370\211m\364\213E\364\203\300\10\211E\364\377u\14\377u\10\377u\374\377u\364\377u\370\377\25\334\34C\0\203\304\24\311\303U\213\354\203\354\24SVW\307E\360\2\0\0\0`\211e\364\213E\0\211E\374\213E\4\211E\370\211m\354\213E\354\203\300\10\211E\354\203=\354\34C\0\0t-\3775\354\34C\0\377\25(\221@\0\205\300u\35j\0\377u\364\377u\374\377u\354\377u\370\377u\10\377\25\354\34C\0\203\304\30\211E\360a\213E\360_^[\311\303U\213\354\203\354\24SVW\307E\360\2\0\0\0`\211e\364\213E\0\211E\374\213E\4\211E\370\211m\354\213E\354\203\300\10\211E\354\203=\244\34C\0\0t\31\3775\244\34C\0\377\25(\221@\0\205\300u\11j\0\377\25\244\34C\0Y\203=\354\34C\0\0t-\3775\354\34C\0\377\25(\221@\0\205\300u\35j\0\377u\364\377u\374\377u\354\377u\370\377u\10\377\25\354\34C\0\203\304\30\211E\360\203=\244\34C\0\0t\31\3775\244\34C\0\377\25(\221@\0\205\300u\11j\1\377\25\244\34C\0Ya\213E\360_^[\311\303U\213\354\203\354\24SVW\307E\360\2\0\0\0`\211e\364\213E\0\211E\374\213E\4\211E\370\211m\354\213E\354\203\300\10\211E\354\203=\360\34C\0\0t+\3775\360\34C\0\377\25(\221@\0\205\300u\33\377u\364\377u\374\377u\354\377u\370\377u\10\377\25\360\34C\0\203\304\24\211E\360a\213E\360_^[\311\303U\213\354Q\203e\374\0\203=\270\34C", ) , ) == 0x0
 00982  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "(\221@\0\205\300u\15\377u\10\377\25\270\34C\0Y\211E\374\213E\374\311\303U\213\354Q\307E\374\2\0\0\0\203=\274\34C\0\0t\35\3775\274\34C\0\377\25(\221@\0\205\300u\15\377u\10\377\25\274\34C\0Y\211E\374\213E\374\311\303U\213\354Q\307E\374\2\0\0\0\203=\300\34C\0\0t\35\3775\300\34C\0\377\25(\221@\0\205\300u\15\377u\10\377\25\300\34C\0Y\211E\374\213E\374\311\303U\213\354Q\307E\374\2\0\0\0\203=\304\34C\0\0t\35\3775\304\34C\0\377\25(\221@\0\205\300u\15\377u\10\377\25\304\34C\0Y\211E\374\213E\374\311\303U\213\354Q\307E\374\2\0\0\0\203=\310\34C\0\0t\35\3775\310\34C\0\377\25(\221@\0\205\300u\15\377u\10\377\25\310\34C\0Y\211E\374\213E\374\311\303U\213\354\241\340\34C\0\205\300t!P\377\25(\221@\0\205\300u\26\215E\24P\377u\20\377u\14\377u\10\377\25\340\34C\0\203\304\20]\303U\213\354\241\370\34C\0\205\300Vj\2^t\33P\377\25(\221@\0\205\300u\20\377u\14\377u\10\377\25\370\34C\0YY\213\360\213\306^]\303U\213\354\241\314\34C\0\205\300Vj\2^t\27P\377\25(\221@\0\205\300u\14\377u\10\377\25\314\34C\0Y\213\360\213\306^]\303U\213\354V\213u\10V\377\25\0\221@\0\205\300|\13\212\140:M\14t\10Hy\3653\300^]\303\3\306\353\371U\213\354\201\354\30\1\0\0SVW\277$\244@\0W\377\25h\220@\0\205\300\211E\370\17\205\201\1\0\0\273\4\1\0\0\215\205\350\376\377\377SP\350\322\365\377\377P\377\25\274\220@\0\205\300tZ\215\205\350\376\377\377j\P\350\214\377\377\377\205\300Y", ) , ) == 0x0
 00983  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\244@\0P\211E\364\377\326\215\205\350\376\377\377P\377\25\214\220@\0\203\370\377t"W\377u\364\377\326j\10j\0\215\205\350\376\377\377P\377\25,\221@\0\205\300\211E\370\17\205\12\1\0\0\2135\10\220@\0\203e\364\0\215E\374Pj\1j\0\211]\360h\364\243@\0\273\2\0\0\200S\377\326\205\300\17\205\2\1\0\0\215E\360P\215\205\350\376\377\377P\215E\354Pj\0h\350\243@\0\377u\374\377\25\34\220@\0\205\300u$9E\360t\37\203}\354\1u\31\215\205\350\376\377\377P\377\25\214\220@\0\203\370\377t\7\307E\364\1\0\0\0\377u\374\377\25 \220@\0\203}\364\0\17\204\250\0\0\0\215E\374Pj\1j\0h\300\243@\0S\377\326\205\300\17\205\220\0\0\0\215E\360P\215\205\350\376\377\377P\215E\354P3\333Sh\264\243@\0\377u\374\377\25\34\220@\0\205\300u<9]\360t7\203}\354\1u1\2135\244\220@\0h\200\225@\0\215\205\350\376\377\377P\377\326W\215\205\350\376\377\377P\377\326j\10S\215\205\350\376\377\377P\377\25,\221@\0\211E\370\377u\374\377\25 \220@\09]\370t"\203=\374\34C\0\0u\16\213}\370\211=\374\34C\0\350r\364\377\377f\377\5\0\35C\03\300\353\33\300@_^[\311\3033\3009\5\374\34C\0t\12f9\5\0\35C\0t\1@\303\241\374\34C\0\205\300t\33f\377\15\0\35C\0u\22P\377\25<\221@\0\203%\374\34C\0\03\300@\3033\300\303U\213\354Vj\2^\350\270\377\377\377\205\300t\16\203=T\34C\0\0u\16j\7X\353+\203=T\34C\0\0t \3775T\34C\0\377\25(\221@\0\205\300u\20\377u\14\377u\10\377\25T\34C\0YY\213\360", ) W\377u\364\377\326j\10j\0\215\205\350\376\377\377P\377\25,\221@\0\205\300\211E\370\17\205\12\1\0\0\2135\10\220@\0\203e\364\0\215E\374Pj\1j\0\211]\360h\364\243@\0\273\2\0\0\200S\377\326\205\300\17\205\2\1\0\0\215E\360P\215\205\350\376\377\377P\215E\354Pj\0h\350\243@\0\377u\374\377\25\34\220@\0\205\300u$9E\360t\37\203}\354\1u\31\215\205\350\376\377\377P\377\25\214\220@\0\203\370\377t\7\307E\364\1\0\0\0\377u\374\377\25 \220@\0\203}\364\0\17\204\250\0\0\0\215E\374Pj\1j\0h\300\243@\0S\377\326\205\300\17\205\220\0\0\0\215E\360P\215\205\350\376\377\377P\215E\354P3\333Sh\264\243@\0\377u\374\377\25\34\220@\0\205\300u<9]\360t7\203}\354\1u1\2135\244\220@\0h\200\225@\0\215\205\350\376\377\377P\377\326W\215\205\350\376\377\377P\377\326j\10S\215\205\350\376\377\377P\377\25,\221@\0\211E\370\377u\374\377\25 \220@\09]\370t (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\244@\0P\211E\364\377\326\215\205\350\376\377\377P\377\25\214\220@\0\203\370\377t"W\377u\364\377\326j\10j\0\215\205\350\376\377\377P\377\25,\221@\0\205\300\211E\370\17\205\12\1\0\0\2135\10\220@\0\203e\364\0\215E\374Pj\1j\0\211]\360h\364\243@\0\273\2\0\0\200S\377\326\205\300\17\205\2\1\0\0\215E\360P\215\205\350\376\377\377P\215E\354Pj\0h\350\243@\0\377u\374\377\25\34\220@\0\205\300u$9E\360t\37\203}\354\1u\31\215\205\350\376\377\377P\377\25\214\220@\0\203\370\377t\7\307E\364\1\0\0\0\377u\374\377\25 \220@\0\203}\364\0\17\204\250\0\0\0\215E\374Pj\1j\0h\300\243@\0S\377\326\205\300\17\205\220\0\0\0\215E\360P\215\205\350\376\377\377P\215E\354P3\333Sh\264\243@\0\377u\374\377\25\34\220@\0\205\300u<9]\360t7\203}\354\1u1\2135\244\220@\0h\200\225@\0\215\205\350\376\377\377P\377\326W\215\205\350\376\377\377P\377\326j\10S\215\205\350\376\377\377P\377\25,\221@\0\211E\370\377u\374\377\25 \220@\09]\370t"\203=\374\34C\0\0u\16\213}\370\211=\374\34C\0\350r\364\377\377f\377\5\0\35C\03\300\353\33\300@_^[\311\3033\3009\5\374\34C\0t\12f9\5\0\35C\0t\1@\303\241\374\34C\0\205\300t\33f\377\15\0\35C\0u\22P\377\25<\221@\0\203%\374\34C\0\03\300@\3033\300\303U\213\354Vj\2^\350\270\377\377\377\205\300t\16\203=T\34C\0\0u\16j\7X\353+\203=T\34C\0\0t \3775T\34C\0\377\25(\221@\0\205\300u\20\377u\14\377u\10\377\25T\34C\0YY\213\360", ) , ) == 0x0
 00984  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377\377\205\300t\16\203=d\34C\0\0u\16j\7X^\303\203=d\34C\0\0t\30\3775d\34C\0\377\25(\221@\0\205\300u\10\377\25d\34C\0\213\360\213\306^\303U\213\354Vj\2^\350,\377\377\377\205\300t\16\203=l\34C\0\0u\16j\7X\3532\203=l\34C\0\0t'\3775l\34C\0\377\25(\221@\0\205\300u\27\377u\24\377u\20\377u\14\377u\10\377\25l\34C\0\203\304\20\213\360\213\306^]\303U\213\354Vj\2^\350\331\376\377\377\205\300t\16\203=t\34C\0\0u\16j\7X\353+\203=t\34C\0\0t \3775t\34C\0\377\25(\221@\0\205\300u\20\377u\14\377u\10\377\25t\34C\0YY\213\360\213\306^]\303U\213\354Vj\2^\350\215\376\377\377\205\300t\16\203=|\34C\0\0u\16j\7X\353/\203=|\34C\0\0t$\3775|\34C\0\377\25(\221@\0\205\300u\24\377u\20\377u\14\377u\10\377\25|\34C\0\203\304\14\213\360\213\306^]\303U\213\354Vj\2^\350=\376\377\377\205\300t\16\203=|\34C\0\0u\5j\7X\353&\241\204\34C\0\205\300t\33P\377\25(\221@\0\205\300u\20\377u\14\377u\10\377\25\204\34C\0YY\213\360\213\306^]\303\350\22\376\377\377\205\300\17\204\317\0\0\03\300\243P\34C\0\243X\34C\0\243\\34C\0\243`\34C\0\243h\34C\0\243l\34C\0\243p\34C\0\243t\34C\0\243x\34C\0\243|\34C\0\243\200\34C\0\243\204\34C\0\243\210\34C\0\243\214\34C\0\243\220\34C\0\243\224\34C\0\243\230\34C\0\243\234\34C\0\243\240\34C\0\243\320\34C\0\243\324\34C\0\243\330\34C\0\243\334\34C\0\243\340\34", ) , ) == 0x0
 00985  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\243\364\34C\0\243\370\34C\0\243\354\34C\0\243\360\34C\0\243\244\34C\0\243\250\34C\0\243\254\34C\0\243\260\34C\0\243\264\34C\0\243\270\34C\0\243\274\34C\0\243\300\34C\0\243\304\34C\0\243\310\34C\0\243\314\34C\0\303U\213\354\203\354\20\350L\373\377\377\205\300t\12\203\370\3t\5\350\12\377\377\377\241\344\34C\0\205\300u\12\350\374\376\377\3773\300@\311\303Vj\10^V\377\320\203\370\6Ys\12\350\345\376\377\3773\300@\353E\241\364\34C\0\205\300t\33\213M\10\211M\374\215M\360Q\307E\360\1\0\0\0\211u\364\211}\370\377\320\353\16\241\350\34C\0\205\300t\311WV\377\320Y\213\360\205\366Yt\12\203\376\3t\5\350\235\376\377\377\213\306^\311\303U\213\354W\213}\10j\0\350g\377\377\377Y_]\303U\213\354W\213}\10j\1\350U\377\377\377Y_]\303j\0\350\325\377\377\377Y\303\377%0\221@\0\377%4\221@\0\377%@\221@\0\377%d\221@\0\377%`\221@\0\377%\\221@\0\377%X\221@\0\377%T\221@\0\377%P\221@\0\377%L\221@\0\377%H\221@\0\377%D\221@\0\377%<\221@\0\377%8\221@\0\377%\304\220@\0\377%`\220@\0\377%d\220@\0\377%h\220@\0\377%l\220@\0\377%p\220@\0\377%t\220@\0\377%x\220@\0\377%|\220@\0\377%\200\220@\0\377%\204\220@\0\377%\210\220@\0\377%\214\220@\0\377%\220\220@\0\377%\224\220@\0\377%\230\220@\0\377%\234\220@\0\377%\240\220@\0\377%\244\220@\0\377%\250\220@\0\377%\254\220@\0\377%\260\220@\0\377%\264\220@\0\377%\270\220@\0\377%\274\220@\0\377%\300\220@\0", ) , ) == 0x0
 00986  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377%\314\220@\0\377%\320\220@\0\377%\324\220@\0\377%\330\220@\0\377%\334\220@\0\377%\340\220@\0\377%\344\220@\0\377%\350\220@\0\377%\354\220@\0\377%\360\220@\0\377%\364\220@\0\377%\370\220@\0\377%\374\220@\0\377%\0\221@\0\377%\4\221@\0\377%\10\221@\0\377%\14\221@\0\377%\20\221@\0\377%\24\221@\0\377%\30\221@\0\377%\34\221@\0\377% \221@\0\377%$\221@\0\377%(\221@\0\377%,\221@\0\377%\200\222@\0\377%|\222@\0\377%x\222@\0\377%t\222@\0\377%\204\222@\0\377%p\222@\0\377%l\222@\0\377%h\222@\0\377%d\222@\0\377%`\222@\0\377%\\222@\0\377%X\222@\0\377%T\222@\0\377%P\222@\0\377%L\222@\0\377%H\222@\0\377%D\222@\0\377%@\222@\0\377%<\222@\0\377%8\222@\0\377%4\222@\0\377%0\222@\0\377%\214\221@\0\377%\220\221@\0\377%\224\221@\0\377%\230\221@\0\377%\234\221@\0\377%\240\221@\0\377%\244\221@\0\377%\250\221@\0\377%\254\221@\0\377%\260\221@\0\377%\264\221@\0\377%\270\221@\0\377%\274\221@\0\377%\300\221@\0\377%\304\221@\0\377%\310\221@\0\377%\314\221@\0\377%\320\221@\0\377%\324\221@\0\377%\330\221@\0\377%\334\221@\0\377%\340\221@\0\377%\344\221@\0\377%\350\221@\0\377%\354\221@\0\377%\360\221@\0\377%\364\221@\0\377%\370\221@\0\377%\374\221@\0\377%\0\222@\0\377%\4\222@\0\377%\10\222@\0\377%\14\222@\0\377%\20\222@\0\377%\24\222@\0\377%\30\222@\0\377%", ) , ) == 0x0
 00987  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "$\222@\0\377%(\222@\0\377%,\222@\0\377%X\220@\0\377%P\220@\0\377%L\220@\0\377%H\220@\0\377%D\220@\0\377%@\220@\0\377%<\220@\0\377%T\220@\0\377%\0\220@\0\377% \220@\0\377%\4\220@\0\377%\10\220@\0\377%\14\220@\0\377%\34\220@\0\377%\30\220@\0\377%\24\220@\0\377%\20\220@\0\377%\200\221@\0\377%p\221@\0\377%\204\221@\0\377%t\221@\0\377%x\221@\0\377%|\221@\0\377%\244\222@\0\377%\234\222@\0\377%\240\222@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) , ) == 0x0
 00988  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\246\302\0\0\304\302\0\0\322\302\0\0\342\302\0\0*\303\0\0\30\303\0\0\6\303\0\0\362\302\0\0\266\302\0\0\0\0\0\0\21\0\0\200\344\270\0\0\320\270\0\0\372\270\0\0\0\0\0\0~\302\0\0n\302\0\0X\302\0\0B\302\0\06\302\0\0&\302\0\0\216\302\0\0\26\302\0\0\0\0\0\0h\272\0\0z\272\0\0\212\272\0\0\236\272\0\0\256\272\0\0\304\272\0\0\332\272\0\0\366\272\0\0\20\273\0\0\34\273\0\0*\273\0\08\273\0\0N\273\0\0`\273\0\0n\273\0\0\202\273\0\0\226\273\0\0\242\273\0\0\256\273\0\0\306\273\0\0\334\273\0\0\344\273\0\0\364\273\0\0\2\274\0\0\30\274\0\0X\272\0\0:\274\0\0N\274\0\0Z\274\0\0f\274\0\0x\274\0\0\220\274\0\0\240\274\0\0\254\274\0\0\304\274\0\0\330\274\0\0\350\274\0\0\366\274\0\0\4\275\0\0\24\275\0\0&\275\0\02\275\0\0@\275\0\0T\275\0\0d\275\0\0v\275\0\0\206\275\0\0\234\275\0\0\262\275\0\0\306\275\0\0\326\275\0\0\346\275\0\0j\271\0\0t\271\0\0F\272\0\08\272\0\0\202\271\0\0"\272\0\0\4\272\0\0\350\271\0\0\334\271\0\0\320\271\0\0\276\271\0\0\262\271\0\0\242\271\0\0\220\271\0\0,\274\0\0\0\0\0\0^\303\0\0\206\303\0\0\234\303\0\0\252\303\0\0J\303\0\0n\303\0\0\0\0\0\0T\277\0\0f\277\0\0x\277\0\0\204\277\0\0\224\277\0\0\252\277\0\0\272\277\0\0\306\277\0\0\324\277\0\0\346\277\0\0\364\277\0\0\0\300\0\0\22\300\0\0&\300\0\0<\300\0\0N\300\0\0^\300\0\0p\300\0\0\202\300\0\0\220\300\0\0\242\300\0\0\266\300\0\0\310\300\0\0\330\300\0\0\352\300\0\0\372\300\0\0", ) \272\0\0\4\272\0\0\350\271\0\0\334\271\0\0\320\271\0\0\276\271\0\0\262\271\0\0\242\271\0\0\220\271\0\0,\274\0\0\0\0\0\0^\303\0\0\206\303\0\0\234\303\0\0\252\303\0\0J\303\0\0n\303\0\0\0\0\0\0T\277\0\0f\277\0\0x\277\0\0\204\277\0\0\224\277\0\0\252\277\0\0\272\277\0\0\306\277\0\0\324\277\0\0\346\277\0\0\364\277\0\0\0\300\0\0\22\300\0\0&\300\0\0<\300\0\0N\300\0\0^\300\0\0p\300\0\0\202\300\0\0\220\300\0\0\242\300\0\0\266\300\0\0\310\300\0\0\330\300\0\0\352\300\0\0\372\300\0\0", ) == 0x0
 00989  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, ":\301\0\0J\301\0\0\\301\0\0l\301\0\0~\301\0\0\216\301\0\0\240\301\0\0\270\301\0\0\312\301\0\0\334\301\0\0\356\301\0\0\374\301\0\0>\277\0\00\277\0\0$\277\0\0\30\277\0\0\2\277\0\0\362\276\0\0\346\276\0\0\330\276\0\0\306\276\0\0\270\276\0\0\260\276\0\0\240\276\0\0\220\276\0\0|\276\0\0j\276\0\0Z\276\0\0H\276\0\0*\276\0\0\36\276\0\0\22\276\0\0\6\276\0\0:\276\0\0\0\0\0\0D\271\0\0.\271\0\0\34\271\0\0\0\0\0\0\350\303\0\0\372\303\0\0\324\303\0\0\0\0\0\0\0\0\0\0\0\0\0\02\2126D\0\0\0\0\2\0\0\0\204\0\0\0\24\304\0\0\24\266\0\0logging set to %d\0\0\0settings logging to %d\0\0File Extraction: failed createprocess on uninstaller ("%s")\0File Extraction: success ("%s")\0" _?=\0\0\0 /x "\0\0\0created uninstaller: %d, "%s"\0\0\0WriteReg: error creating key %d\%s\0\0WriteRegBin: set %d\%s\%s with %d bytes\0WriteRegDWORD: set %d\%s\%s to %d\0\0\0", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, ":\301\0\0J\301\0\0\\301\0\0l\301\0\0~\301\0\0\216\301\0\0\240\301\0\0\270\301\0\0\312\301\0\0\334\301\0\0\356\301\0\0\374\301\0\0>\277\0\00\277\0\0$\277\0\0\30\277\0\0\2\277\0\0\362\276\0\0\346\276\0\0\330\276\0\0\306\276\0\0\270\276\0\0\260\276\0\0\240\276\0\0\220\276\0\0|\276\0\0j\276\0\0Z\276\0\0H\276\0\0*\276\0\0\36\276\0\0\22\276\0\0\6\276\0\0:\276\0\0\0\0\0\0D\271\0\0.\271\0\0\34\271\0\0\0\0\0\0\350\303\0\0\372\303\0\0\324\303\0\0\0\0\0\0\0\0\0\0\0\0\0\02\2126D\0\0\0\0\2\0\0\0\204\0\0\0\24\304\0\0\24\266\0\0logging set to %d\0\0\0settings logging to %d\0\0File Extraction: failed createprocess on uninstaller ("%s")\0File Extraction: success ("%s")\0" _?=\0\0\0 /x "\0\0\0created uninstaller: %d, "%s"\0\0\0WriteReg: error creating key %d\%s\0\0WriteRegBin: set %d\%s\%s with %d bytes\0WriteRegDWORD: set %d\%s\%s to %d\0\0\0", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, ":\301\0\0J\301\0\0\\301\0\0l\301\0\0~\301\0\0\216\301\0\0\240\301\0\0\270\301\0\0\312\301\0\0\334\301\0\0\356\301\0\0\374\301\0\0>\277\0\00\277\0\0$\277\0\0\30\277\0\0\2\277\0\0\362\276\0\0\346\276\0\0\330\276\0\0\306\276\0\0\270\276\0\0\260\276\0\0\240\276\0\0\220\276\0\0|\276\0\0j\276\0\0Z\276\0\0H\276\0\0*\276\0\0\36\276\0\0\22\276\0\0\6\276\0\0:\276\0\0\0\0\0\0D\271\0\0.\271\0\0\34\271\0\0\0\0\0\0\350\303\0\0\372\303\0\0\324\303\0\0\0\0\0\0\0\0\0\0\0\0\0\02\2126D\0\0\0\0\2\0\0\0\204\0\0\0\24\304\0\0\24\266\0\0logging set to %d\0\0\0settings logging to %d\0\0File Extraction: failed createprocess on uninstaller ("%s")\0File Extraction: success ("%s")\0" _?=\0\0\0 /x "\0\0\0created uninstaller: %d, "%s"\0\0\0WriteReg: error creating key %d\%s\0\0WriteRegBin: set %d\%s\%s with %d bytes\0WriteRegDWORD: set %d\%s\%s to %d\0\0\0", )  _?=\0\0\0 /x  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, ":\301\0\0J\301\0\0\\301\0\0l\301\0\0~\301\0\0\216\301\0\0\240\301\0\0\270\301\0\0\312\301\0\0\334\301\0\0\356\301\0\0\374\301\0\0>\277\0\00\277\0\0$\277\0\0\30\277\0\0\2\277\0\0\362\276\0\0\346\276\0\0\330\276\0\0\306\276\0\0\270\276\0\0\260\276\0\0\240\276\0\0\220\276\0\0|\276\0\0j\276\0\0Z\276\0\0H\276\0\0*\276\0\0\36\276\0\0\22\276\0\0\6\276\0\0:\276\0\0\0\0\0\0D\271\0\0.\271\0\0\34\271\0\0\0\0\0\0\350\303\0\0\372\303\0\0\324\303\0\0\0\0\0\0\0\0\0\0\0\0\0\02\2126D\0\0\0\0\2\0\0\0\204\0\0\0\24\304\0\0\24\266\0\0logging set to %d\0\0\0settings logging to %d\0\0File Extraction: failed createprocess on uninstaller ("%s")\0File Extraction: success ("%s")\0" _?=\0\0\0 /x "\0\0\0created uninstaller: %d, "%s"\0\0\0WriteReg: error creating key %d\%s\0\0WriteRegBin: set %d\%s\%s with %d bytes\0WriteRegDWORD: set %d\%s\%s to %d\0\0\0", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, ":\301\0\0J\301\0\0\\301\0\0l\301\0\0~\301\0\0\216\301\0\0\240\301\0\0\270\301\0\0\312\301\0\0\334\301\0\0\356\301\0\0\374\301\0\0>\277\0\00\277\0\0$\277\0\0\30\277\0\0\2\277\0\0\362\276\0\0\346\276\0\0\330\276\0\0\306\276\0\0\270\276\0\0\260\276\0\0\240\276\0\0\220\276\0\0|\276\0\0j\276\0\0Z\276\0\0H\276\0\0*\276\0\0\36\276\0\0\22\276\0\0\6\276\0\0:\276\0\0\0\0\0\0D\271\0\0.\271\0\0\34\271\0\0\0\0\0\0\350\303\0\0\372\303\0\0\324\303\0\0\0\0\0\0\0\0\0\0\0\0\0\02\2126D\0\0\0\0\2\0\0\0\204\0\0\0\24\304\0\0\24\266\0\0logging set to %d\0\0\0settings logging to %d\0\0File Extraction: failed createprocess on uninstaller ("%s")\0File Extraction: success ("%s")\0" _?=\0\0\0 /x "\0\0\0created uninstaller: %d, "%s"\0\0\0WriteReg: error creating key %d\%s\0\0WriteRegBin: set %d\%s\%s with %d bytes\0WriteRegDWORD: set %d\%s\%s to %d\0\0\0", ) , ) == 0x0
 00990  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, " set %d\%s\%s to %s\0DeleteRegKey: %d\%s\0DeleteRegValue: %d\%s\%s\0\0\0\0WriteINIStr: wrote [%s] %s=%s in %s\0\0\0\0\0CopyFiles "%s"->"%s"\0\0\0\0CreateShortCut: out: "%s", in: "%s %s", icon: %s,%d, sw=%d, hk=%d\0\0\0Error registering DLL: Could not initialize OLE\0Error registering DLL: Could not load '%s' -> '%s'\0\0Error registering DLL: %s not found in %s\0\0\0RegDLL: Could not load '%s' -> '%s'\0\\0\0\0Exec: failed createprocess ("%s")\0\0\0Exec: success ("%s")\0\0\0\0Exec: command="%s"\0\0ExecShell: success ("%s": file:"", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, " set %d\%s\%s to %s\0DeleteRegKey: %d\%s\0DeleteRegValue: %d\%s\%s\0\0\0\0WriteINIStr: wrote [%s] %s=%s in %s\0\0\0\0\0CopyFiles "%s"->"%s"\0\0\0\0CreateShortCut: out: "%s", in: "%s %s", icon: %s,%d, sw=%d, hk=%d\0\0\0Error registering DLL: Could not initialize OLE\0Error registering DLL: Could not load '%s' -> '%s'\0\0Error registering DLL: %s not found in %s\0\0\0RegDLL: Could not load '%s' -> '%s'\0\\0\0\0Exec: failed createprocess ("%s")\0\0\0Exec: success ("%s")\0\0\0\0Exec: command="%s"\0\0ExecShell: success ("%s": file:"", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, " set %d\%s\%s to %s\0DeleteRegKey: %d\%s\0DeleteRegValue: %d\%s\%s\0\0\0\0WriteINIStr: wrote [%s] %s=%s in %s\0\0\0\0\0CopyFiles "%s"->"%s"\0\0\0\0CreateShortCut: out: "%s", in: "%s %s", icon: %s,%d, sw=%d, hk=%d\0\0\0Error registering DLL: Could not initialize OLE\0Error registering DLL: Could not load '%s' -> '%s'\0\0Error registering DLL: %s not found in %s\0\0\0RegDLL: Could not load '%s' -> '%s'\0\\0\0\0Exec: failed createprocess ("%s")\0\0\0Exec: success ("%s")\0\0\0\0Exec: command="%s"\0\0ExecShell: success ("%s": file:"", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, " set %d\%s\%s to %s\0DeleteRegKey: %d\%s\0DeleteRegValue: %d\%s\%s\0\0\0\0WriteINIStr: wrote [%s] %s=%s in %s\0\0\0\0\0CopyFiles "%s"->"%s"\0\0\0\0CreateShortCut: out: "%s", in: "%s %s", icon: %s,%d, sw=%d, hk=%d\0\0\0Error registering DLL: Could not initialize OLE\0Error registering DLL: Could not load '%s' -> '%s'\0\0Error registering DLL: %s not found in %s\0\0\0RegDLL: Could not load '%s' -> '%s'\0\\0\0\0Exec: failed createprocess ("%s")\0\0\0Exec: success ("%s")\0\0\0\0Exec: command="%s"\0\0ExecShell: success ("%s": file:"", ) %s %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, " set %d\%s\%s to %s\0DeleteRegKey: %d\%s\0DeleteRegValue: %d\%s\%s\0\0\0\0WriteINIStr: wrote [%s] %s=%s in %s\0\0\0\0\0CopyFiles "%s"->"%s"\0\0\0\0CreateShortCut: out: "%s", in: "%s %s", icon: %s,%d, sw=%d, hk=%d\0\0\0Error registering DLL: Could not initialize OLE\0Error registering DLL: Could not load '%s' -> '%s'\0\0Error registering DLL: %s not found in %s\0\0\0RegDLL: Could not load '%s' -> '%s'\0\\0\0\0Exec: failed createprocess ("%s")\0\0\0Exec: success ("%s")\0\0\0\0Exec: command="%s"\0\0ExecShell: success ("%s": file:"", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, " set %d\%s\%s to %s\0DeleteRegKey: %d\%s\0DeleteRegValue: %d\%s\%s\0\0\0\0WriteINIStr: wrote [%s] %s=%s in %s\0\0\0\0\0CopyFiles "%s"->"%s"\0\0\0\0CreateShortCut: out: "%s", in: "%s %s", icon: %s,%d, sw=%d, hk=%d\0\0\0Error registering DLL: Could not initialize OLE\0Error registering DLL: Could not load '%s' -> '%s'\0\0Error registering DLL: %s not found in %s\0\0\0RegDLL: Could not load '%s' -> '%s'\0\\0\0\0Exec: failed createprocess ("%s")\0\0\0Exec: success ("%s")\0\0\0\0Exec: command="%s"\0\0ExecShell: success ("%s": file:"", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, " set %d\%s\%s to %s\0DeleteRegKey: %d\%s\0DeleteRegValue: %d\%s\%s\0\0\0\0WriteINIStr: wrote [%s] %s=%s in %s\0\0\0\0\0CopyFiles "%s"->"%s"\0\0\0\0CreateShortCut: out: "%s", in: "%s %s", icon: %s,%d, sw=%d, hk=%d\0\0\0Error registering DLL: Could not initialize OLE\0Error registering DLL: Could not load '%s' -> '%s'\0\0Error registering DLL: %s not found in %s\0\0\0RegDLL: Could not load '%s' -> '%s'\0\\0\0\0Exec: failed createprocess ("%s")\0\0\0Exec: success ("%s")\0\0\0\0Exec: command="%s"\0\0ExecShell: success ("%s": file:"", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, " set %d\%s\%s to %s\0DeleteRegKey: %d\%s\0DeleteRegValue: %d\%s\%s\0\0\0\0WriteINIStr: wrote [%s] %s=%s in %s\0\0\0\0\0CopyFiles "%s"->"%s"\0\0\0\0CreateShortCut: out: "%s", in: "%s %s", icon: %s,%d, sw=%d, hk=%d\0\0\0Error registering DLL: Could not initialize OLE\0Error registering DLL: Could not load '%s' -> '%s'\0\0Error registering DLL: %s not found in %s\0\0\0RegDLL: Could not load '%s' -> '%s'\0\\0\0\0Exec: failed createprocess ("%s")\0\0\0Exec: success ("%s")\0\0\0\0Exec: command="%s"\0\0ExecShell: success ("%s": file:"", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, " set %d\%s\%s to %s\0DeleteRegKey: %d\%s\0DeleteRegValue: %d\%s\%s\0\0\0\0WriteINIStr: wrote [%s] %s=%s in %s\0\0\0\0\0CopyFiles "%s"->"%s"\0\0\0\0CreateShortCut: out: "%s", in: "%s %s", icon: %s,%d, sw=%d, hk=%d\0\0\0Error registering DLL: Could not initialize OLE\0Error registering DLL: Could not load '%s' -> '%s'\0\0Error registering DLL: %s not found in %s\0\0\0RegDLL: Could not load '%s' -> '%s'\0\\0\0\0Exec: failed createprocess ("%s")\0\0\0Exec: success ("%s")\0\0\0\0Exec: command="%s"\0\0ExecShell: success ("%s": file:"", ) ", ) == 0x0
 00991  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "%s")\0\0\0\0ExecShell: warning: error ("%s": file:"%s" params:"%s")=%d\0\0%s %s\0\0\0HideWindow\0\0Pop: stack empty\0\0\0\0Exch: stack < %d elements\0\0\0RMDir: "%s"\0MessageBox: %d,"%s"\0Delete: "%s"\0\0\0\0%s\0\0File: wrote %d to "%s"\0\0File: error, user cancel\0\0\0\0File: skipped: "%s" (overwriteflag=%d)\0\0File: error, user abort\0File: error, user retry\0File: error creating "%s"\0\0\0File: overwriteflag=%d, allowskipfilesflag=%d, name="%s"\0\0\0\0Rename failed: %s\0\0\0Rename on reboot: %s\0\0\0\0Rename: %s\0\0->\0\0IfFileExists: file "%s" ", ) )\0\0\0\0ExecShell: warning: error ( (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "%s")\0\0\0\0ExecShell: warning: error ("%s": file:"%s" params:"%s")=%d\0\0%s %s\0\0\0HideWindow\0\0Pop: stack empty\0\0\0\0Exch: stack < %d elements\0\0\0RMDir: "%s"\0MessageBox: %d,"%s"\0Delete: "%s"\0\0\0\0%s\0\0File: wrote %d to "%s"\0\0File: error, user cancel\0\0\0\0File: skipped: "%s" (overwriteflag=%d)\0\0File: error, user abort\0File: error, user retry\0File: error creating "%s"\0\0\0File: overwriteflag=%d, allowskipfilesflag=%d, name="%s"\0\0\0\0Rename failed: %s\0\0\0Rename on reboot: %s\0\0\0\0Rename: %s\0\0->\0\0IfFileExists: file "%s" ", ) : file: (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "%s")\0\0\0\0ExecShell: warning: error ("%s": file:"%s" params:"%s")=%d\0\0%s %s\0\0\0HideWindow\0\0Pop: stack empty\0\0\0\0Exch: stack < %d elements\0\0\0RMDir: "%s"\0MessageBox: %d,"%s"\0Delete: "%s"\0\0\0\0%s\0\0File: wrote %d to "%s"\0\0File: error, user cancel\0\0\0\0File: skipped: "%s" (overwriteflag=%d)\0\0File: error, user abort\0File: error, user retry\0File: error creating "%s"\0\0\0File: overwriteflag=%d, allowskipfilesflag=%d, name="%s"\0\0\0\0Rename failed: %s\0\0\0Rename on reboot: %s\0\0\0\0Rename: %s\0\0->\0\0IfFileExists: file "%s" ", )  params: (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "%s")\0\0\0\0ExecShell: warning: error ("%s": file:"%s" params:"%s")=%d\0\0%s %s\0\0\0HideWindow\0\0Pop: stack empty\0\0\0\0Exch: stack < %d elements\0\0\0RMDir: "%s"\0MessageBox: %d,"%s"\0Delete: "%s"\0\0\0\0%s\0\0File: wrote %d to "%s"\0\0File: error, user cancel\0\0\0\0File: skipped: "%s" (overwriteflag=%d)\0\0File: error, user abort\0File: error, user retry\0File: error creating "%s"\0\0\0File: overwriteflag=%d, allowskipfilesflag=%d, name="%s"\0\0\0\0Rename failed: %s\0\0\0Rename on reboot: %s\0\0\0\0Rename: %s\0\0->\0\0IfFileExists: file "%s" ", ) )=%d\0\0%s %s\0\0\0HideWindow\0\0Pop: stack empty\0\0\0\0Exch: stack < %d elements\0\0\0RMDir:  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "%s")\0\0\0\0ExecShell: warning: error ("%s": file:"%s" params:"%s")=%d\0\0%s %s\0\0\0HideWindow\0\0Pop: stack empty\0\0\0\0Exch: stack < %d elements\0\0\0RMDir: "%s"\0MessageBox: %d,"%s"\0Delete: "%s"\0\0\0\0%s\0\0File: wrote %d to "%s"\0\0File: error, user cancel\0\0\0\0File: skipped: "%s" (overwriteflag=%d)\0\0File: error, user abort\0File: error, user retry\0File: error creating "%s"\0\0\0File: overwriteflag=%d, allowskipfilesflag=%d, name="%s"\0\0\0\0Rename failed: %s\0\0\0Rename on reboot: %s\0\0\0\0Rename: %s\0\0->\0\0IfFileExists: file "%s" ", ) \0MessageBox: %d, (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "%s")\0\0\0\0ExecShell: warning: error ("%s": file:"%s" params:"%s")=%d\0\0%s %s\0\0\0HideWindow\0\0Pop: stack empty\0\0\0\0Exch: stack < %d elements\0\0\0RMDir: "%s"\0MessageBox: %d,"%s"\0Delete: "%s"\0\0\0\0%s\0\0File: wrote %d to "%s"\0\0File: error, user cancel\0\0\0\0File: skipped: "%s" (overwriteflag=%d)\0\0File: error, user abort\0File: error, user retry\0File: error creating "%s"\0\0\0File: overwriteflag=%d, allowskipfilesflag=%d, name="%s"\0\0\0\0Rename failed: %s\0\0\0Rename on reboot: %s\0\0\0\0Rename: %s\0\0->\0\0IfFileExists: file "%s" ", ) \0Delete:  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "%s")\0\0\0\0ExecShell: warning: error ("%s": file:"%s" params:"%s")=%d\0\0%s %s\0\0\0HideWindow\0\0Pop: stack empty\0\0\0\0Exch: stack < %d elements\0\0\0RMDir: "%s"\0MessageBox: %d,"%s"\0Delete: "%s"\0\0\0\0%s\0\0File: wrote %d to "%s"\0\0File: error, user cancel\0\0\0\0File: skipped: "%s" (overwriteflag=%d)\0\0File: error, user abort\0File: error, user retry\0File: error creating "%s"\0\0\0File: overwriteflag=%d, allowskipfilesflag=%d, name="%s"\0\0\0\0Rename failed: %s\0\0\0Rename on reboot: %s\0\0\0\0Rename: %s\0\0->\0\0IfFileExists: file "%s" ", ) \0\0\0\0%s\0\0File: wrote %d to  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "%s")\0\0\0\0ExecShell: warning: error ("%s": file:"%s" params:"%s")=%d\0\0%s %s\0\0\0HideWindow\0\0Pop: stack empty\0\0\0\0Exch: stack < %d elements\0\0\0RMDir: "%s"\0MessageBox: %d,"%s"\0Delete: "%s"\0\0\0\0%s\0\0File: wrote %d to "%s"\0\0File: error, user cancel\0\0\0\0File: skipped: "%s" (overwriteflag=%d)\0\0File: error, user abort\0File: error, user retry\0File: error creating "%s"\0\0\0File: overwriteflag=%d, allowskipfilesflag=%d, name="%s"\0\0\0\0Rename failed: %s\0\0\0Rename on reboot: %s\0\0\0\0Rename: %s\0\0->\0\0IfFileExists: file "%s" ", ) \0\0File: error, user cancel\0\0\0\0File: skipped:  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "%s")\0\0\0\0ExecShell: warning: error ("%s": file:"%s" params:"%s")=%d\0\0%s %s\0\0\0HideWindow\0\0Pop: stack empty\0\0\0\0Exch: stack < %d elements\0\0\0RMDir: "%s"\0MessageBox: %d,"%s"\0Delete: "%s"\0\0\0\0%s\0\0File: wrote %d to "%s"\0\0File: error, user cancel\0\0\0\0File: skipped: "%s" (overwriteflag=%d)\0\0File: error, user abort\0File: error, user retry\0File: error creating "%s"\0\0\0File: overwriteflag=%d, allowskipfilesflag=%d, name="%s"\0\0\0\0Rename failed: %s\0\0\0Rename on reboot: %s\0\0\0\0Rename: %s\0\0->\0\0IfFileExists: file "%s" ", )  (overwriteflag=%d)\0\0File: error, user abort\0File: error, user retry\0File: error creating  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "%s")\0\0\0\0ExecShell: warning: error ("%s": file:"%s" params:"%s")=%d\0\0%s %s\0\0\0HideWindow\0\0Pop: stack empty\0\0\0\0Exch: stack < %d elements\0\0\0RMDir: "%s"\0MessageBox: %d,"%s"\0Delete: "%s"\0\0\0\0%s\0\0File: wrote %d to "%s"\0\0File: error, user cancel\0\0\0\0File: skipped: "%s" (overwriteflag=%d)\0\0File: error, user abort\0File: error, user retry\0File: error creating "%s"\0\0\0File: overwriteflag=%d, allowskipfilesflag=%d, name="%s"\0\0\0\0Rename failed: %s\0\0\0Rename on reboot: %s\0\0\0\0Rename: %s\0\0->\0\0IfFileExists: file "%s" ", ) \0\0\0File: overwriteflag=%d, allowskipfilesflag=%d, name= (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "%s")\0\0\0\0ExecShell: warning: error ("%s": file:"%s" params:"%s")=%d\0\0%s %s\0\0\0HideWindow\0\0Pop: stack empty\0\0\0\0Exch: stack < %d elements\0\0\0RMDir: "%s"\0MessageBox: %d,"%s"\0Delete: "%s"\0\0\0\0%s\0\0File: wrote %d to "%s"\0\0File: error, user cancel\0\0\0\0File: skipped: "%s" (overwriteflag=%d)\0\0File: error, user abort\0File: error, user retry\0File: error creating "%s"\0\0\0File: overwriteflag=%d, allowskipfilesflag=%d, name="%s"\0\0\0\0Rename failed: %s\0\0\0Rename on reboot: %s\0\0\0\0Rename: %s\0\0->\0\0IfFileExists: file "%s" ", ) \0\0\0\0Rename failed: %s\0\0\0Rename on reboot: %s\0\0\0\0Rename: %s\0\0->\0\0IfFileExists: file  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "%s")\0\0\0\0ExecShell: warning: error ("%s": file:"%s" params:"%s")=%d\0\0%s %s\0\0\0HideWindow\0\0Pop: stack empty\0\0\0\0Exch: stack < %d elements\0\0\0RMDir: "%s"\0MessageBox: %d,"%s"\0Delete: "%s"\0\0\0\0%s\0\0File: wrote %d to "%s"\0\0File: error, user cancel\0\0\0\0File: skipped: "%s" (overwriteflag=%d)\0\0File: error, user abort\0File: error, user retry\0File: error creating "%s"\0\0\0File: overwriteflag=%d, allowskipfilesflag=%d, name="%s"\0\0\0\0Rename failed: %s\0\0\0Rename on reboot: %s\0\0\0\0Rename: %s\0\0->\0\0IfFileExists: file "%s" ", )  ", ) == 0x0
 00992  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "st, jumping %d\0\0IfFileExists: file "%s" exists, jumping %d\0\0CreateDirectory: "%s" (%d)\0\0SetFileAttributes failed.\0\0\0SetFileAttributes: "%s":%08X\0\0\0\0BringToFront\0\0\0\0Sleep(%d)\0\0\0detailprint: %s\0Call: %d\0\0\0\0Aborting: "%s"\0\0Jump: %d\0\0\0\0... %d%%\0\0\0\0\0\0\0\0The installer you are trying to use is corrupted or incomplete.\12This could be the result of a damaged disk, a failed download or a virus.\12\12You may want to contact the author of this installer to obtain a new copy.\12\12It may be possible to skip this check", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "st, jumping %d\0\0IfFileExists: file "%s" exists, jumping %d\0\0CreateDirectory: "%s" (%d)\0\0SetFileAttributes failed.\0\0\0SetFileAttributes: "%s":%08X\0\0\0\0BringToFront\0\0\0\0Sleep(%d)\0\0\0detailprint: %s\0Call: %d\0\0\0\0Aborting: "%s"\0\0Jump: %d\0\0\0\0... %d%%\0\0\0\0\0\0\0\0The installer you are trying to use is corrupted or incomplete.\12This could be the result of a damaged disk, a failed download or a virus.\12\12You may want to contact the author of this installer to obtain a new copy.\12\12It may be possible to skip this check", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "st, jumping %d\0\0IfFileExists: file "%s" exists, jumping %d\0\0CreateDirectory: "%s" (%d)\0\0SetFileAttributes failed.\0\0\0SetFileAttributes: "%s":%08X\0\0\0\0BringToFront\0\0\0\0Sleep(%d)\0\0\0detailprint: %s\0Call: %d\0\0\0\0Aborting: "%s"\0\0Jump: %d\0\0\0\0... %d%%\0\0\0\0\0\0\0\0The installer you are trying to use is corrupted or incomplete.\12This could be the result of a damaged disk, a failed download or a virus.\12\12You may want to contact the author of this installer to obtain a new copy.\12\12It may be possible to skip this check", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "st, jumping %d\0\0IfFileExists: file "%s" exists, jumping %d\0\0CreateDirectory: "%s" (%d)\0\0SetFileAttributes failed.\0\0\0SetFileAttributes: "%s":%08X\0\0\0\0BringToFront\0\0\0\0Sleep(%d)\0\0\0detailprint: %s\0Call: %d\0\0\0\0Aborting: "%s"\0\0Jump: %d\0\0\0\0... %d%%\0\0\0\0\0\0\0\0The installer you are trying to use is corrupted or incomplete.\12This could be the result of a damaged disk, a failed download or a virus.\12\12You may want to contact the author of this installer to obtain a new copy.\12\12It may be possible to skip this check", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "st, jumping %d\0\0IfFileExists: file "%s" exists, jumping %d\0\0CreateDirectory: "%s" (%d)\0\0SetFileAttributes failed.\0\0\0SetFileAttributes: "%s":%08X\0\0\0\0BringToFront\0\0\0\0Sleep(%d)\0\0\0detailprint: %s\0Call: %d\0\0\0\0Aborting: "%s"\0\0Jump: %d\0\0\0\0... %d%%\0\0\0\0\0\0\0\0The installer you are trying to use is corrupted or incomplete.\12This could be the result of a damaged disk, a failed download or a virus.\12\12You may want to contact the author of this installer to obtain a new copy.\12\12It may be possible to skip this check", ) , ) == 0x0
 00993  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "NCRC command line switch\12(NOT RECOMMENDED).\0verifying installer: %d%%\0\0\0Error launching installer\0\0\0SeShutdownPrivilege\0AdjustTokenPrivileges\0\0\0LookupPrivilegeValueA\0\0\0OpenProcessToken\0\0\0\0ADVAPI32.dll\0\0\0\0 _?=\0\0\0\0" \0\0Out of Memory\0\0\0Extraction pathname not properly delimited.\12\12Try using quotes or a shorter path.\0\0\0\0C:\NSIS_ExtractFiles\\0\0\0\Temp\0\0\0NSIS Error\0\0Error writing temporary file. Make sure your temp folder is valid.\0\0nsiszlib.bin\0\0\0\0install.log\0open\0\0\0\0%u.%u%s%s\0\0\0GetDiskFreeSpaceExA\0KERN", )  \0\0Out of Memory\0\0\0Extraction pathname not properly delimited.\12\12Try using quotes or a shorter path.\0\0\0\0C:\NSIS_ExtractFiles\\0\0\0\Temp\0\0\0NSIS Error\0\0Error writing temporary file. Make sure your temp folder is valid.\0\0nsiszlib.bin\0\0\0\0install.log\0open\0\0\0\0%u.%u%s%s\0\0\0GetDiskFreeSpaceExA\0KERN", ) == 0x0
 00994  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "Section: "%s"\0\0\0Skipping section: "%s"\0\0New install of "%s" to "%s"\0.exe\0\0\0\0\374\0\0\0%d\0\0*?|<>/":\0\0\0\0\15\12\0\0\12[\0\0[Rename]\15\12\0\0\wininit.ini\0\0\0\0ERROR: Could not create set up '%s' for delete on reboot (2)\0\0\0\0ERROR: Could not create set up '%s' for delete on reboot (1)\0\0\0\0Software\Microsoft\Windows\CurrentVersion\RunOnceEx\NSIS\0\0\0\0command /c rmdir "%s"\0\0\0%s_%08ld\0\0\0\0Software\Microsoft\Windows\CurrentVersion\RunOnceEx\0Flags\0\0\0NUL\0%s=%s\15\12\0MoveFileExA\0C:\Program Files\0\0\0\0ProgramFilesDir\0Software\Microsoft\Windo", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "Section: "%s"\0\0\0Skipping section: "%s"\0\0New install of "%s" to "%s"\0.exe\0\0\0\0\374\0\0\0%d\0\0*?|<>/":\0\0\0\0\15\12\0\0\12[\0\0[Rename]\15\12\0\0\wininit.ini\0\0\0\0ERROR: Could not create set up '%s' for delete on reboot (2)\0\0\0\0ERROR: Could not create set up '%s' for delete on reboot (1)\0\0\0\0Software\Microsoft\Windows\CurrentVersion\RunOnceEx\NSIS\0\0\0\0command /c rmdir "%s"\0\0\0%s_%08ld\0\0\0\0Software\Microsoft\Windows\CurrentVersion\RunOnceEx\0Flags\0\0\0NUL\0%s=%s\15\12\0MoveFileExA\0C:\Program Files\0\0\0\0ProgramFilesDir\0Software\Microsoft\Windo", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "Section: "%s"\0\0\0Skipping section: "%s"\0\0New install of "%s" to "%s"\0.exe\0\0\0\0\374\0\0\0%d\0\0*?|<>/":\0\0\0\0\15\12\0\0\12[\0\0[Rename]\15\12\0\0\wininit.ini\0\0\0\0ERROR: Could not create set up '%s' for delete on reboot (2)\0\0\0\0ERROR: Could not create set up '%s' for delete on reboot (1)\0\0\0\0Software\Microsoft\Windows\CurrentVersion\RunOnceEx\NSIS\0\0\0\0command /c rmdir "%s"\0\0\0%s_%08ld\0\0\0\0Software\Microsoft\Windows\CurrentVersion\RunOnceEx\0Flags\0\0\0NUL\0%s=%s\15\12\0MoveFileExA\0C:\Program Files\0\0\0\0ProgramFilesDir\0Software\Microsoft\Windo", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "Section: "%s"\0\0\0Skipping section: "%s"\0\0New install of "%s" to "%s"\0.exe\0\0\0\0\374\0\0\0%d\0\0*?|<>/":\0\0\0\0\15\12\0\0\12[\0\0[Rename]\15\12\0\0\wininit.ini\0\0\0\0ERROR: Could not create set up '%s' for delete on reboot (2)\0\0\0\0ERROR: Could not create set up '%s' for delete on reboot (1)\0\0\0\0Software\Microsoft\Windows\CurrentVersion\RunOnceEx\NSIS\0\0\0\0command /c rmdir "%s"\0\0\0%s_%08ld\0\0\0\0Software\Microsoft\Windows\CurrentVersion\RunOnceEx\0Flags\0\0\0NUL\0%s=%s\15\12\0MoveFileExA\0C:\Program Files\0\0\0\0ProgramFilesDir\0Software\Microsoft\Windo", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "Section: "%s"\0\0\0Skipping section: "%s"\0\0New install of "%s" to "%s"\0.exe\0\0\0\0\374\0\0\0%d\0\0*?|<>/":\0\0\0\0\15\12\0\0\12[\0\0[Rename]\15\12\0\0\wininit.ini\0\0\0\0ERROR: Could not create set up '%s' for delete on reboot (2)\0\0\0\0ERROR: Could not create set up '%s' for delete on reboot (1)\0\0\0\0Software\Microsoft\Windows\CurrentVersion\RunOnceEx\NSIS\0\0\0\0command /c rmdir "%s"\0\0\0%s_%08ld\0\0\0\0Software\Microsoft\Windows\CurrentVersion\RunOnceEx\0Flags\0\0\0NUL\0%s=%s\15\12\0MoveFileExA\0C:\Program Files\0\0\0\0ProgramFilesDir\0Software\Microsoft\Windo", ) :\0\0\0\0\15\12\0\0\12[\0\0[Rename]\15\12\0\0\wininit.ini\0\0\0\0ERROR: Could not create set up '%s' for delete on reboot (2)\0\0\0\0ERROR: Could not create set up '%s' for delete on reboot (1)\0\0\0\0Software\Microsoft\Windows\CurrentVersion\RunOnceEx\NSIS\0\0\0\0command /c rmdir  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "Section: "%s"\0\0\0Skipping section: "%s"\0\0New install of "%s" to "%s"\0.exe\0\0\0\0\374\0\0\0%d\0\0*?|<>/":\0\0\0\0\15\12\0\0\12[\0\0[Rename]\15\12\0\0\wininit.ini\0\0\0\0ERROR: Could not create set up '%s' for delete on reboot (2)\0\0\0\0ERROR: Could not create set up '%s' for delete on reboot (1)\0\0\0\0Software\Microsoft\Windows\CurrentVersion\RunOnceEx\NSIS\0\0\0\0command /c rmdir "%s"\0\0\0%s_%08ld\0\0\0\0Software\Microsoft\Windows\CurrentVersion\RunOnceEx\0Flags\0\0\0NUL\0%s=%s\15\12\0MoveFileExA\0C:\Program Files\0\0\0\0ProgramFilesDir\0Software\Microsoft\Windo", ) \0\0\0%s_%08ld\0\0\0\0Software\Microsoft\Windows\CurrentVersion\RunOnceEx\0Flags\0\0\0NUL\0%s=%s\15\12\0MoveFileExA\0C:\Program Files\0\0\0\0ProgramFilesDir\0Software\Microsoft\Windo", ) == 0x0
 00995  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "rsion\0\0\0CommonFilesDir\0\0\Microsoft\Internet Explorer\Quick Launch\0\0\0RMDir: RemoveDirectory failed("%s")\0RMDir: RemoveDirectory on Reboot("%s")\0\0RMDir: RemoveDirectory("%s")\0\0\0\0Delete: DeleteFile failed("%s")\0Delete: DeleteFile on Reboot("%s")\0\0Delete: DeleteFile("%s")\0\0\0\0\*.*\0\0\0\0Delete: ERROR -- "%s" does not exist. Skipping delete.\0\0\20\21\22\0\10\7\11\6\12\5\13\4\14\3\15\2\16\1\17\0\3\0\4\0\5\0\6\0\7\0\10\0\11\0\12\0\13\0\15\0\17\0\21\0\23\0\27\0\33\0\37\0#\0+\03\0;\0C\0S\0c\0s\0\203\0\243\0\303\0\343\0\2\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\1\0\1\0\1\0\2\0\2\0\2\0\2\0\3\0\3\0\3\0\3\0\4\0\4\0\4\0\4\0\5\0\5\0\5\0\5\0\0\0p\0p\0\0\0\1\0\2\0\3\0\4\0\5\0\7\0\11\0\15\0", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "rsion\0\0\0CommonFilesDir\0\0\Microsoft\Internet Explorer\Quick Launch\0\0\0RMDir: RemoveDirectory failed("%s")\0RMDir: RemoveDirectory on Reboot("%s")\0\0RMDir: RemoveDirectory("%s")\0\0\0\0Delete: DeleteFile failed("%s")\0Delete: DeleteFile on Reboot("%s")\0\0Delete: DeleteFile("%s")\0\0\0\0\*.*\0\0\0\0Delete: ERROR -- "%s" does not exist. Skipping delete.\0\0\20\21\22\0\10\7\11\6\12\5\13\4\14\3\15\2\16\1\17\0\3\0\4\0\5\0\6\0\7\0\10\0\11\0\12\0\13\0\15\0\17\0\21\0\23\0\27\0\33\0\37\0#\0+\03\0;\0C\0S\0c\0s\0\203\0\243\0\303\0\343\0\2\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\1\0\1\0\1\0\2\0\2\0\2\0\2\0\3\0\3\0\3\0\3\0\4\0\4\0\4\0\4\0\5\0\5\0\5\0\5\0\0\0p\0p\0\0\0\1\0\2\0\3\0\4\0\5\0\7\0\11\0\15\0", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "rsion\0\0\0CommonFilesDir\0\0\Microsoft\Internet Explorer\Quick Launch\0\0\0RMDir: RemoveDirectory failed("%s")\0RMDir: RemoveDirectory on Reboot("%s")\0\0RMDir: RemoveDirectory("%s")\0\0\0\0Delete: DeleteFile failed("%s")\0Delete: DeleteFile on Reboot("%s")\0\0Delete: DeleteFile("%s")\0\0\0\0\*.*\0\0\0\0Delete: ERROR -- "%s" does not exist. Skipping delete.\0\0\20\21\22\0\10\7\11\6\12\5\13\4\14\3\15\2\16\1\17\0\3\0\4\0\5\0\6\0\7\0\10\0\11\0\12\0\13\0\15\0\17\0\21\0\23\0\27\0\33\0\37\0#\0+\03\0;\0C\0S\0c\0s\0\203\0\243\0\303\0\343\0\2\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\1\0\1\0\1\0\2\0\2\0\2\0\2\0\3\0\3\0\3\0\3\0\4\0\4\0\4\0\4\0\5\0\5\0\5\0\5\0\0\0p\0p\0\0\0\1\0\2\0\3\0\4\0\5\0\7\0\11\0\15\0", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "rsion\0\0\0CommonFilesDir\0\0\Microsoft\Internet Explorer\Quick Launch\0\0\0RMDir: RemoveDirectory failed("%s")\0RMDir: RemoveDirectory on Reboot("%s")\0\0RMDir: RemoveDirectory("%s")\0\0\0\0Delete: DeleteFile failed("%s")\0Delete: DeleteFile on Reboot("%s")\0\0Delete: DeleteFile("%s")\0\0\0\0\*.*\0\0\0\0Delete: ERROR -- "%s" does not exist. Skipping delete.\0\0\20\21\22\0\10\7\11\6\12\5\13\4\14\3\15\2\16\1\17\0\3\0\4\0\5\0\6\0\7\0\10\0\11\0\12\0\13\0\15\0\17\0\21\0\23\0\27\0\33\0\37\0#\0+\03\0;\0C\0S\0c\0s\0\203\0\243\0\303\0\343\0\2\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\1\0\1\0\1\0\2\0\2\0\2\0\2\0\3\0\3\0\3\0\3\0\4\0\4\0\4\0\4\0\5\0\5\0\5\0\5\0\0\0p\0p\0\0\0\1\0\2\0\3\0\4\0\5\0\7\0\11\0\15\0", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "rsion\0\0\0CommonFilesDir\0\0\Microsoft\Internet Explorer\Quick Launch\0\0\0RMDir: RemoveDirectory failed("%s")\0RMDir: RemoveDirectory on Reboot("%s")\0\0RMDir: RemoveDirectory("%s")\0\0\0\0Delete: DeleteFile failed("%s")\0Delete: DeleteFile on Reboot("%s")\0\0Delete: DeleteFile("%s")\0\0\0\0\*.*\0\0\0\0Delete: ERROR -- "%s" does not exist. Skipping delete.\0\0\20\21\22\0\10\7\11\6\12\5\13\4\14\3\15\2\16\1\17\0\3\0\4\0\5\0\6\0\7\0\10\0\11\0\12\0\13\0\15\0\17\0\21\0\23\0\27\0\33\0\37\0#\0+\03\0;\0C\0S\0c\0s\0\203\0\243\0\303\0\343\0\2\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\1\0\1\0\1\0\2\0\2\0\2\0\2\0\3\0\3\0\3\0\3\0\4\0\4\0\4\0\4\0\5\0\5\0\5\0\5\0\0\0p\0p\0\0\0\1\0\2\0\3\0\4\0\5\0\7\0\11\0\15\0", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "rsion\0\0\0CommonFilesDir\0\0\Microsoft\Internet Explorer\Quick Launch\0\0\0RMDir: RemoveDirectory failed("%s")\0RMDir: RemoveDirectory on Reboot("%s")\0\0RMDir: RemoveDirectory("%s")\0\0\0\0Delete: DeleteFile failed("%s")\0Delete: DeleteFile on Reboot("%s")\0\0Delete: DeleteFile("%s")\0\0\0\0\*.*\0\0\0\0Delete: ERROR -- "%s" does not exist. Skipping delete.\0\0\20\21\22\0\10\7\11\6\12\5\13\4\14\3\15\2\16\1\17\0\3\0\4\0\5\0\6\0\7\0\10\0\11\0\12\0\13\0\15\0\17\0\21\0\23\0\27\0\33\0\37\0#\0+\03\0;\0C\0S\0c\0s\0\203\0\243\0\303\0\343\0\2\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\1\0\1\0\1\0\2\0\2\0\2\0\2\0\3\0\3\0\3\0\3\0\4\0\4\0\4\0\4\0\5\0\5\0\5\0\5\0\0\0p\0p\0\0\0\1\0\2\0\3\0\4\0\5\0\7\0\11\0\15\0", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "rsion\0\0\0CommonFilesDir\0\0\Microsoft\Internet Explorer\Quick Launch\0\0\0RMDir: RemoveDirectory failed("%s")\0RMDir: RemoveDirectory on Reboot("%s")\0\0RMDir: RemoveDirectory("%s")\0\0\0\0Delete: DeleteFile failed("%s")\0Delete: DeleteFile on Reboot("%s")\0\0Delete: DeleteFile("%s")\0\0\0\0\*.*\0\0\0\0Delete: ERROR -- "%s" does not exist. Skipping delete.\0\0\20\21\22\0\10\7\11\6\12\5\13\4\14\3\15\2\16\1\17\0\3\0\4\0\5\0\6\0\7\0\10\0\11\0\12\0\13\0\15\0\17\0\21\0\23\0\27\0\33\0\37\0#\0+\03\0;\0C\0S\0c\0s\0\203\0\243\0\303\0\343\0\2\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\1\0\1\0\1\0\2\0\2\0\2\0\2\0\3\0\3\0\3\0\3\0\4\0\4\0\4\0\4\0\5\0\5\0\5\0\5\0\0\0p\0p\0\0\0\1\0\2\0\3\0\4\0\5\0\7\0\11\0\15\0", ) %s (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "rsion\0\0\0CommonFilesDir\0\0\Microsoft\Internet Explorer\Quick Launch\0\0\0RMDir: RemoveDirectory failed("%s")\0RMDir: RemoveDirectory on Reboot("%s")\0\0RMDir: RemoveDirectory("%s")\0\0\0\0Delete: DeleteFile failed("%s")\0Delete: DeleteFile on Reboot("%s")\0\0Delete: DeleteFile("%s")\0\0\0\0\*.*\0\0\0\0Delete: ERROR -- "%s" does not exist. Skipping delete.\0\0\20\21\22\0\10\7\11\6\12\5\13\4\14\3\15\2\16\1\17\0\3\0\4\0\5\0\6\0\7\0\10\0\11\0\12\0\13\0\15\0\17\0\21\0\23\0\27\0\33\0\37\0#\0+\03\0;\0C\0S\0c\0s\0\203\0\243\0\303\0\343\0\2\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\1\0\1\0\1\0\2\0\2\0\2\0\2\0\3\0\3\0\3\0\3\0\4\0\4\0\4\0\4\0\5\0\5\0\5\0\5\0\0\0p\0p\0\0\0\1\0\2\0\3\0\4\0\5\0\7\0\11\0\15\0", ) , ) == 0x0
 00996  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\201\0\301\0\1\1\201\1\1\2\1\3\1\4\1\6\1\10\1\14\1\20\1\30\1 \10\1@\1`\0\0\0\0\0\0\0\0\1\0\1\0\2\0\2\0\3\0\3\0\4\0\4\0\5\0\5\0\6\0\6\0\7\0\7\0\10\0\10\0\11\0\11\0\12\0\12\0\13\0\13\0\14\0\14\0\15\0\15\0FCCreateKey\0FCSetKeyOptions\0FCCreatePersistentKey\0\0\0FCCreateCounter\0FCCreatePersistentCounter\0\0\0FCFlushNonSharedPersistentKeys\0\0FCAddDataToKey\0\0FCDeleteDataFromKey\0FCAddIntToKey\0\0\0FCDeleteIntFromKey\0\0FCAddStringToKey\0\0\0\0FCDeleteStringFromKey\0\0\0FCRegisterMemory\0\0\0\0FCUnregisterMemory\0\0FCAddDateToKey\0\0FCDeleteDateFromKey\0FCSetCounter\0\0\0\0FCIncrementCounter\0\0FCDecrementCounter\0\0FCGetCounter\0\0\0\0FCTriggerInterna", ) , ) == 0x0
 00997  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "SupportIncidentInternal\0FCTraceInternal\0FCAssertInternal1\0\0\0FCCleanup\0\0\0FCOrphanLoadCount\0\0\0FCAssertParamInternal1\0\0FCTraceParamInternal\0\0\0\0FCLibraryVersion\0\0\0\0FCInitializeWithManifestInternal\0\0\0\0FCInitializeWithManifestInternalEx\0\0FCSetMiniDump\0\0\0FCExceptionHandler\0\0FCSetUIState\0\0\0\0FCClearKeys\0FCClearCounters\0FCClearKey\0\0FCDeleteKey\0FCStartTimer\0\0\0\0FCHeartbeatTimer\0\0\0\0FCEndTimer\0\0FCGetSessionUniqueID\0\0\0\0FCSetLocale\0FCRunMemTest\0\0\0\0InstallDir\0\0Software\America Online\AOL Diagnostics\0LoaderPath\0\0", ) , ) == 0x0
 00998  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "rica Online\Loader\0\0talkback.exe\0\0\0\0tbdiag.dll\0\03\2\363\200\337\267\322\21\243;\0`\227\337[\324\344\364>\341\362\322\320\21\230\26\0\300O\331\31r\224\232jY>\1\321\21\2154\0\240\311\17'\31\20f\271@"\265\321\21\263\264\0\252\0n\375\347\20\250\223\2248\354\320\21\274F\0\252\0l\342\365\22\12\237\\236\225\320\21\243\244\0\240\311\10&6\264~\301\246e-\322\21\203\217\0\300O\331\30\320d\246\321\21\214\260\0\300O\331\30\320 \300\234\355\271\10\321\21\230#\0\300O\331\31r\300\23Smb\214\321\21\262\315\0`\227\337\214\21\200\3774DL\357\316\21\256e\10\0+.\22b\260\342+\330dW\320\21\251n\0\300O\327\5\242!\277\\16_\321\320\21\203\1\0\252\0[C\203\340\5\326\207\21\305\317\21\211\251\0\240\311\5A)@\374\255\372w\267iK\252\201w\3^\360\346\350\343\244!F\326\360sG\212\234F\347{\27H@(\342\2019Y\365\323\21\216:\0\300Oh7\325\253\263\353\34\20|\232I\244\27\222\312\26\304\313\203'\342\2019Y\365\323\21\216:\0\300Oh7\325&\342\2019Y\365\323\21\216:\0\300Oh7\325%\342\2019Y\365\323\21\216:\0\300Oh7\325$\342\2019Y\365\323\21\216:\0\300Oh7\325\0\243i\331\377\347\320\21\251;\0\240\311\17'\31&H\307S\231\2533M\254\2441\27\365\357\210\242\17\361\376^5\6N\223\201\233$\327\367\314\210]\223\232\210", ) \265\321\21\263\264\0\252\0n\375\347\20\250\223\2248\354\320\21\274F\0\252\0l\342\365\22\12\237\\236\225\320\21\243\244\0\240\311\10&6\264~\301\246e-\322\21\203\217\0\300O\331\30\320d\246353\15\321\21\230%\0\300O\331\31r\364\272^\26Qm\322\21\203\255\0\300O\331\30\320\353\257\347\321.j\320\21\214x\0\300O\331\30\264\354\216'\214\253>\321\21\214\260\0\300O\331\30\320 \300\234\355\271\10\321\21\230#\0\300O\331\31r\300\23Smb\214\321\21\262\315\0`\227\337\214\21\200\3774DL\357\316\21\256e\10\0+.\22b\260\342+\330dW\320\21\251n\0\300O\327\5\242!\277\\16_\321\320\21\203\1\0\252\0[C\203\340\5\326\207\21\305\317\21\211\251\0\240\311\5A)@\374\255\372w\267iK\252\201w\3^\360\346\350\343\244!F\326\360sG\212\234F\347{\27H@(\342\2019Y\365\323\21\216:\0\300Oh7\325\253\263\353\34\20|\232I\244\27\222\312\26\304\313\203'\342\2019Y\365\323\21\216:\0\300Oh7\325&\342\2019Y\365\323\21\216:\0\300Oh7\325%\342\2019Y\365\323\21\216:\0\300Oh7\325$\342\2019Y\365\323\21\216:\0\300Oh7\325\0\243i\331\377\347\320\21\251;\0\240\311\17'\31&H\307S\231\2533M\254\2441\27\365\357\210\242\17\361\376^5\6N\223\201\233$\327\367\314\210]\223\232\210", ) == 0x0
 00999  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\265\341I6F\323\21\227\367\0\300OE\320\263\20\215\341\1\213M\322\21\205]\0`\10\5\223g\264\363P0\265\230\317\21\273\202\0\252\0\275\316\13\263\363P0\265\230\317\21\273\202\0\252\0\275\316\13\273\363P0\265\230\317\21\273\202\0\252\0\275\316\13\206\367[\336zG\322\21\203\235\0\300O\331\30\320\213'WF\33A\322\21\203\232\0\300O\331\30\320\212'WF\33A\322\21\203\232\0\300O\331\30\320\222\204Q\22\262\0\322\21\237\245\2364 RAS_e\270\377\271\201\316O\270\234\232k\247m\23\347\223\204Q\22\262\0\322\21\237\245\2364 RAS\341\13p\16\266\235\321\21\241\316\0\300O\327]\23\220\34iI\27~\32\20\251\34\10\0+.\315\2515K\27\233\377@\322\21\242~\0\300O\303\10q\344\31\254\256\256\211\10E\271\267\273\206z\276\342\355.7\243V\234\316\322\21\237\16\0`\227\306\206\366\200T'\362\202\367\221B\275\224\3616\223Q:\3544K\27\233\377@\322\21\242~\0\300O\303\10q!\213\2152)w\374K\225L\220+2\235V\2603K\27\233\377@\322\21\242~\0\300O\303\10q\241\35\270\245\11M\226\331l\277\311g\32\2310\361%\267\357G\32\20\245\361\2`\214\236\353\254\246jc(=\225\322\21\265\326\0\300O\331\30\320\214\366\362\223\33\35\323\21\243\16\0\300Oy\253\321R\351Wp\33\275\321\21\211\31\0\300O\302\3106\240\307\314\317\202\242\321\21\220\202\0`\10\5\223\202\330\265\344,\217\242\322\21\206\305\0\300O\216\352\231\2704\217\27\202\242\322\21\206\305\0\300O\216\352\231\200iy\36\305\234\321\21\250?\0\300O\311\235a0\4p\373,\225\321\21\224o\0\0\0\0\0\0P\207\246\223\32\225\321\21\224o\0\0\0\0\0\0\304t.\15", ) , ) == 0x0
 01000  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\2O\361$\34{\321\21\203\217\0\0\370\4a\317\1O\361$\34{\321\21\203\217\0\0\370\4a\317\4P\2\350B\34\322\21\276,\0\240\311\250=\241\3754p\240\252lTI\254?\227\242r\26\371\212\220\245l\304?<\322\21\276\346\0\0\370\5\312W\300\5\241\322\325\207\321\21\203\221\0\0\370\4a\317A`\302t\321p\321\21\267Z\0\240\311\5d\376\342T'\262tE\321\21\230\210\0`\227\336\254\371\340.PR\200\354\320\21\211\253\0\300O\302\227-\0\353\220\364@\22\321\21\230\210\0`\227\336\254\371\0\207\4u\37\357\320\21\230\210\0`\227\336\254\371@\345\221\260\343\203\317\21\247\23\0 \257\327\227b@\276\226L\\221\317\21\231\323\0\252\0J\3507\4|\274\353^1\322\21\266/\0`\227\337[\324R88\370\323\374\321\21\246\271\0`\227\337[\324\223\3335i\350!\314L\276\271\237\343\307z)ze'\273\0wj\320\21\2455\0\300O\327\320bA\246Vgq\336\320\21\203\33\0\252\0[C\203\3616\300\3\206\241\320\21\202J\0\252\0[C\203d'\273\0wj\320\21\2455\0\300O\327\320bc'\273\0wj\320\21\2455\0\300O\327\320b!m\225\221v\222\321\21\222\32\0`\227\337[\324\240A\1G\206Q\322\21\273\266\0`\227{FL\2600\241w\375\224\320\21\245D\0\300O\327\320ba'\273\0wj\320\21\2455\0\300O\327\320b`'\273\0wj\320\21\2455\0\300O\327\320b\0\256\277\317\246\27\320\21\231\313\0\300O\326D\227@J7<\344\272\317\21\277}\0\252\0iF\356\240\15\273\312W\332\317\21\231t\0 \257\327\227b\200;\362\373\360\343\33\20\204\210\0\252\0>V\370@;\362\373\360\343\33\20\204\210\0\252\0>V\370\261\342+\330", ) , ) == 0x0
 01001  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "|\336\303I)\323\320\21\253s\0\300O\303>\200$\246\357\216\351\321[D\224\267t\373\316.\241\32\220\262\353\213\320R\320\21\267\364\0\300O\327\6\354\345%\361e\341{\20H\272\235\322q\310C,\343\0w~\23s5\317\21\256i\10\0+.\22b\340\245\37\16s5\317\21\256i\10\0+.\22b\300\0\220\10s5\317\21\256i\10\0+.\22b\340\320W\0s5\317\21\256i\10\0+.\22b\240\267\16q\355E\320\21\222J\0 \257\307\254M\310\14\350\177G\302\320\21\271:\0\240\311\3\22\341&\256M[\7\270\320\21\230\25\0\300O\331\31r\20\177\360J1\322\320\21\271B\0\240\311\3\22\341\200\376\22m\21y\317\21\2254\0\0\300[\256\13\240\340\374\274\27\354\320\21\215\20\0\240\311\17'\31\200\317\275\36\0\242\320\21\243\244\0\300O\327\6\354+X\375m\343\222\321\21\230\243\0\300O\266\207\332\214\21\310H$\271\321\21\230\325\0\300O\266\207\332f\222\243N\21r\237@\266"\366=\275\26\3053\0\215x\205\7h\320\21\270\20\0\300O\327\6\3544^\13\361;\335\247B\252}/N\305K\260\233\201\37\265ch\310\320\21\231\234\0\300O\326U\341\337O\360\316r\376\322\21\207\245\0\300Oh7\317 \343G \251\362\316\21\256e\10\0+.\22b\26\2253\20\224(\322\21\2209\0\300O\216\353>\0Bl\14\211\305\320\21\231\232\0\300O\326U\341p\212h}\23\306\320\21\231\233\0\300O\326U\341ze\322G'{\320\21\214\251\0\240\311-\277\350\302/4*&{\320\21\214\251\0\240\311-\277\350\222\203\333\3611s\320\21\214\231\0\240\311-\277\350\252O(hHj\320\21\214x\0\300O\331\30\264\257\361s\347e:fH\205}\204o\311\304Y\212\321\316\372\12", ) \366=\275\26\3053\0\215x\205\7h\320\21\270\20\0\300O\327\6\3544^\13\361;\335\247B\252}/N\305K\260\233\201\37\265ch\310\320\21\231\234\0\300O\326U\341\337O\360\316r\376\322\21\207\245\0\300Oh7\317 \343G \251\362\316\21\256e\10\0+.\22b\26\2253\20\224(\322\21\2209\0\300O\216\353>\0Bl\14\211\305\320\21\231\232\0\300O\326U\341p\212h}\23\306\320\21\231\233\0\300O\326U\341ze\322G'{\320\21\214\251\0\240\311-\277\350\302/4*&{\320\21\214\251\0\240\311-\277\350\222\203\333\3611s\320\21\214\231\0\240\311-\277\350\252O(hHj\320\21\214x\0\300O\331\30\264\257\361s\347e:fH\205}\204o\311\304Y\212\321\316\372\12", ) == 0x0
 01002  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\360d_\230\20\324\2N\276"\332\7\362\265\305\341\200\272\330\255+\0\320\21\217\17\0\300O\327\320b\244M\344^2m\343F\206\274\7T\15\355\320\340\242V\366\11\257A\14H\210\367\26\314\15\26F\25\240\366`\254\331\17\320\21\231\313\0\300O\326D\227\203)\325\I\224\322\21\226:\0\300Oy\255\360\256\264\342E\303\261\320\21\271/\0\240\311\3\22\341\200\236\343\210x5\317\21\256i\10\0+.\22b\241\37\316\213!\11\33\20\261\377\0\335\1\14\314H\0\25\2\0\0\0\0\0\300\0\0\0\0\0\0F\376\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\374\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\373\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\372\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\371\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\370\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\367\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\366\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\365\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\364\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\363\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\362\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\361\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\360\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\357\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\356\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\355\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\354\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\353\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\352\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\351\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\350\24\2\0", ) \332\7\362\265\305\341\200\272\330\255+\0\320\21\217\17\0\300O\327\320b\244M\344^2m\343F\206\274\7T\15\355\320\340\242V\366\11\257A\14H\210\367\26\314\15\26F\25\240\366`\254\331\17\320\21\231\313\0\300O\326D\227\203)\325\I\224\322\21\226:\0\300Oy\255\360\256\264\342E\303\261\320\21\271/\0\240\311\3\22\341\200\236\343\210x5\317\21\256i\10\0+.\22b\241\37\316\213!\11\33\20\261\377\0\335\1\14\314H\0\25\2\0\0\0\0\0\300\0\0\0\0\0\0F\376\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\374\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\373\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\372\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\371\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\370\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\367\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\366\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\365\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\364\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\363\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\362\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\361\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\360\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\357\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\356\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\355\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\354\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\353\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\352\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\351\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\350\24\2\0", ) == 0x0
 01003  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\346\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\345\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\344\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\343\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\342\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\341\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\323\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\322\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\321\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\320\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\241\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\240\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\224\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\223\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\222\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\221\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\220\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\272\217\15E%\255\320\21\230\250\10\06\33\21\3\200\242'"\352:i\20\242\336\10\0+00\235  \354!\352:i\20\242\335\10\0+00\235@\360_d\201P\33\20\237\10\0\252\0/\225N\240K6\363\271e\316\21\251\272\0\252\0J\3507\200S\34\207\240Bi\20\242\352\10\0+00\235\340O\320 \352:i\20\242\330\10\0+00\235\300T\247T\360K\321\21\203\356\0\240\311\15\310I\220*T\300\360K\321\21\203\356\0\240\311\15\310I\200f\340F\360K\321\21\203\356\0\240\311\15\310I`,\215 \352:i\20\242\327\10\0+00\235\1\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\0\24\2\0\0\0\0\0\300\0\0\0\0\0\0F4\0\0\0\0\0\0\0\300\0\0\0\0\0\0FU\158r", ) \352:i\20\242\336\10\0+00\235  \354!\352:i\20\242\335\10\0+00\235@\360_d\201P\33\20\237\10\0\252\0/\225N\240K6\363\271e\316\21\251\272\0\252\0J\3507\200S\34\207\240Bi\20\242\352\10\0+00\235\340O\320 \352:i\20\242\330\10\0+00\235\300T\247T\360K\321\21\203\356\0\240\311\15\310I\220*T\300\360K\321\21\203\356\0\240\311\15\310I\200f\340F\360K\321\21\203\356\0\240\311\15\310I`,\215 \352:i\20\242\327\10\0+00\235\1\24\2\0\0\0\0\0\300\0\0\0\0\0\0F\0\24\2\0\0\0\0\0\300\0\0\0\0\0\0F4\0\0\0\0\0\0\0\300\0\0\0\0\0\0FU\158r", ) == 0x0
 01004  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\316\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\324\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\325\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\306\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\300\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\301\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\336\220y\224(\314\322\21\240\367\0\200_\205\217\261\10\307\235\226v\\321\21\215\206\0\0\370\4\260W\317:/\333\206/\321\21\216\4\0\300O\271\230\232\316:/\333\206/\321\21\216\4\0\300O\271\230\232\315:/\333\206/\321\21\216\4\0\300O\271\230\232\314:/\333\206/\321\21\216\4\0\300O\271\230\232\313:/\333\206/\321\21\216\4\0\300O\271\230\232\312:/\333\206/\321\21\216\4\0\300O\271\230\232H\1\0\0\0\0\0\0\300\0\0\0\0\0\0FG\1\0\0\0\0\0\0\300\0\0\0\0\0\0FE\1\0\0\0\0\0\0\300\0\0\0\0\0\0F&\0\0\0\0\0\0\0\300\0\0\0\0\0\0F+\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\350\271\14\353\226y\322\21\207.\0\0\370\10\10YI\1\0\0\0\0\0\0\300\0\0\0\0\0\0F0:s\34\34*\316\21\255\345\0\252\0Dw=*\0\0\0\0\0\0\0\300\0\0\0\0\0\0F)\0\0\0\0\0\0\0\300\0\0\0\0\0\0F%\0\0\0\0\0\0\0\300\0\0\0\0\0\0F3\0\0\0\0\0\0\0\300\0\0\0\0\0\0F2\0\0\0\0\0\0\0\300\0\0\0\0\0\0F1\0\0\0\0\0\0\0\300\0\0\0\0\0\0F0\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\222Mm\168g\317\21\226\10\0\252\0h\15\264F\1\0\0\0\0\0\0\300\0\0\0\0\0\0F"\0\0\0", ) \0\0\0", ) == 0x0
 01005  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "4\310\31\215y\210\321\21\203\351\0\300O\302\306\324\256\366\13\274x\210\321\21\203\351\0\300O\302\306\324z\324\3630Gd\321\21\216<\0\300O\2718m\220Mm\168g\317\21\226\10\0\252\0h\15\264\240X\327\251\27F\317\21\225\374\0\252\0h\15\264\20\360\312\231^A\317\21\210\24\0\252\0\265i\365D\1\0\0\0\0\0\0\300\0\0\0\0\0\0F@\1\0\0\0\0\0\0\300\0\0\0\0\0\0F>\1\0\0\0\0\0\0\300\0\0\0\0\0\0F=\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\240\304\10\20\23v\317\21\232\361\0 \257nr\364\320i\365\325;Y\32\20\265i\10\0+-\277z\374j\365\325;Y\32\20\265i\10\0+-\277z4j\365\325;Y\32\20\265i\10\0+-\277z\31\205\240X\310$5I\264\202?\330#3:O\0V\261%\25\1\320\21\277\15\0\252\0\270\337\322\266\237\2\2454<\321\21\234\231\0\300O\271\230\252\3201OY\31\177\320\21\261\224\0\240\311\15\310\277`k\365\325;Y\32\20\265i\10\0+-\277z\26\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\20\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\16\1\0\0\0\0\0\0\300\0\0\0\0\0\0FQ\1\0\0\0\0\0\0\300\0\0\0\0\0\0F%\1\0\0\0\0\0\0\300\0\0\0\0\0\0FP\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\17\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\22\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\5\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\3\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\12\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\12\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\13\1\0\0", ) , ) == 0x0
 01006  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\13\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\15\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\14\0\0\0\0\0\0\0\300\0\0\0\0\0\0F0:s\14\34*\316\21\255\345\0\252\0Dw=\1\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\300k\237\362!P\316\21\252\25\0\0i\1)?\17\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\11\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\14\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\20\0\0\0\0\0\0\0\300\0\0\0\0\0\0F&\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\2\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\16\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\0\1\0\0\0\0\0\0\300\0\0\0\0\0\0F!\0\0\0\0\0\0\0\300\0\0\0\0\0\0F \0\16\0\0\0\0\0\300\0\0\0\0\0\0F \0\0\0\0\0\0\0\300\0\0\0\0\0\0F\31\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\30\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\35\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\2\0\0\0\0\0\0\0\300\0\0\0\0\0\0F\317\1\0\0\0\0\0\0\300\0\0\0\0\0\0F\3\0\0\0\0\0\0\0\300\0\0\0\0\0\0FL\266\0\0\0\0\0\0\0\0\0\0\16\271\0\0(\220\0\0\260\270\0\0\0\0\0\0\0\0\0\0^\271\0\0\214\222\0\0\204\266\0\0\0\0\0\0\0\0\0\0\370\275\0\0`\220\0\0\260\267\0\0\0\0\0\0\0\0\0\0\12\302\0\0\214\221\0\0`\266\0\0\0\0\0\0\0\0\0\0\234\302\0\0<\220\0\0$\266\0\0\0\0\0\0\0\0\0\0<\303\0\0\0\220\0\0\224\267\0\0\0\0\0\0\0\0\0\0", ) , ) == 0x0
 01007  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\0\0\0\12\304\0\0\234\222\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\246\302\0\0\304\302\0\0\322\302\0\0\342\302\0\0*\303\0\0\30\303\0\0\6\303\0\0\362\302\0\0\266\302\0\0\0\0\0\0\21\0\0\200\344\270\0\0\320\270\0\0\372\270\0\0\0\0\0\0~\302\0\0n\302\0\0X\302\0\0B\302\0\06\302\0\0&\302\0\0\216\302\0\0\26\302\0\0\0\0\0\0h\272\0\0z\272\0\0\212\272\0\0\236\272\0\0\256\272\0\0\304\272\0\0\332\272\0\0\366\272\0\0\20\273\0\0\34\273\0\0*\273\0\08\273\0\0N\273\0\0`\273\0\0n\273\0\0\202\273\0\0\226\273\0\0\242\273\0\0\256\273\0\0\306\273\0\0\334\273\0\0\344\273\0\0\364\273\0\0\2\274\0\0\30\274\0\0X\272\0\0:\274\0\0N\274\0\0Z\274\0\0f\274\0\0x\274\0\0\220\274\0\0\240\274\0\0\254\274\0\0\304\274\0\0\330\274\0\0\350\274\0\0\366\274\0\0\4\275\0\0\24\275\0\0&\275\0\02\275\0\0@\275\0\0T\275\0\0d\275\0\0v\275\0\0\206\275\0\0\234\275\0\0\262\275\0\0\306\275\0\0\326\275\0\0\346\275\0\0j\271\0\0t\271\0\0F\272\0\08\272\0\0\202\271\0\0"\272\0\0\4\272\0\0\350\271\0\0\334\271\0\0\320\271\0\0\276\271\0\0\262\271\0\0\242\271\0\0\220\271\0\0,\274\0\0\0\0\0\0^\303\0\0\206\303\0\0\234\303\0\0\252\303\0\0J\303\0\0n\303\0\0\0\0\0\0T\277\0\0f\277\0\0x\277\0\0\204\277\0\0\224\277\0\0\252\277\0\0\272\277\0\0\306\277\0\0\324\277\0\0\346\277\0\0\364\277\0\0\0\300\0\0\22\300\0\0&\300\0\0<\300\0\0N\300\0\0^\300\0\0", ) \272\0\0\4\272\0\0\350\271\0\0\334\271\0\0\320\271\0\0\276\271\0\0\262\271\0\0\242\271\0\0\220\271\0\0,\274\0\0\0\0\0\0^\303\0\0\206\303\0\0\234\303\0\0\252\303\0\0J\303\0\0n\303\0\0\0\0\0\0T\277\0\0f\277\0\0x\277\0\0\204\277\0\0\224\277\0\0\252\277\0\0\272\277\0\0\306\277\0\0\324\277\0\0\346\277\0\0\364\277\0\0\0\300\0\0\22\300\0\0&\300\0\0<\300\0\0N\300\0\0^\300\0\0", ) == 0x0
 01008  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\242\300\0\0\266\300\0\0\310\300\0\0\330\300\0\0\352\300\0\0\372\300\0\0\10\301\0\0\32\301\0\0.\301\0\0:\301\0\0J\301\0\0\\301\0\0l\301\0\0~\301\0\0\216\301\0\0\240\301\0\0\270\301\0\0\312\301\0\0\334\301\0\0\356\301\0\0\374\301\0\0>\277\0\00\277\0\0$\277\0\0\30\277\0\0\2\277\0\0\362\276\0\0\346\276\0\0\330\276\0\0\306\276\0\0\270\276\0\0\260\276\0\0\240\276\0\0\220\276\0\0|\276\0\0j\276\0\0Z\276\0\0H\276\0\0*\276\0\0\36\276\0\0\22\276\0\0\6\276\0\0:\276\0\0\0\0\0\0D\271\0\0.\271\0\0\34\271\0\0\0\0\0\0\350\303\0\0\372\303\0\0\324\303\0\0\0\0\0\08\0ImageList_Destroy\04\0ImageList_AddMasked\07\0ImageList_Create\0\0COMCTL32.dll\0\0\12\0VerQueryValueA\0\0\0\0GetFileVersionInfoA\0\1\0GetFileVersionInfoSizeA\0VERSION.dll\0j\2MulDiv\0\0|\0DeleteFileA\0\365\1GlobalFree\0\0\311\0FindFirstFileA\0\0\323\0FindNextFileA\0\305\0FindClose\0\16\3SetFilePointer\0\0\251\2ReadFile\0\0\224\3WriteFile\0\224\1GetPrivate", ) , ) == 0x0
 01009  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "gA\0\0\231\3WritePrivateProfileStringA\0\0k\2MultiByteToWideChar\0\357\0FreeLibrary\0\230\1GetProcAddress\0\0H\2LoadLibraryA\0\0\352\0FormatMessageA\0\0i\1GetLastError\0\0w\1GetModuleHandleA\0\0\10\3SetErrorMode\0\0R\1GetExitCodeProcess\0\0\203\3WaitForSingleObject\0\262\0ExpandEnvironmentStringsA\0P\1GetEnvironmentVariableA\0\263\3lstrcmpiA\0.\0CloseHandle\0\22\3SetFileTime\0V\1GetFileAttributesA\0\03\0CompareFileTime\0\316\2SearchPathA\0\255\1GetShortPathNameA\0a\1GetFullPathNameA\0\0d\2MoveFileA\0\255\3lstrcatA\0\0\375\2SetCurrentDirectoryA\0\0\14\3SetFileAttributesA\0\0G\3Sleep\0\325\1GetTickCount\0\0", ) , ) == 0x0
 01010  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "e\0u\1GetModuleFileNameA\0\0E\0CreateDirectoryA\0\0\257\0ExitProcess\0:\1GetCurrentProcess\0=\0CopyFileA\0\271\3lstrcpynA\0\10\1GetCommandLineA\0\351\1GetWindowsDirectoryA\0\0\313\1GetTempPathA\0\0\266\3lstrcpyA\0\0\332\1GetUserDefaultLangID\0\0E\1GetDiskFreeSpaceA\0\0\2GlobalUnlock\0\0\371\1GlobalLock\0\0\356\1GlobalAlloc\0i\0CreateThread\0\0`\0CreateProcessA\0\0\274\3lstrlenA\0\0M\0CreateFileA\0\311\1GetTempFileNameA\0\0\3\3SetEndOfFile\0\0c\3UnmapViewOfFile\0^\2MapViewOfFile\0N\0CreateFileMappingA\0\0\271\1GetSystemDirectoryA\0\270\2RemoveDirectoryA\0\0{\3VirtualQuery\0\0&\2IsBadCodePtr\0\0I\2LoadLibraryE", ) , ) == 0x0
 01011  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, ".dll\0\0\310\0EndPaint\0\0\274\0DrawTextA\0\342\0FillRect\0\0\377\0GetClientRect\0\15\0BeginPaint\0\0\216\0DefWindowProcA\0\0;\2SendMessageA\0\0\223\1InvalidateRect\0\0\241\0DispatchMessageA\0\0\377\1PeekMessageA\0\0\304\0EnableWindow\0\0\14\1GetDC\0\277\1LoadImageA\0\0\200\2SetWindowLongA\0\0\21\1GetDlgItem\0\0\255\1IsWindow\0\0\344\0FindWindowExA\0>\2SendMessageTimeoutA\0\326\2wsprintfA\0-\0CharPrevA\0\222\2ShowWindow\0\0W\2SetForegroundWindow\0\3\2PostQuitMessage\0\206\2SetWindowTextA\0\0z\2SetTimer\0\0\231\0DestroyWindow\0U\0CreateDialogParamA\0\0\341\0ExitWindowsEx\0*\0CharNextA\0Z\1GetSysColor\0n\1GetWindowLongA\0\0\271\1LoadCursorA\0", ) , ) == 0x0
 01012  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "8\0CheckDlgButton\0\0\362\0GetAsyncKeyState\0\0\243\1IsDlgButtonChecked\0\01\2ScreenToClient\0\0<\1GetMessagePos\0\33\0CallWindowProcA\0\261\1IsWindowVisible\0\267\1LoadBitmapA\0B\0CloseClipboard\0\0J\2SetClipboardData\0\0\301\0EmptyClipboard\0\0\365\1OpenClipboard\0\244\2TrackPopupMenu\0\0t\1GetWindowRect\0\10\0AppendMenuA\0^\0CreatePopupMenu\0]\1GetSystemMetrics\0\0\306\0EndDialog\0G\2SetClassLongA\0\256\1IsWindowEnabled\0\203\2SetWindowPos\0\0\236\0DialogBoxParamA\0\366\0GetClassInfoA\0`\0CreateWindowExA\0\231\2SystemParametersInfoA\0\26\2RegisterClassA\0\0S\2SetDlgItemTextA\0\23\1GetDlgItemTextA\0\336\1Mess", ) , ) == 0x0
 01013  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "sprintfA\0\0USER32.dll\0\0\16\2SelectObject\0\0<\2SetTextColor\0\0\26\2SetBkMode\0:\0CreateFontIndirectA\0)\0CreateBrushIndirect\0\217\0DeleteObject\0\0k\1GetDeviceCaps\0\25\2SetBkColor\0\0GDI32.dll\0\320\1RegDeleteKeyA\0\311\1RegCloseKey\0\325\1RegEnumKeyA\0\342\1RegOpenKeyExA\0\331\1RegEnumValueA\0\354\1RegQueryValueExA\0\0\371\1RegSetValueExA\0\0\315\1RegCreateKeyExA\0\322\1RegDeleteValueA\0ADVAPI32.dll\0\0\232\0SHFileOperationA\0\0\6\1ShellExecuteA\0\273\0SHGetPathFromIDListA\0\0y\0SHBrowseForFolderA\0\0\266\0SHGetMalloc\0\302\0SHGetSpecialFolderLocation\0\0SHELL32.dll\0\20\0CoCreateInstance\0\0\4\1OleUniniti", ) , ) == 0x0
 01014  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "nitialize\0ole32.dll\0RSDSe\214m/\354\215\11L\223\7X\326\2468\365\212\1\0\0\0d:\cm\build\public\NSIS.9d_GM_TB.060407\sdks\nullsoft\nsis\src\Source\exehead\Release-zlib\exehead_zlib.pdb\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) , ) == 0x0
 01015  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0BC\0\347\23@\0\6\0\0\0\377\377\377\377A~NSISu_.exe\0\0\0\0\377\377\377\377-A@\0\10J@\0\335D@\0vQ@\0\322C@\0\377\377\377\377\6\0\0\0RichEdit20A\0RichEd20.dll\0\0\0\0\377\377\377\377\0\0\1\0\3\0\7\0\17\0\37\0?\0\177\0\377\0\377\1\377\3\377\7\377\17\377\37\377?\377\177\377\377\0\0\11\0\0\0\5\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) , ) == 0x0
 01016  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\5\0\3\0\0\08\0\0\200\5\0\0\0\220\0\0\200\16\0\0\0\300\0\0\200\20\0\0\0\330\0\0\200\30\0\0\0\360\0\0\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\11\0\1\0\0\0\10\1\0\200\2\0\0\0 \1\0\200\3\0\0\08\1\0\200\4\0\0\0P\1\0\200\5\0\0\0h\1\0\200\6\0\0\0\200\1\0\200\7\0\0\0\230\1\0\200\10\0\0\0\260\1\0\200\11\0\0\0\310\1\0\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\4\0g\0\0\0\340\1\0\200i\0\0\0\370\1\0\200j\0\0\0\20\2\0\200o\0\0\0(\2\0\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0g\0\0\0@\2\0\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\1\0\0\0X\2\0\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\1\0\0\0p\2\0\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\0\210\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\0\230\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\0\250\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\0\270\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\0\310\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\0\330\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\0\350\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\0\370\2\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\0\10\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\0", ) , ) == 0x0
 01017  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\0\1\0\11\4\0\0(\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\08\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\0H\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\0X\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\0h\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\11\4\0\0x\3\0\0\210\323\3\0h\6\0\0\0\0\0\0\0\0\0\0\360\331\3\0\350\2\0\0\0\0\0\0\0\0\0\0\330\334\3\0(\1\0\0\0\0\0\0\0\0\0\0\0\336\3\0\250\16\0\0\0\0\0\0\0\0\0\0\250\354\3\0\250\10\0\0\0\0\0\0\0\0\0\0P\365\3\0h\5\0\0\0\0\0\0\0\0\0\0\270\372\3\0\250%\0\0\0\0\0\0\0\0\0\0` \4\0\250\20\0\0\0\0\0\0\0\0\0\0\101\4\0h\4\0\0\0\0\0\0\0\0\0\0p5\4\0D\1\0\0\0\0\0\0\0\0\0\0\2706\4\0\0\1\0\0\0\0\0\0\0\0\0\0\2707\4\0\34\1\0\0\0\0\0\0\0\0\0\0\3308\4\0`\0\0\0\0\0\0\0\0\0\0\089\4\0\204\0\0\0\0\0\0\0\0\0\0\0\3009\4\0 \2\0\0\0\0\0\0\0\0\0\0\340;\4\0\25\2\0\0\0\0\0\0\0\0\0\0(\0\0\00\0\0\0`\0\0\0\1\0\4\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\200\0\0\200\0\0\0\200\200\0\200\0\0\0\200\0\200\0\200\200\0\0\300\300\300\0\200\200\200\0\0\0\377\0\0\377\0\0\0\377\377\0\377\0\0\0\0\0\0\0\377\377\0\0\377\377\377\0\335\335\335\335", ) , ) == 0x0
 01018  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\231\231\231\231\235\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\331\231\231\231\231\231\231\231\231\231\335\335\335\335\335\335\335\335\335\335\335\335\335\331\231\231\231\231\231\231\231\231\231\231\231\235\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\231\231\231\231\231\231\231\231\231\235\335\335\335\335\335\335\335\335\335\335\335\335\335\335\231\231\231\231\231\231\231\231\231\231\335\335\335\335\335\335\335\335\335\335\335\335\335\335\231\231\231\231\231\231\231\231\231\231\231\335\335\335\335\335\335\335\335\335\335\335\335\331\231\231\231\231\231\231\231\231\231\231\231\235\335\335\335\335\335\335\335\335\335\331\231\231\231\231\231\231\231\231\231\231\231\231\231\231\335\335\335\335\335\335\335\335\231\231\231\231\231\231\231\231\231\231\231\231\231\231\231\231\235\335\335\335\335\335\331\231\231\231\211\231\230\231\231\230\211\231\231\231\231\231\231\231\231\335\335\335\335\331\231\231\231\237\367\231\377\371\231\177\370\231\227\367\231\231\377y\231\335\335\335\335\211\231\231\231\217\367\231\377\371\231\177\367\231\237\377\231\227\377y\231\235\335\335\377y\231\231\231\177\370\231\377\371\231\177\367\231\177\377y\227\377y\231\235\335\331\377\377\377\377\377\377\371\231\377\371\231\177\367\231\377\377\371\227\377y\231\235\335\331\177\377\377\377\377\377\211\231\377\371\231\177\367\227\377\377\367\227\377y\231\231\335\231\237\377ww\177\377\231\231\377\371", ) , ) == 0x0
 01019  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\331\231\227\377\211\231\177\367\231\231\377\371\231\177\367\177\367\227\377w\377y\231\231\331\231\231\377\371\231\377\371\231\231\377\371\231\177\367\377\371\230\377\367\377y\231\231\331\231\231\177\371\230\377y\231\231\377\371\231\177\377\377y\231\377\377\377y\231\231\231\231\231\237\367\227\377\231\231\231\377\371\231\177\377\377\211\231\177\377\377y\231\231\231\231\231\237\377\177\367\231\231\231\377\371\231\177\377\377\231\231\237\377\377y\231\235\231\231\231\227\377\377\367\231\231\231\377\371\231\177\377\367\231\231\227\377\377y\231\235\231\231\231\231\377\377\371\231\231\231\377\371\231\177\377\371\231\231\231\377\377y\231\235\231\231\231\231\177\377y\231\231\231\377\371\231\177\377y\231\231\231\177\377y\231\335\231\231\231\231\237\377\231\231\231\231\377\371\231\177\377\231\231\231\231\237\377y\231\335\331\231\231\231\227\367\231\231\231\231\377\371\231\177\367\231\231\231\231\227\377y\235\335\331\231\231\231\230\371\231\231\231\231\377\371\231\177\370\231\231\231\231\231\377y\235\335\331\231\231\231\231y\231\231\231\231\231\231\231\231\231\231\231\231\231\231\231\231\335\335\335\231\231\231\231\231\231\231\231\231\231\231\231\231\231\231\231\231\231\231\231\235\335\335\335\231\231\231\231\231\231\231\231\231\231\231\231\231\231\231\231\231\231\231\231\335\335\335\335\331\231\231\231\231\231\231\231\231\231\231\231\231\231\231\231\231\231\231\235\335\335\335\335\335\231\231\231\231\231\231\231\231\231\231\231\231\231\231\231\231\231\231\335\335\335\335\335\335\331\231\231\231\231\231\231\231\231\231\231\231\231\231\231\231\231\335\335\335\335\335\335\335\335\231\231\231\231\231\231\231\231\231\231\231\231\231\231\231\235\335\335\335\335\335\335\335\335\335\231\231\231\231\231\231\231\231\231\231\231\231\231\235\335\335\335\335\335\335\335\335\335\335\335\231\231\231\231\231\231\231\231\231\231\231\235\335\335\335\335\335\335\335\335\335\335\335\335\335\331\231\231\231\231\231\231\231\231\335\335\335\335\335", ) , ) == 0x0
 01020  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\331\231\231\231\235\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\377\377\377\377\377\377\0\0\377\377\377\377\377\377\0\0\377\377\377\377\377\377\0\0\377\377\377\377\377\377\0\0\377\377\377\377\377\377\0\0\377\377\377\377\377\377\0\0\377\377\360\7\377\377\0\0\377\376\0\0?\377\0\0\377\370\0\0\7\377\0\0\377\377\360\0\1\377\0\0\377\377\360\0\0\377\0\0\377\377\360\0\0?\0\0\377\377\340\0\0\37\0\0\377\376\0\0\0\17\0\0\377\360\0\0\0\7\0\0\377\200\0\0\0\3\0\0\376\0\0\0\0\3\0\0\374\0\0\0\0\1\0\0\360\0\0\0\0\1\0\0\340\0\0\0\0\1\0\0\340\0\0\0\0\0\0\0\300\0\0\0\0\0\0\0\200\0\0\0\0\0\0\0\200\0\0\0\0\0\0\0\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\0\0\0\0\1\0\0\0\0\0\0\0\1\0\0\0\0\0\0\0\3\0\0\0\0\0\0\0\3\0\0\200\0\0\0\0\7\0\0\200\0\0\0\0\7\0\0\200\0\0\0\0\17\0\0\300\0\0\0\0\37\0\0\300\0\0\0\0?\0\0\340\0\0\0\0\177\0\0\360\0\0\0\0\377\0\0\370\0\0\0\3\377\0\0\374\0\0\0\7\377\0\0\377\0\0\0\37\377\0\0\377\300\0\0\177\377\0\0\377\370\0\3\377\377\0\0\377\377\200\177\377\377\0\0\377\377\377\377\377\377\0\0\377\377\377\377\377\377\0\0\377\377\377\377\377\377\0\0\377\377\377\377\377\377\0\0(\0\0\0", ) , ) == 0x0
 01021  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}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w\231\207\211\237y\235\335\335\371\231\231\177\231\367\231\377\231\177y\177y\231\335\327\377\377\377\367\231\367\231\377\230\377\371\177y\231\335\231\377w\177\371\231\367\231\377\227\367\367\177y\231\335\231\177\231\237\371\231\367\231\377\237y\377\177y\231\331\231\237y\177y\231\367\231\377\377\231\177\377y\231\331\231\227\371\377\231\231\367\231\377\377\231\237\377y\231\331\231\231\377\367\231\231\367\231\377\370\231\227\377y\231\331\231\231\177\371\231\231\367\231\377\371\231\231\377y\235\331\231\231\177y\231\231\377\231\377y\231\231\177y\235\331\231\231\237\231\231\231\377\231\377\231\231\231\237y\335\335\231\231\231\231\231\231w\231\211\231\231\231\231\231\335\335\231\231\231\231\231\231\231\231\231\231\231\231\231\235\335\335\331\231\231\231\231\231\231\231\231\231\231\231\231\335\335\335\335\231\231\231\231\231\231\231\231\231\231", ) , ) == 0x0
 01022  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\231\231\231\231\235\335\335\335\335\335\335\331\231\231\231\231\231\231\231\235\335\335\335\335\335\335\335\335\331\231\231\231\231\231\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\340\1\377\377\370\0\177\377\374\0\37\377\374\0\7\377\340\0\3\376\0\0\3\370\0\0\1\360\0\0\0\340\0\0\0\300\0\0\0\300\0\0\0\200\0\0\0\200\0\0\0\200\0\0\0\200\0\0\1\200\0\0\1\200\0\0\3\300\0\0\3\300\0\0\7\340\0\0\17\360\0\0?\370\0\0\177\376\0\1\377\377\200\17\377\377\377\377\377\377\377\377\377\377\377\377\377(\0\0\0\20\0\0\0 \0\0\0\1\0\4\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\200\0\0\200\0\0\0\200\200\0\200\0\0\0\200\0\200\0\200\200\0\0\300\300\300\0\200\200\200\0\0\0\377\0\0\377\0\0\0\377\377\0\377\0\0\0\0\0\0\0\377\377\0\0\377\377\377\0\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\331\231\231\231\335\335\335\335\335\231\231\231\231\335\335\335\231\231\231\231\231\235\335y\237\237\237\237\237\231\331\377\377\237\237\237\237\231\231\371\367\237\237\371\377\231\231\237\371\237\237y\177\231\231\237y\237\237\211\237\231\231\227\211\227\227\231\227\235\331\231\231\231\231\231\231\335\335\231\231\231\231\231\235\335\335\331\231\231\231\235\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\335\377\377\335\335\377\377\335\231\370\17\231\231\374\3\235\335\360\1\335\335\300\0\231\231\200\0\231\231\0\0\231\335\0\0\335\331\0\0\231\231\0\1\231\231\200\3\231\335\300\7\331\231", ) , ) == 0x0
 01023  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "(\0\0\00\0\0\0`\0\0\0\1\0\10\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377\0\377\377\377\0\26\377\0\277\315\377\0\46\377\0\77\376\0\200\233\377\0\227\242\371\0q}\371\0\35\376\0\32<\375\0Z[\354\0\23:\376\0/F\374\0.<\365\0\148\376\0\216\232\370\0\35=\375\0\15\377\0\337\346\377\0\224\373\0\211\225\370\0\253\273\371\0\300\315\377\0\25B\375\0Wd\372\0\204\217\370\0oz\371\0z\205\370\0&A\375\0\357\362\377\0\222\235\370\0fg\351\0N]\372\0Zh\372\0Cg\376\0DU\373\0\364\0\234\251\370\0``\352\0\27;\376\0N\\366\0 ?\375\0\305\316\377\0Fh\375\0!N\376\0lw\371\0\200\213\370\0BF\361\0\127\376\0jv\371\0R`\367\02F\372\06J\372\0%@\373\0!7\370\0_k\372\0\138\376\0@Q\373\0\275\372\0\363\364\377\0Sa\372\0an\371\02H\374\0hs\371\0\206\222\371\0\178\376\0\325\331\375\0UT\354\0+E\366\0Yf\372\0x\203\370\0\164\374\0dp\371\0co\372\0\366\371\0\229\376\0\260\300\374\0\240\256\370\0"?\375\0\312\320\376\0\364\364\376\0-F\374\0=P\373\0\31;\374\02[\376\0:N\374\0L[\373\0fr\371\0~\211\370\0M\\373\0375\0\312\320\376\0\364\364\376\0-F\374\0=P\373\0\31;\374\02[\376\0:N\374\0L[\373\0fr\371\0~\211\370\0M\\373\0374\0\243\261\371\0\246\264\376\0m\203\375\0%A\375\0+D\374\0_\201\377\0FV\370\0\212\233\376\0\271\300\376\0\21C\377\0\237\266\376\0\44\376\0)R\376\0", ) == 0x0
 01024  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "Ah\377\0\114\375\0\24:\375\0\219\376\0\255\254\365\0\343\346\377\0\246\247\366\0\34B\375\0=O\372\0]j\372\0Tb\372\0HX\373\0JY\372\03H\372\0CT\373\0\267\311\372\0n~\371\0[i\366\0\260\262\365\0\35:\371\0+L\375\0FV\373\0.C\371\0@Q\370\0\36=\374\0)9\367\0\273\315\373\0&9\367\0\69\377\0EU\370\0`o\374\0:d\376\0AR\373\0\303\314\376\0\243\263\376\0|\207\370\0\124\374\0\158\375\0\263\304\372\0$?\373\0:L\371\0cg\364\0.M\366\0\276\323\373\0am\371\0Vd\366\0\217\246\377\0\245\263\371\0CT\370\0\232\247\373\0\246\265\371\0\30@\372\0Pu\376\0Uv\375\0 =\374\0$@\375\0Xc\355\0\219\375\0\109\375\0\21=\376\0Fa\376\0#8\370\0\257\257\366\0AU\374\0\212\211\360\0EV\373\0\375\376\377\0\242\264\377\0\254\263\375\08K\371\0\246\256\375\0\37>\375\0.D\372\0\15<\374\0\34L\377\0Zp\376\0\361\363\377\0DU\360\0f\207\374\0.E\374\0\220\221\360\0\263\264\364\0\23<\373\0qq\355\0\11<\377\0bt\374\0\178\375\0\202\215\370\0\17:\374\0$7\367\00@\364\0\22;\373\0FU\370\0Lf\374\0,E\374\0oz\373\0\119\377\0K_\374\0my\371\0AR\370\0\75\376\0\247\373\0\24<\376\0"A\367\0'I\367\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) A\367\0'I\367\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) == 0x0
 01025  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\12x@\203~l3\243\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\1\1\1\1\1\1\6^t\203~\3223=\243\207\207\207\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\1\1\1\1\1\1\1\1\1+^@>\236\215l\2023====3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\1\1\1\6x\254t", ) , ) == 0x0
 01026  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\1\1\1\1\12\20^\254t\276>????\203>j@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\1\1\1\1\1\1\5\20x\13\216Y\235@\235Y\216^\257+\3\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\316\321\310\335OOOO\251\251\260\5+\20\233\314\233;\6\5\1\1\1\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\211\221\320&&:::--..N\14\14\14\303\240\277\1\1\1\1\1\1\1\1\1\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\6\211\17\17\17\17\17\17///&&:--.N\14\141!3\336\1\1\1\1\1\1\1\1\1\0\0\0\0\0\0\0\0\0\0\0\0\1\3\333\317AA\214#\214UA\263\177\217\17\17/&\237\14-.N\1411!\256\31\1\17_\1\1\1\1\0\0\0\0\0\0\0\0\0\1\1\5EEE\25\25M\2n\25\25M\2MUA\221 \2\2\237:-.\266M\306!!\240_\2\2\7\1\1\1\0\0\0\0\0\0\0\0\252\1\332RR\232wu\253\2\2Wqu\2\2\2R\25E5\2\2\10/&.[\2[\311!!\210\2\2\4\1\1\1\1\0\0\0\0\0\2\2Wv6$$$vv\30\2\2\252\23\23\2\2\2qu\232\227\2\2 \217/\10\2\2\2z1!\307\2\2\4\1\1\1\1\0\0\0\0\300\37\2\2\2\2\2\2\2\2\2\2\2\24\1\1\1\2\2\2\1\23\12\30\2\2mU>\302\2\2\2[11\210\2\2\4\1\1\1\1\0\0\0\0\1\7\2\2\2\2\2\2\2", ) , ) == 0x0
 01027  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\1\1\4\2\2mRm\2\2\2\2\2|Nz\2\2\4\1\1\1\1\1\0\0\1\1o\2\2\2p\7\7\7\271\2\2\37o\3\3\3\2\2\2\1\1\1\4\2\2\7\31\37\2\2<\2\2[\14z\2\2\4\1\1\1\1\1\0\1\1\1\1p\2\2k\1\3\3\7\2\2\7\5\5\5\5\2\2\2\3\1\1\4\2\2\7\7\2\2gU5\2\2||\2\2\4\1\1\1\1\1\0\1\1\1\17\2\2\24\3\5\6\24\2\2r\20\20C;\2\2\2\5\3\3\30\2\2\244\37\2\26\25\313\2\2F\264\2\2\4\1\1\1\1\1\0\1\1\1\1\1\30\2\26C\253\2\2g\15\15\15\15V\2\2\2+\6\5\30\2\2\37\2\2\4\12w\25{\2\2F\2\2\4\1\1\1\1\1\1\1\1\1\1\3$\2\2g\155\2\2\262\22\22\22\22\13\2\2\2yL;\30\2\2\2\2\2k\1\12wh\2\2\2\2\2\4\1\1\1\1\1\1\1\1\1\3\6C\24\2\2h\2\2Zi\36\36\36\36\255\2\2\2\132V\227\2\2\2\2\24\1\1\1\12}\37\2\2\2\2\4\1\1\1\1\0\1\1\1\1\5\20Vh\2\2\2\2\2\206\16\16\16\16\16\305\2\2\2Y\22\135\2\2\2\2\7\1\1\1\23q\7\2\2\2\2\4\1\1\1\1\0\1\1\1\1\6\15\13\275{\2\2\2{'*```**\2\2\2j\3645\2\2\2\37o\3\1\1\1\23\31\2\2\2\2\4\1\1\1\1\0\1\1\1\1C\134i\10\2\2\2KD\204%%%\204s\2\2\2I\(Z\2\2\2\230\6\3\1\1\1\1\12\230\2\2\2\4\1\1\1\0\0\1\1\1\1\2224(\\265F\2FG\202d"""da\2\2\2e'IZ\2\2\2r;\5\3\1\1\1\237\2\2\2\4\1", ) " (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\1\1\4\2\2mRm\2\2\2\2\2|Nz\2\2\4\1\1\1\1\1\0\0\1\1o\2\2\2p\7\7\7\271\2\2\37o\3\3\3\2\2\2\1\1\1\4\2\2\7\31\37\2\2<\2\2[\14z\2\2\4\1\1\1\1\1\0\1\1\1\1p\2\2k\1\3\3\7\2\2\7\5\5\5\5\2\2\2\3\1\1\4\2\2\7\7\2\2gU5\2\2||\2\2\4\1\1\1\1\1\0\1\1\1\17\2\2\24\3\5\6\24\2\2r\20\20C;\2\2\2\5\3\3\30\2\2\244\37\2\26\25\313\2\2F\264\2\2\4\1\1\1\1\1\0\1\1\1\1\1\30\2\26C\253\2\2g\15\15\15\15V\2\2\2+\6\5\30\2\2\37\2\2\4\12w\25{\2\2F\2\2\4\1\1\1\1\1\1\1\1\1\1\3$\2\2g\155\2\2\262\22\22\22\22\13\2\2\2yL;\30\2\2\2\2\2k\1\12wh\2\2\2\2\2\4\1\1\1\1\1\1\1\1\1\3\6C\24\2\2h\2\2Zi\36\36\36\36\255\2\2\2\132V\227\2\2\2\2\24\1\1\1\12}\37\2\2\2\2\4\1\1\1\1\0\1\1\1\1\5\20Vh\2\2\2\2\2\206\16\16\16\16\16\305\2\2\2Y\22\135\2\2\2\2\7\1\1\1\23q\7\2\2\2\2\4\1\1\1\1\0\1\1\1\1\6\15\13\275{\2\2\2{'*```**\2\2\2j\3645\2\2\2\37o\3\1\1\1\23\31\2\2\2\2\4\1\1\1\1\0\1\1\1\1C\134i\10\2\2\2KD\204%%%\204s\2\2\2I\(Z\2\2\2\230\6\3\1\1\1\1\12\230\2\2\2\4\1\1\1\0\0\1\1\1\1\2224(\\265F\2FG\202d"""da\2\2\2e'IZ\2\2\2r;\5\3\1\1\1\237\2\2\2\4\1", ) , ) == 0x0
 01028  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "en\2\274)\200\32P#P\32\32\2\2\270\267D*Z\2\2n2L+\5\3\1\1\1\12\30\2\2\4\1\1\0\0\0\0\1\1\1\1(']%\224\28#BHTSST\242\24\2\24"\201\226\272\2\2\301\22\15\20\6\3\1\1\1\23$\2\2\244\1\1\0\0\0\0\1\1\1\1}]%aG\325BS<8\34\34\34\330<\11\26J\32)\201\226\224\327(4\13V;\5\3\1\1\1\127_\1\1\0\0\0\0\0\0\1\1\1\326\204a\200#HJ\34\11,Q\35\35Q,\118bB\32)\201D'\16\36\222L\6\3\1\1\1\23\1\1\1\0\0\0\0\0\0\0\1\1\1\1\212G#T<\11Q\2319\33\33\339c\35,\34JB\32"\213]IjY\13y+\5\3\1\1\1\1\1\0\0\0\0\0\0\0\0\0\1\1\1\222)\242<\11\359K\26\21\21\21\21\26\33c,\34b\177\200as*\16\36\22\15\20\6\3\1\1\1\1\0\0\0\0\0\0\0\0\0\0\0\1\1\1\261H\11Q\315\26\21\10\10\247\247\10 \26\33c,8TP)\213eI(42L\6\3\1\1\1\0\0\0\0\0\0\0\0\0\0\0\0\0\1\1\1\31\2069\26 \100XffX0\10\21\33\35\11J\177G\202D'\324\255\13y\6\1\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\1\1\31\206\21\10X\250\27\27\27\27f0 \269,8H\32ds*\i2\6\1\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\1\31260\245\27\234\205\205\234\27X\10\21\33\35\34SP"%`\\334\3\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\1\31\304\27\220\241\241\205W\2450 K\35\11b#", ) \201\226\272\2\2\301\22\15\20\6\3\1\1\1\23$\2\2\244\1\1\0\0\0\0\1\1\1\1}]%aG\325BS<8\34\34\34\330<\11\26J\32)\201\226\224\327(4\13V;\5\3\1\1\1\127_\1\1\0\0\0\0\0\0\1\1\1\326\204a\200#HJ\34\11,Q\35\35Q,\118bB\32)\201D'\16\36\222L\6\3\1\1\1\23\1\1\1\0\0\0\0\0\0\0\1\1\1\1\212G#T<\11Q\2319\33\33\339c\35,\34JB\32 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "en\2\274)\200\32P#P\32\32\2\2\270\267D*Z\2\2n2L+\5\3\1\1\1\12\30\2\2\4\1\1\0\0\0\0\1\1\1\1(']%\224\28#BHTSST\242\24\2\24"\201\226\272\2\2\301\22\15\20\6\3\1\1\1\23$\2\2\244\1\1\0\0\0\0\1\1\1\1}]%aG\325BS<8\34\34\34\330<\11\26J\32)\201\226\224\327(4\13V;\5\3\1\1\1\127_\1\1\0\0\0\0\0\0\1\1\1\326\204a\200#HJ\34\11,Q\35\35Q,\118bB\32)\201D'\16\36\222L\6\3\1\1\1\23\1\1\1\0\0\0\0\0\0\0\1\1\1\1\212G#T<\11Q\2319\33\33\339c\35,\34JB\32"\213]IjY\13y+\5\3\1\1\1\1\1\0\0\0\0\0\0\0\0\0\1\1\1\222)\242<\11\359K\26\21\21\21\21\26\33c,\34b\177\200as*\16\36\22\15\20\6\3\1\1\1\1\0\0\0\0\0\0\0\0\0\0\0\1\1\1\261H\11Q\315\26\21\10\10\247\247\10 \26\33c,8TP)\213eI(42L\6\3\1\1\1\0\0\0\0\0\0\0\0\0\0\0\0\0\1\1\1\31\2069\26 \100XffX0\10\21\33\35\11J\177G\202D'\324\255\13y\6\1\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\1\1\31\206\21\10X\250\27\27\27\27f0 \269,8H\32ds*\i2\6\1\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\1\31260\245\27\234\205\205\234\27X\10\21\33\35\34SP"%`\\334\3\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\1\31\304\27\220\241\241\205W\2450 K\35\11b#", ) %`\\334\3\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\1\31\304\27\220\241\241\205W\2450 K\35\11b#", ) == 0x0
 01029  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\1\225\7p\220W\2500 K\231\11\323\212\31\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\1r\225_6$7\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\377\377\377\377\377\377\0\0\377\377\377\377\377\377\0\0\377\377\377\377\377\377\0\0\377\377\377\377\377\377\0\0\377\377\377\377\377\377\0\0\377\377\377\377\377\377\0\0\377\377\360\7\377\377\0\0\377\376\0\0?\377\0\0\377\370\0\0\7\377\0\0\377\377\360\0\1\377\0\0\377\377\360\0\0\377\0\0\377\377\360\0\0?\0\0\377\377\340\0\0\37\0\0\377\376\0\0\0\17\0\0\377\360\0\0\0\7\0\0\377\200\0\0\0\3\0\0\376\0\0\0\0\3\0\0\374\0\0\0\0\1\0\0\360\0\0\0\0\1\0\0\340\0\0\0\0\1\0\0\340\0\0\0\0\0\0\0\300\0\0\0\0\0\0\0\200\0\0\0\0\0\0\0\200\0\0\0\0\0\0\0\200\0\0\0\0\0\0\0\0\0\0\0", ) , ) == 0x0
 01030  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\1\0\0\0\0\0\0\0\1\0\0\0\0\0\0\0\3\0\0\0\0\0\0\0\3\0\0\200\0\0\0\0\7\0\0\200\0\0\0\0\7\0\0\200\0\0\0\0\17\0\0\300\0\0\0\0\37\0\0\300\0\0\0\0?\0\0\340\0\0\0\0\177\0\0\360\0\0\0\0\377\0\0\370\0\0\0\3\377\0\0\374\0\0\0\7\377\0\0\377\0\0\0\37\377\0\0\377\300\0\0\177\377\0\0\377\370\0\3\377\377\0\0\377\377\200\177\377\377\0\0\377\377\377\377\377\377\0\0\377\377\377\377\377\377\0\0\377\377\377\377\377\377\0\0\377\377\377\377\377\377\0\0(\0\0\0 \0\0\0@\0\0\0\1\0\10\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377\0\377\377\377\0\277\315\377\0\26\377\0\46\377\0\361\363\377\0Ah\377\0\77\376\0\300\315\377\0HX\373\0\260\300\374\0\222\235\370\0\37>\375\0``\352\0=P\373\0\357\362\377\0\32<\375\0\232\247\373\0BF\361\0\35\376\0\312\320\376\0.<\365\0N]\372\0lw\371\06J\372\0|\207\370\0\216\232\370\0,E\374\0q}\371\0\127\376\0Cg\376\0\303\314\376\0&9\367\0\229\376\0\148\376\0Lf\374\0oz\371\0_k\372\0\200\213\370\0IK\357\0\211\225\370\0m\203\375\0\240\256\370\0\325\331\375\0N\\366\0\337\346\377\0\206\240\375\0OQ\356\0M\\373\0\15\377\0\21C\377\0!N\376\0\317\322\375\0\224\373\02[\376\0Yf\372\0/F\374\0\23:\376\0\253\273\371\0\275\372\0\138\376\0\24:\375\0\234\251\370\02H\374\0 ?\375\0Ll\375\0hs\371\05>\364\0:N\374\08M\374\0P_\372\0\363\364\377\0", ) , ) == 0x0
 01031  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\69\377\0]j\372\0+D\374\0\64\375\0)B\373\0.D\372\0\255\254\365\0%A\375\0Vl\374\0\114\375\0|\224\372\0u\201\371\0fr\371\0\202\202\362\0\375\376\377\0[i\366\0JY\372\0BS\373\0?\375\0&E\375\0`l\372\0z\205\370\0\164\374\0\34B\375\0\305\316\377\0\219\376\0"?\373\0\237\266\376\0\227\242\371\0#8\370\0\263\304\372\0&A\375\0y\204\374\0FV\373\0t\215\376\0\271\300\376\0\220\221\360\0co\372\0ay\374\0K_\374\0\44\375\0\36=\374\0:L\371\0-F\374\0Yl\372\0\366\371\0\212\233\376\0'I\367\0)R\376\08K\371\0m{\374\0\276\323\373\0@Q\373\0>R\361\0.E\374\0\273\315\373\06J\374\0Wd\372\0~\211\370\0\245\263\371\02F\372\0\212\211\360\0\158\375\0\206\222\371\0\200\233\377\0\202\215\370\0\242\264\377\0Vd\366\0$7\367\0UT\354\0\31;\374\0\21=\376\0AR\373\0\243\263\376\0\354\355\376\04P\364\0\246\247\366\0\124\374\0\207\374\0A[\373\03H\372\0Zh\372\0\178\376\0Xc\355\0bt\374\0Wf\374\0\254\263\375\0\24<\376\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) ?\375\0&E\375\0`l\372\0z\205\370\0\164\374\0\34B\375\0\305\316\377\0\219\376\0 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\69\377\0]j\372\0+D\374\0\64\375\0)B\373\0.D\372\0\255\254\365\0%A\375\0Vl\374\0\114\375\0|\224\372\0u\201\371\0fr\371\0\202\202\362\0\375\376\377\0[i\366\0JY\372\0BS\373\0?\375\0&E\375\0`l\372\0z\205\370\0\164\374\0\34B\375\0\305\316\377\0\219\376\0"?\373\0\237\266\376\0\227\242\371\0#8\370\0\263\304\372\0&A\375\0y\204\374\0FV\373\0t\215\376\0\271\300\376\0\220\221\360\0co\372\0ay\374\0K_\374\0\44\375\0\36=\374\0:L\371\0-F\374\0Yl\372\0\366\371\0\212\233\376\0'I\367\0)R\376\08K\371\0m{\374\0\276\323\373\0@Q\373\0>R\361\0.E\374\0\273\315\373\06J\374\0Wd\372\0~\211\370\0\245\263\371\02F\372\0\212\211\360\0\158\375\0\206\222\371\0\200\233\377\0\202\215\370\0\242\264\377\0Vd\366\0$7\367\0UT\354\0\31;\374\0\21=\376\0AR\373\0\243\263\376\0\354\355\376\04P\364\0\246\247\366\0\124\374\0\207\374\0A[\373\03H\372\0Zh\372\0\178\376\0Xc\355\0bt\374\0Wf\374\0\254\263\375\0\24<\376\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) , ) == 0x0
 01032  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\1\1\1\36v\31m-\237[[\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\1\1\36\205Q\206m\--\\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\1\1\5>nQ\254\31\215\31\230P\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\1\1\1\1\5\232>\21\21\242"=\4\1\0\0\0\0\0\0\0", ) =\4\1\0\0\0\0\0\0\0", ) == 0x0
 01033  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "(0\241c0\221\213I\1\1\1\1\1\1\0\0\0\0\0\0\0\0\0\1\252y!!!ll\26D^\23(0c\16\16\247I\1\1\1\1\0\0\0\0\0\0\0\1\16<6$\6$6a\22\211\240\255\23(kRk\2577.\234\1\1\0\0\0\0\0\20\1UO\204\24\11\24\7\2\11Ur\2\2\26D5\2R\16\200\2\3\1\1\1\0\0\0/\2\2\2\2\2\2\2\3\1\7\2\32\24\2\2<\255\2\2_\16\231Z\3\1\1\1\0\0\13\20\2\3\3\11\20\2\7\1\7\2\3\1\1\2\2O \2\262\2\250Y\2\3\1\1\1\0\0\1\1w\2\7\43\20.\10\10\37\2\11\4\1\2Z\7\2 P\6_Y\2\3\1\1\1\0\1\1\14\2\13\10~\2*""B\2 \10\5\2\2,\2\37\251\22\2,\2\3\1\1\1\0\1\1\1\5\236\2ia\6\15AAT\2t:#\2\2\2.\1\24d\2\2\2\3\1\1\1\0\1\1\4#B\2\6\2x\22299\260\2\25\15\21\2\2\2`\1\1\24\245\2\2\3\1\1\1\0\1\1\5g\15\25\2H\12\17\220\17\216\2\25\34S\2\2\6\5\1\1\17\2\2\3\1\1\0\0\1\1LnN*\2\177\121\27\27|\25E@\2\2\212\36\4\1\12\11\2\3\1\1\0\0\1\1\1\34\224\244\246C8M&&X\2,}\17H\6du\10\4\1\1\37\2\13\1\0\0\0\0\1\1o]\27\201hCK%%\30j\35J\12\261\203S\21#\5\1\1273\1\0\0\0\0\1\1\24318b%e\226''\32W\30hJ\12E\34\15:\10\4\1\1\1\1\0\0\0\0\0\0\1\1ib\35\32\233\33\14\33)\235e\30&G]@{g=\4\1\1\1\0\0\0\0\0\0\0\0", )  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "(0\241c0\221\213I\1\1\1\1\1\1\0\0\0\0\0\0\0\0\0\1\252y!!!ll\26D^\23(0c\16\16\247I\1\1\1\1\0\0\0\0\0\0\0\1\16<6$\6$6a\22\211\240\255\23(kRk\2577.\234\1\1\0\0\0\0\0\20\1UO\204\24\11\24\7\2\11Ur\2\2\26D5\2R\16\200\2\3\1\1\1\0\0\0/\2\2\2\2\2\2\2\3\1\7\2\32\24\2\2<\255\2\2_\16\231Z\3\1\1\1\0\0\13\20\2\3\3\11\20\2\7\1\7\2\3\1\1\2\2O \2\262\2\250Y\2\3\1\1\1\0\0\1\1w\2\7\43\20.\10\10\37\2\11\4\1\2Z\7\2 P\6_Y\2\3\1\1\1\0\1\1\14\2\13\10~\2*""B\2 \10\5\2\2,\2\37\251\22\2,\2\3\1\1\1\0\1\1\1\5\236\2ia\6\15AAT\2t:#\2\2\2.\1\24d\2\2\2\3\1\1\1\0\1\1\4#B\2\6\2x\22299\260\2\25\15\21\2\2\2`\1\1\24\245\2\2\3\1\1\1\0\1\1\5g\15\25\2H\12\17\220\17\216\2\25\34S\2\2\6\5\1\1\17\2\2\3\1\1\0\0\1\1LnN*\2\177\121\27\27|\25E@\2\2\212\36\4\1\12\11\2\3\1\1\0\0\1\1\1\34\224\244\246C8M&&X\2,}\17H\6du\10\4\1\1\37\2\13\1\0\0\0\0\1\1o]\27\201hCK%%\30j\35J\12\261\203S\21#\5\1\1273\1\0\0\0\0\1\1\24318b%e\226''\32W\30hJ\12E\34\15:\10\4\1\1\1\1\0\0\0\0\0\0\1\1ib\35\32\233\33\14\33)\235e\30&G]@{g=\4\1\1\1\0\0\0\0\0\0\0\0", ) , ) == 0x0
 01034  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "WX\225\12FNf\256\4\1\0\0\0\0\0\0\0\0\0\0\0\1\1$\14?;\13;\227\22)\32KM1\17\207f\5\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\214Vz\217\223\13+\14'\35pGF\263\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\14`//V*\202T\253s\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\340\1\377\377\370\0\177\377\374\0\37\377\374\0\7\377\340\0\3\376\0\0\3\370\0\0\1\360\0\0\0\340\0\0\0\300\0\0\0\300\0\0\0\200\0\0\0\200\0\0\0\200\0\0\0\200\0\0\1\200\0\0\1\200\0\0\3\300\0\0\3\300\0\0\7\340\0\0\17\360\0\0?\370\0\0\177\376\0\1\377\377\200\17\377\377\377\377\377\377\377\377\377\377\377\377\377(\0\0\0\20\0\0\0 \0\0\0\1\0\10\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377\0\377\377\377\04T\374\0\26\377\0\354\355\376\0Uv\375\0\34B\375\0Ff\373\0@`\373\0Ll\375\0\372\375\377\0\337\346\377\0\232\247\373\0\337\357\377\0#G\375\0%@\373\0N\\366\0\46\377\0\11<\377\0\200\233\377\0\343\346\377\02[\376\0\37>\375\0\117\376\0\317\322\375\0\271\300\376\0\21=\376\0 ?\375\0\375\376\377\0\20:\375\0", ) , ) == 0x0
 01035  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\23:\376\0\20:\376\0f\207\374\0\178\375\0+L\375\0ay\374\0\342\330\364\0@Q\370\0Pu\376\0\69\377\0`q\371\0Lf\374\0\34L\377\0\246\256\375\0\77\376\0\365\362\374\0\24<\376\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) , ) == 0x0
 01036  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\1\22\20)\21\21\0\0\0\0\0\0\0\0\0\0\1\1\4%\27\20\34\36\0\0\0\0\0\0\1\1\1\1\1\1\1\1\1\1\1\0\0\0\24\1\1\5\3\25\1\14\1(\1\5\1\1\0\1\2\16\13\5\1\13\1\14\1\2\11\1\1\1\1\2\4\2\24\1\13\1\16\2-", ) , ) == 0x0
 01037  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\1\2\15\1!\2\1\1\10"\25/\1\1\2\1\2'\4.\2\1\1\1+\7 ,\3\3\32\1\152\30\4\37\1\0\0\1\17\3\11\10\10\11\3&\7#\22\1\0\0\0\0\23\26\12\6\6\12\11\3\17\33\4\0\0\0\0\0\0\23\26*$\6\10\3\7\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\377\377\0\0\377\377\0\0\370\17\0\0\374\3\1\1\360\1\1\5\300\0\21\21\200\0=\4\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\26\200\3\23\23\300\7\241c\340\37\213I\377\377\1\1\377\377\0\0(\0\0\00\0\0\0`\0\0\0\1\0 \0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) \25/\1\1\2\1\2'\4.\2\1\1\1+\7 ,\3\3\32\1\152\30\4\37\1\0\0\1\17\3\11\10\10\11\3&\7#\22\1\0\0\0\0\23\26\12\6\6\12\11\3\17\33\4\0\0\0\0\0\0\23\26*$\6\10\3\7\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\377\377\0\0\377\377\0\0\370\17\0\0\374\3\1\1\360\1\1\5\300\0\21\21\200\0=\4\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\26\200\3\23\23\300\7\241c\340\37\213I\377\377\1\1\377\377\0\0(\0\0\00\0\0\0`\0\0\0\1\0 \0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) == 0x0
 01038  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) , ) == 0x0
 01039  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\3770\06\377@\06\377\200\36\376\200\249\375\200&@\373\2373H\372\277>P\371\277FV\370\200N]\367\200Uc\366\200Yg\366P^l\365@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) , ) == 0x0
 01040  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\3770\06\377\200\06\377\277\06\377\377\06\377\377\06\377\377\06\377\377\06\377\377\107\376\377\31;\374\377(A\373\3773H\372\377=O\371\377FU\370\377M[\367\377R`\366\377We\366\377[h\366\377\j\366\317\j\366\217[h\3660\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377\20\06\377\237\06\377\217\06\377\200\06\377\200\06\377\200\06\377\237\06\377\377\06\377\377\06\377\377\06\377\377\117\376\377\30:\374\377%@\373\3770F\372\3779L\371\377@Q\370\377FV\370\377KZ\367\377O]\367\377Q_\367\377S`\367\377Sa\366\377R`\367\337N]\367\200JY\367 \0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377 \06\377\357", ) , ) == 0x0
 01041  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\67\376\377\249\375\377 =\374\377*B\373\3772G\372\3778K\371\377>O\371\377AR\370\377DT\370\377EU\370\377FV\370\377EU\370\377CS\370\377@Q\370\377:L\371\2373H\372\20\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377\200\06\377\377\06\377\377\06\377\377\06\377\377\36\376\377\148\376\377\30:\374\377!>\374\377(A\373\377.D\372\3772G\372\3775I\372\3776J\372\3777K\372\3776J\372\3774H\372\3771F\372\377,D\373\377&@\373\357\33;\374p\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377\20\06\377\317\06\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377\377\46\376\377\147\376\377\249\375\377\33;\374\377\37=\374\377#?\374\377$?\373\377%@\373\377$?\373\377">\374\377\36=\374\377\31;\374\377\219\375\377\117\376\377\26\377\257\06\377\20\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) >\374\377\36=\374\377\31;\374\377\219\375\377\117\376\377\26\377\257\06\377\20\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) == 0x0
 01042  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377 \06\377p\17:\374\337\22;\373\377\23<\373\377"A\367\377(C\366\377*E\366\377+F\365\377-G\365\377\27?\372\377\30@\372\377\109\375\377\56\376\377\117\376\377\148\376\377\168\375\377\178\375\377\158\375\377\137\376\377\107\376\377\46\376\377\16\377\377\06\377\377\06\377\377\06\377\317\06\377\20\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377\20\06\377`\34;\371\237%=\367\3370@\364\377=C\362\377>D\361\377@D\361\377BF\361\377EH\360\377HJ\357\377KL\356\377NO\355\377RR\354\377VU\353\377YY\353\377]]\352\377Z^\353\377DU\360\377-K\365\377\15<\374\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377\317\06\377\20\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377 \06\377p\77\376\317\359\371\377,;\366\377/;\365\377.;\365\377.;\365\377/;\365\3770<\365\3772=\365\3774>\364\3777?\363\377:A\363\377>C\362\377BF\361\377FI\357\377KL\356\377OP\355\377TT\354\377YX\353\377]]\352\377aa\351\377ee\351\377N\\357\377'J\367\377\06\377\377", ) A\367\377(C\366\377*E\366\377+F\365\377-G\365\377\27?\372\377\30@\372\377\109\375\377\56\376\377\117\376\377\148\376\377\168\375\377\178\375\377\158\375\377\137\376\377\107\376\377\46\376\377\16\377\377\06\377\377\06\377\377\06\377\317\06\377\20\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377\20\06\377`\34;\371\237%=\367\3370@\364\377=C\362\377>D\361\377@D\361\377BF\361\377EH\360\377HJ\357\377KL\356\377NO\355\377RR\354\377VU\353\377YY\353\377]]\352\377Z^\353\377DU\360\377-K\365\377\15<\374\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377\317\06\377\20\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377 \06\377p\77\376\317\359\371\377,;\366\377/;\365\377.;\365\377.;\365\377/;\365\3770<\365\3772=\365\3774>\364\3777?\363\377:A\363\377>C\362\377BF\361\377FI\357\377KL\356\377OP\355\377TT\354\377YX\353\377]]\352\377aa\351\377ee\351\377N\\357\377'J\367\377\06\377\377", ) == 0x0
 01043  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\06\377\377\06\377\377\06\377\377\06\377\377\06\377\277\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377@\06\377\277\26\377\377\247\373\377$7\367\377"7\370\377!7\370\377.C\371\377Yh\372\377.B\371\377 6\371\377!7\370\377#7\370\377]j\371\377(9\367\377,:\366\3770<\365\3774>\364\3779@\363\377cg\364\377\^\362\377IK\357\377OP\355\377TT\354\377YY\353\377_^\352\377cc\351\377gh\351\377Ub\355\377\24A\373\377\06\377\377\06\377\377 O\377\3770\\377\377\06\377\377\06\377\377\06\377\377\06\377\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\3770\06\377\277\06\377\377\56\376\377\275\372\377\305\372\377\264\372\377\234\373\377\224\373\377\323\331\376\377\377\377\377\377\265\300\376\377\214\373\377\224\373\377\324\331\376\377\377\377\377\377\325\331\376\377\366\371\377"7\370\377&8\367\377\225\234\372\377\377\377\377\377\377\377\377\377bf\364\377CG\360\377JL\356\377PQ\355\377\213\213\361\377\327\327\372\377\223\223\360\377ef\351\377ik\351\377/O\366\3770\\377\377\377\377\377\377\377\377\377\377\200\233\377\377\06\377\377\06\377\377\06\377\357\06\377 \0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\377\377\377`Pu\377\377\06\377\377\75\376\377\174\374\377\154\374\377\124\374\377\104\375\377\64\375\377St\376\377\377\377\377\377\377\377\377\377\261\300\377\377\54\376\377\64\375\377\377\377\377\377", ) 7\370\377!7\370\377.C\371\377Yh\372\377.B\371\377 6\371\377!7\370\377#7\370\377]j\371\377(9\367\377,:\366\3770<\365\3774>\364\3779@\363\377cg\364\377\^\362\377IK\357\377OP\355\377TT\354\377YY\353\377_^\352\377cc\351\377gh\351\377Ub\355\377\24A\373\377\06\377\377\06\377\377 O\377\3770\\377\377\06\377\377\06\377\377\06\377\377\06\377\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\3770\06\377\277\06\377\377\56\376\377\275\372\377\305\372\377\264\372\377\234\373\377\224\373\377\323\331\376\377\377\377\377\377\265\300\376\377\214\373\377\224\373\377\324\331\376\377\377\377\377\377\325\331\376\377\366\371\377 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\06\377\377\06\377\377\06\377\377\06\377\377\06\377\277\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377@\06\377\277\26\377\377\247\373\377$7\367\377"7\370\377!7\370\377.C\371\377Yh\372\377.B\371\377 6\371\377!7\370\377#7\370\377]j\371\377(9\367\377,:\366\3770<\365\3774>\364\3779@\363\377cg\364\377\^\362\377IK\357\377OP\355\377TT\354\377YY\353\377_^\352\377cc\351\377gh\351\377Ub\355\377\24A\373\377\06\377\377\06\377\377 O\377\3770\\377\377\06\377\377\06\377\377\06\377\377\06\377\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\3770\06\377\277\06\377\377\56\376\377\275\372\377\305\372\377\264\372\377\234\373\377\224\373\377\323\331\376\377\377\377\377\377\265\300\376\377\214\373\377\224\373\377\324\331\376\377\377\377\377\377\325\331\376\377\366\371\377"7\370\377&8\367\377\225\234\372\377\377\377\377\377\377\377\377\377bf\364\377CG\360\377JL\356\377PQ\355\377\213\213\361\377\327\327\372\377\223\223\360\377ef\351\377ik\351\377/O\366\3770\\377\377\377\377\377\377\377\377\377\377\200\233\377\377\06\377\377\06\377\377\06\377\357\06\377 \0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\377\377\377`Pu\377\377\06\377\377\75\376\377\174\374\377\154\374\377\124\374\377\104\375\377\64\375\377St\376\377\377\377\377\377\377\377\377\377\261\300\377\377\54\376\377\64\375\377\377\377\377\377", ) , ) == 0x0
 01044  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\234\373\377\305\372\377\306\315\376\377\377\377\377\377\377\377\377\377\230\236\372\3777?\363\377>C\361\377QT\360\377\364\364\376\377\377\377\377\377\365\365\376\377ts\354\377de\351\377hj\351\377\256\263\366\377\377\377\377\377\377\377\377\377\277\315\377\377\06\377\377\06\377\377\06\377\377\06\377\217\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\377\377\377\237\377\377\377\377\257\300\377\377@h\377\377Gg\375\377Dg\376\377Cg\376\377Bg\376\377Ah\376\377Ah\377\377\300\315\377\377\377\377\377\377\377\377\377\377Pt\377\377\15\377\377\15\377\377\377\377\377\377\377\377\377\377\377\377\377\377\44\376\377\74\375\377\124\374\377\303\314\376\377\377\377\377\377\377\377\377\377\222\233\373\377*9\366\3772=\364\377\234\240\371\377\377\377\377\377\377\377\377\377\377\377\377\377\255\254\365\377^^\351\377dd\351\377\263\264\364\377\377\377\377\377\377\377\377\377\277\315\377\377\06\377\377\06\377\377\06\377\377\06\377\357\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\34L\377\217\357\362\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\337\346\377\377\06\377\377\06\377\377\06\377\377\377\377\377\377\377\377\377\377\377\377\377\377\05\377\377\15\376\377\25\376\377\300\314\377\377\377\377\377\377\377\377\377\377\213\232\375\377\356\371\3773D\370\377\362\363\376\377\377\377\377\377\377\377\377\377\377\377\377\377\364\364\376\377ba\354\377^]\352\377\261\261\364\377\377\377\377\377\377\377\377\377\277\315\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377P\0\0\0\0\0\0\0\0\06\377P\06\377\377\200\233\377\377", ) , ) == 0x0
 01045  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377`\201\377\377\06\377\377\06\377\377\06\377\377\377\377\377\377\377\377\377\377\377\377\377\377\06\377\377\06\377\377\06\377\377\277\315\377\377\377\377\377\377\377\377\377\377\205\232\376\377\204\373\377\213\232\375\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\250\250\366\377WV\353\377\256\255\365\377\377\377\377\377\377\377\377\377\277\315\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377\200\0\0\0\0\06\377\20\06\377\357\06\377\377\20C\377\377\377\377\377\377\377\377\377\377\377\377\377\377\237\264\377\377\200\233\377\377\200\233\377\377\200\233\377\377\240\264\377\377\377\377\377\377\377\377\377\377\357\362\377\377\22C\377\377\26\377\377\26\377\377\26\377\377\377\377\377\377\377\377\377\377\377\377\377\377\06\377\377\06\377\377\06\377\377\277\315\377\377\377\377\377\377\377\377\377\377\201\232\376\377\26A\375\377\360\362\377\377\377\377\377\377\377\377\377\377kv\371\377\377\377\377\377\377\377\377\377\364\364\376\377Z[\356\377\252\252\365\377\377\377\377\377\377\377\377\377\277\315\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377\277\0\0\0\0\06\377\200\06\377\377\06\377\377\06\377\377\237\264\377\377\377\377\377\377\377\377\377\377`\201\377\377\16\377\377\26\377\377\26\377\377\201\233\377\377\377\377\377\377\377\377\377\377\202\233\377\377\57\377\377\57\377\377\46\377\377\46\377\377\377\377\377\377\377\377\377\377\377\377\377\377\26\377\377\16\377\377\06\377\377\277\315\377\377\377\377\377\377\377\377\377\377\200\232\377\377\200\232\377\377\377\377\377\377\377\377\377\377\247\263\375\377\356\371\377\310\315\375\377\377\377\377\377", ) , ) == 0x0
 01046  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377\377\377\377\377\377\377\377\277\315\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377\277\0\0\0\0\06\377\337\06\377\377\06\377\377\06\377\377 O\377\377\377\377\377\377\377\377\377\377\337\346\377\377\36\377\377\56\376\377\67\376\377\340\346\377\377\377\377\377\377\377\377\377\377*Q\376\377\148\376\377\148\376\377\138\376\377\128\376\377\377\377\377\377\377\377\377\377\377\377\377\377\46\377\377\36\377\377\26\377\377\300\315\377\377\377\377\377\377\377\377\377\377\217\247\377\377\357\362\377\377\377\377\377\377\377\377\377\377Fg\375\377\224\373\377bt\373\377\377\377\377\377\377\377\377\377\363\364\376\377\256\257\370\377\377\377\377\377\377\377\377\377\277\315\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377\277\06\377@\06\377\377\06\377\377\06\377\377\06\377\377\16\377\377\300\315\377\377\377\377\377\377\377\377\377\377Fi\376\377\138\376\377Xv\376\377\377\377\377\377\377\377\377\377\247\265\377\377\23:\376\377\24:\376\377\24:\376\377\23:\376\377\229\376\377\377\377\377\377\377\377\377\377\377\377\377\377\117\376\377\77\376\377\46\377\377\300\315\377\377\377\377\377\377\377\377\377\377\357\362\377\377\377\377\377\377\377\377\377\377\277\315\377\377\35\376\377\114\375\377\224\373\377\342\346\376\377\377\377\377\377\377\377\377\377\363\363\376\377\377\377\377\377\377\377\377\377\277\315\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377\277\06\377\200\06\377\377\06\377\377\06\377\377\16\377\377\36\377\377Di\377\377\377\377\377\377\377\377\377\377\245\265\377\377\23:\376\377\304\316\377\377\377\377\377\377\377\377\377\377Fa\376\377\34=\375\377\35=\375\377\35=\375\377\34=\375\377\33<\375\377\377\377\377\377", ) , ) == 0x0
 01047  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\168\376\377\128\376\377\301\315\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377`\201\377\377\05\377\377\35\376\377\114\375\377j\200\375\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\277\315\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377\237\06\377\277\06\377\377\06\377\377\06\377\377\26\377\377\77\376\377\138\376\377\341\346\377\377\377\377\377\377\377\377\377\377p\205\376\377\377\377\377\377\377\377\377\377\311\320\377\377%A\375\377&B\375\377'B\375\377'B\375\377&A\375\377$@\375\377\377\377\377\377\377\377\377\377\377\377\377\377\31<\375\377\26:\376\377\229\376\377\303\315\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\337\346\377\377\06\377\377\06\377\377\05\377\377\35\376\377\31A\375\377\360\362\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\277\315\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377p\06\377\277\06\377\377\06\377\377\06\377\377\57\377\377\158\376\377\229\376\377m\204\376\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377o\177\375\377/F\374\3770G\374\3770G\374\3770G\374\377/F\374\377.E\374\377\377\377\377\377\377\377\377\377\377\377\377\377"?\375\377\36=\375\377\31<\375\377\305\316\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\200\233\377\377\06\377\377\06\377\377\06\377\377\15\377\377\44\376\377\204\232\376\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\277\315\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\3770\06\377\277\06\377\377\06\377\377\06\377\377\107\377\377", ) ?\375\377\36=\375\377\31<\375\377\305\316\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\200\233\377\377\06\377\377\06\377\377\06\377\377\15\377\377\44\376\377\204\232\376\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\277\315\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\3770\06\377\277\06\377\377\06\377\377\06\377\377\107\377\377", ) == 0x0
 01048  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\344\347\377\377\377\377\377\377\377\377\377\377\377\377\377\377\346\351\377\3776K\374\3778L\374\377:M\374\377:N\374\377:N\374\3779M\374\3778L\374\377\377\377\377\377\377\377\377\377\377\377\377\377+D\375\377&A\375\377!?\375\377\307\317\377\377\377\377\377\377\377\377\377\377\377\377\377\377\357\363\377\377\23C\377\377\26\377\377\06\377\377\06\377\377\06\377\377\15\376\377\26A\375\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\277\315\377\377\06\377\377\06\377\377\06\377\377\06\377\337\0\0\0\0\06\377\277\06\377\377\06\377\377\06\377\377\138\376\377\32<\375\377 ?\375\377&A\375\377\225\242\376\377\377\377\377\377\377\377\377\377\377\377\377\377\207\222\375\377@R\373\377CT\373\377DU\373\377EU\373\377DU\373\377CT\373\377BS\373\377\377\377\377\377\377\377\377\377\377\377\377\3774I\374\377.F\374\377)C\375\377\311\320\377\377\377\377\377\377\377\377\377\377\377\377\377\377\243\264\377\377\67\376\377\36\377\377\16\377\377\06\377\377\06\377\377\06\377\377\25\376\377\242\263\376\377\377\377\377\377\377\377\377\377\377\377\377\377\277\315\377\377\06\377\377\06\377\377\06\377\377\06\377p\0\0\0\0\06\377\217\06\377\377\06\377\377\06\377\377\78\377\377!?\375\377(B\375\377.F\374\377AU\374\377\363\364\377\377\377\377\377\377\364\365\377\377Sb\373\377JZ\373\377M\\373\377N]\373\377O^\372\377O]\372\377N\\373\377L[\373\377\377\377\377\377\377\377\377\377\377\377\377\377, ) , ) == 0x0
 01049  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\377\377\377\377\377\377\377\377\277\315\377\377\06\377\377\06\377\377\06\377\357\06\377\20\0\0\0\0\06\377`\06\377\377\06\377\377\06\377\377\47\377\377(B\375\377/F\374\3776J\374\377, ) , ) == 0x0
 01050  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "P^\372\377IX\373\377AR\373\377_o\374\377K_\374\377)C\375\377!?\375\377\31<\375\377\229\376\377\128\376\377\46\377\377\26\377\377\06\377\377\06\377\377\06\377\377\35\376\377$N\376\3770\\377\377\06\377\377\06\377\357\06\377\20\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377 \06\377\377\06\377\377\06\377\377\109\377\377DT\373\377L[\373\377Tb\372\377[h\372\377bn\371\377ht\371\377nz\371\377s~\371\377v\202\371\377y\204\370\377z\205\370\377y\205\370\377x\203\370\377u\200\371\377q|\371\377kw\371\377fr\371\377_k\372\377Xe\372\377P^\372\377HX\373\377@Q\373\3777K\374\377/F\374\377&A\375\377\36=\375\377\26;\376\377\168\376\377\77\376\377\36\377\377\16\377\377\06\377\377\06\377\377\15\377\377\06\377\377\06\377\377\06\377\357\06\3770\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377\200\06\377\377\06\377\377\06\377\377*J\375\377S`\372\377[h\372\377co\371\377jv\371\377q}\371\377w\203\370\377}\210\370\377\200\214\370\377\203\216\370\377\204\220\370\377\204\217\370\377\202\215\370\377\177\212\370\377z\205\370\377u\200\371\377nz\371\377gs\371\377_k\372\377Wd\372\377N]\372\377FV\373\377=O\373\3774I\374\377+D\374\377"?\375\377\31<\375\377\219\376\377\117\376\377\46\377\377\26\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377\357\06\3770\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377\317\06\377\377", ) ?\375\377\31<\375\377\219\376\377\117\376\377\46\377\377\26\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377\357\06\3770\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377\317\06\377\377", ) == 0x0
 01051  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "am\371\377jv\371\377r}\371\377z\205\370\377\200\214\370\377\206\222\370\377\212\226\370\377\215\232\370\377\217\233\370\377\216\233\370\377\214\230\370\377\211\224\370\377\203\217\370\377}\211\370\377v\201\371\377nz\371\377fr\371\377]j\372\377Tb\372\377KZ\373\377BS\373\3778L\374\377/F\374\377&A\375\377\35=\375\377\24:\376\377\148\376\377\67\376\377\26\377\377\06\377\377\06\377\377\06\377\377\06\377\337\06\3770\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377\20\06\377\317\06\377\377\06\377\377\22@\376\377ao\371\377p|\371\377y\204\370\377\201\215\370\377\211\224\370\377\217\233\370\377\224\241\370\377\227\245\370\377\231\246\370\377\231\246\370\377\226\243\370\377\222\236\370\377\214\230\370\377\205\221\370\377~\211\370\377u\200\371\377lx\371\377co\371\377Yf\372\377P^\372\377FV\373\377, ) , ) == 0x0
 01052  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377\217\06\377\377\06\377\377\27E\376\377l\177\371\377\216\232\370\377\227\244\370\377\237\255\370\377\246\265\371\377\253\273\371\377\255\275\371\377\255\275\371\377\251\270\371\377\243\261\371\377\233\251\370\377\223\237\370\377\211\225\370\377\200\213\370\377v\201\371\377lw\371\377an\371\377Wd\372\377M\\373\377CS\373\3778L\374\377.F\374\377%A\375\377\30<\375\377\67\377\377\06\377\377\06\377\237\06\377 \0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377@\06\377\317\06\377\377\11<\377\377Ij\374\377\234\252\370\377\245\264\371\377\255\275\371\377\264\305\372\377\267\311\372\377\266\310\372\377\261\302\371\377\251\271\371\377\241\257\370\377\227\244\370\377\216\232\370\377\204\217\370\377y\205\370\377oz\371\377dp\371\377Zf\372\377O]\372\377EU\373\377:N\374\377-F\374\377\24<\376\377\27\377\377\06\377\237\06\377 \0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377P\06\377\277\06\377\377\24E\376\377j\210\373\377\250\273\372\377\273\316\373\377\300\325\373\377\276\322\373\377\267\311\372\377\256\277\371\377\245\263\371\377", ) , ) == 0x0
 01053  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "{\206\370\377p|\371\377fr\371\377[h\372\377P_\372\377=R\374\377\32A\376\377\47\377\337\06\377\200\06\377 \0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377 \06\377p\06\377\277\06\377\377, ) , ) == 0x0
 01054  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) , ) == 0x0
 01055  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\377\377\377\377\377\377\0\0\377\377\377\377\377\377\0\0\377\377\377\377\377\377\0\0\377\377\377\377\377\377\0\0\377\377\377\377\377\377\0\0\377\377\377\377\377\377\0\0\377\377\300\1\377\377\0\0\377\374\0\0\37\377\0\0\377\360\0\0\3\377\0\0\377\377\340\0\0\377\0\0\377\377\360\0\0\177\0\0\377\377\340\0\0\37\0\0\377\377\200\0\0\17\0\0\377\370\0\0\0\7\0\0\377\300\0\0\0\7\0\0\377\0\0\0\0\3\0\0\374\0\0\0\0\1\0\0\370\0\0\0\0\1\0\0\360\0\0\0\0\1\0\0\340\0\0\0\0\0\0\0\300\0\0\0\0\0\0\0\200\0\0\0\0\0\0\0\200\0\0\0\0\0\0\0\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\0\0\0\0\0\0\1\0\0\0\0\0\0\0\1\0\0\0\0\0\0\0\3\0\0\0\0\0\0\0\7\0\0\200\0\0\0\0\7\0\0\200\0\0\0", ) , ) == 0x0
 01056  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\340\0\0\0\0?\0\0\340\0\0\0\0\177\0\0\360\0\0\0\1\377\0\0\374\0\0\0\3\377\0\0\376\0\0\0\17\377\0\0\377\200\0\0?\377\0\0\377\340\0\1\377\377\0\0\377\376\0\37\377\377\0\0\377\377\377\377\377\377\0\0\377\377\377\377\377\377\0\0\377\377\377\377\377\377\0\0\377\377\377\377\377\377\0\0(\0\0\0 \0\0\0@\0\0\0\1\0 \0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) , ) == 0x0
 01057  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377P\06\377\217\06\377\277\06\377\357\06\377\377\127\376\377"?\373\3775I\372\377CT\370\377O]\367\377Vd\366\337Zh\366\277\i\366\200[h\3660\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377`\06\377`\06\377@\06\377`\06\377\277\06\377\377\06\377\377\127\376\377\37=\374\377/E\372\377;M\371\377DT\370\377JY\367\377M\\367\377N]\367\377KZ\367\337CS\370`\0\0\0\0", ) ?\373\3775I\372\377CT\370\377O]\367\377Vd\366\337Zh\366\277\i\366\200[h\3660\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377`\06\377`\06\377@\06\377`\06\377\277\06\377\377\06\377\377\127\376\377\37=\374\377/E\372\377;M\371\377DT\370\377JY\367\377M\\367\377N]\367\377KZ\367\337CS\370`\0\0\0\0", ) == 0x0
 01058  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377\337\06\377\377\06\377\377\56\376\377\24:\375\377"?\374\377-D\372\3773H\372\3777J\371\3778K\371\3776J\371\3771G\372\377(B\373\337\27:\375@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377p\06\377\377\06\377\377\06\377\377\06\377\377\16\377\377\57\376\377\168\375\377\25:\375\377\32<\374\377\33<\374\377\31;\374\377\239\375\377\138\376\377\36\377\377\06\377\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\3770\279\372p.>\365\257,>\366\377:B\362\377AE\361\377DH\360\377IK\357\377NO\355\377TT\354\377YY\353\377LV\356\377>R\361\377'H\367\377\109\375\377\16\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377\237\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377 \06\377\217\207\374\337#8\370\377'9\367\377&8\367\377'8\367\377(9\367\377+:\366\377/;\365\3774>\364\377:A\362\377AF\361\377IK\357\377QQ\355\377YX\353\377`_\351\377_c\352\3774P\364\377\7:\376\377\06\377\377", ) ?\374\377-D\372\3773H\372\3777J\371\3778K\371\3776J\371\3771G\372\377(B\373\337\27:\375@\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377p\06\377\377\06\377\377\06\377\377\06\377\377\16\377\377\57\376\377\168\375\377\25:\375\377\32<\374\377\33<\374\377\31;\374\377\239\375\377\138\376\377\36\377\377\06\377\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\3770\279\372p.>\365\257,>\366\377:B\362\377AE\361\377DH\360\377IK\357\377NO\355\377TT\354\377YY\353\377LV\356\377>R\361\377'H\367\377\109\375\377\16\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377\237\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377 \06\377\217\207\374\337#8\370\377'9\367\377&8\367\377'8\367\377(9\367\377+:\366\377/;\365\3774>\364\377:A\362\377AF\361\377IK\357\377QQ\355\377YX\353\377`_\351\377_c\352\3774P\364\377\7:\376\377\06\377\377", ) == 0x0
 01059  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\06\377`\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377\20\06\377\237\16\377\377\235\373\377\265\372\377\234\373\377Mg\374\377\361\362\377\377Lg\374\377\214\373\377\343\346\376\377\234\247\374\377\366\371\377%8\367\377\314\316\374\377\317\320\374\377?D\361\377IK\357\377ss\360\377\257\257\364\377mm\352\377[d\354\3774Z\373\377\337\346\377\377\200\233\377\377\06\377\377\06\377\357\06\377\20\0\0\0\0\0\0\0\0\0\0\0\0\377\377\3770\356\362\377\357\16\377\377\114\375\377\74\375\377\44\375\377\25\376\377\300\314\377\377\377\377\377\377!N\376\377Ag\376\377\377\377\377\377\301\314\377\377\114\375\377\174\374\377\377\377\377\377\377\377\377\377,:\366\3777?\363\377\320\321\373\377\377\377\377\377\256\255\365\377ba\351\377\215\217\357\377\377\377\377\377\277\315\377\377\06\377\377\06\377\377\06\377\200\0\0\0\0\0\0\0\0\06\3770\210\241\377\357\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\277\315\377\377\06\377\377@h\377\377\377\377\377\377\277\315\377\377\15\377\377\25\376\377\377\377\377\377\377\377\377\377\305\372\377Zi\371\377\377\377\377\377\377\377\377\377\364\364\376\377ba\354\377\210\207\357\377\377\377\377\377\277\315\377\377\06\377\377\06\377\377\06\377\317\0\0\0\0\0\0\0\0\06\377\317\20C\377\377\357\362\377\377\377\377\377\377\277\315\377\377\277\315\377\377\300\315\377\377\357\362\377\377\377\377\377\377Ah\377\377\16\377\377Ah\377\377\377\377\377\377\277\315\377\377\06\377\377\06\377\377\377\377\377\377\377\377\377\377\64\375\377\303\314\376\377\377\377\377\377\256\264\374\377\377\377\377\377\247\247\366\377\200\200\360\377", ) , ) == 0x0
 01060  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\06\377\377\06\377\377\0\0\0\0\06\377`\06\377\377\06\377\377\237\264\377\377\377\377\377\377Ah\377\377\26\377\377\23C\377\377\357\362\377\377\340\346\377\377\77\376\377\67\376\377Di\377\377\377\377\377\377\300\315\377\377\26\377\377\16\377\377\377\377\377\377\377\377\377\377@h\377\377\377\377\377\377\303\314\376\377)B\372\377\361\362\377\377\364\364\376\377\203\204\364\377\377\377\377\377\277\315\377\377\06\377\377\06\377\377\06\377\377\0\0\0\0\06\377\257\06\377\377\06\377\377!O\377\377\377\377\377\377\261\300\377\377\117\376\377v\217\376\377\377\377\377\377k\204\376\377\22:\376\377\22:\376\377Lk\376\377\377\377\377\377\302\315\377\377\77\376\377\46\377\377\377\377\377\377\377\377\377\377\317\331\377\377\377\377\377\377Bg\376\377\144\374\377\231\246\375\377\377\377\377\377\334\334\374\377\377\377\377\377\277\315\377\377\06\377\377\06\377\377\06\377\377\0\0\0\0\06\377\377\06\377\377\16\377\377\46\377\377\242\264\377\377\377\377\377\3772S\376\377\342\346\377\377\361\363\377\377\37>\375\377 ?\375\377 ?\375\377Wn\376\377\377\377\377\377\305\316\377\377\23:\376\377\158\376\377\377\377\377\377\377\377\377\377\377\377\377\377\337\346\377\377\06\377\377\25\376\377*M\375\377\377\377\377\377\377\377\377\377\377\377\377\377\277\315\377\377\06\377\377\06\377\377\06\377\377\0\0\0\0\06\377\377\06\377\377\26\377\377\158\376\377Ok\376\377\377\377\377\377\361\363\377\377\377\377\377\377\226\242\376\377.E\374\377/F\374\377/F\374\377bt\375\377\377\377\377\377\310\317\377\377\37>\375\377\31<\376\377\377\377\377\377\377\377\377\377\377\377\377\377`\201\377\377\06\377\377\06\377\377\35\376\377\243\263\376\377\377\377\377\377", ) , ) == 0x0
 01061  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\06\377\377\06\377\317\0\0\0\0\06\377\377\06\377\377\47\377\377\27;\376\377 >\375\377\311\320\376\377\377\377\377\377\363\364\377\377GY\374\377=P\373\377?Q\374\377>P\374\377m{\374\377\377\377\377\377\313\321\376\377,E\374\377%A\375\377\377\377\377\377\377\377\377\377\360\363\377\377\46\377\377\16\377\377\06\377\377\06\377\3774Z\376\377\377\377\377\377\377\377\377\377\277\315\377\377\06\377\377\06\377\377\06\377p\0\0\0\0\06\377\377\06\377\377\78\377\377"?\375\377,D\374\377p\201\375\377\377\377\377\377\272\300\376\377IY\373\377M\\373\377O]\373\377N]\373\377y\204\374\377\377\377\377\377\317\323\376\377:M\374\3771H\374\377\377\377\377\377\377\377\377\377\211\234\377\377\128\376\377\36\377\377\16\377\377\06\377\377\15\376\377\301\314\377\377\377\377\377\377\277\315\377\377\06\377\377\06\377\357\06\377\20\0\0\0\0\06\377\317\06\377\377\06\377\377,E\374\3777K\374\377AS\373\377\350\352\377\377iu\373\377Yf\372\377]j\372\377_l\372\377_k\372\377fr\372\377\377\377\377\377\322\326\376\377GW\373\377=P\373\377\363\364\377\377\362\363\377\377+I\375\377\219\376\377\77\376\377\26\377\377\06\377\377\06\377\377Bg\376\377\377\377\377\377\257\300\377\377\06\377\377\06\377p\0\0\0\0\0\0\0\0\06\377`\06\377\377\06\377\377&E\375\377BS\373\377N]\372\377co\372\377am\371\377ht\371\377my\371\377o{\371\377oz\371\377lw\371\377\204\215\372\377r}\372\377Tb\372\377IY\373\377Wf\374\377K_\374\377%A\375\377\31<\376\377\158\376\377\46\377\377\16\377\377\06\377\377\15\376\377", ) ?\375\377,D\374\377p\201\375\377\377\377\377\377\272\300\376\377IY\373\377M\\373\377O]\373\377N]\373\377y\204\374\377\377\377\377\377\317\323\376\377:M\374\3771H\374\377\377\377\377\377\377\377\377\377\211\234\377\377\128\376\377\36\377\377\16\377\377\06\377\377\15\376\377\301\314\377\377\377\377\377\377\277\315\377\377\06\377\377\06\377\357\06\377\20\0\0\0\0\06\377\317\06\377\377\06\377\377,E\374\3777K\374\377AS\373\377\350\352\377\377iu\373\377Yf\372\377]j\372\377_l\372\377_k\372\377fr\372\377\377\377\377\377\322\326\376\377GW\373\377=P\373\377\363\364\377\377\362\363\377\377+I\375\377\219\376\377\77\376\377\26\377\377\06\377\377\06\377\377Bg\376\377\377\377\377\377\257\300\377\377\06\377\377\06\377p\0\0\0\0\0\0\0\0\06\377`\06\377\377\06\377\377&E\375\377BS\373\377N]\372\377co\372\377am\371\377ht\371\377my\371\377o{\371\377oz\371\377lw\371\377\204\215\372\377r}\372\377Tb\372\377IY\373\377Wf\374\377K_\374\377%A\375\377\31<\376\377\158\376\377\46\377\377\16\377\377\06\377\377\15\376\377", ) == 0x0
 01062  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377\337\06\377\377\20=\376\377M\\373\377Yf\372\377eq\371\377o{\371\377w\203\371\377}\211\370\377\200\213\370\377\177\213\370\377{\207\370\377t\200\371\377kw\371\377am\371\377Ub\372\377HW\373\377:N\374\377-E\374\377 >\375\377\23:\376\377\107\376\377\26\377\377\06\377\377\06\377\377\06\377\377\06\377\317\06\377\20\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\3770\06\377\357\06\377\3776S\374\377dp\371\377q|\371\377|\207\370\377\206\221\370\377\215\231\370\377\220\234\370\377\217\233\370\377\212\226\370\377\202\216\370\377x\203\370\377kw\371\377^k\372\377P_\372\377BS\373\3774I\374\377&A\375\377\30;\376\377\138\376\377\36\377\377\06\377\377\06\377\377\06\377\237\06\377\20\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\3770\06\377\357\69\377\377Yl\372\377{\206\370\377\210\223\370\377\223\240\370\377\233\251\370\377\240\256\370\377\237\255\370\377\230\246\370\377\217\233\370\377\203\216\370\377u\200\371\377fr\371\377Xe\372\377HX\373\3779M\374\377+D\374\377\35=\375\377\179\376\377\36\377\377\06\377\357\06\377p\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\3770\06\377\317\06\377\377Jh\373\377\221\235\370\377\236\254\370\377\251\271\371\377\257\300\371\377\255\276\371\377\245\264\371\377\231\246\370\377\213\227\370\377|\210\370\377mx\371\377]j\372\377M\\373\377=P\373\377.F\374\377\34=\375\377\57\377\377\06\377\237\06\377 \0\0\0\0", ) , ) == 0x0
 01063  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377`\06\377\337&R\375\377}\226\372\377\264\305\372\377\275\321\373\377\273\315\373\377\257\277\371\377\240\256\370\377\221\235\370\377\201\214\370\377q|\371\377`l\372\377P^\372\3778N\374\377\24=\376\357\06\377\237\06\377 \0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\3770\06\377\200\37O\376\277\\203\376\357\204\243\375\377\205\240\373\377z\222\372\377m\205\372\377bw\372\377Tj\372\357A[\373\277\34D\375\217\06\377P\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) , ) == 0x0
 01064  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\377\300\0\377\377\200\0?\377\374\0\17\377\370\0\7\377\200\0\3\374\0\0\1\360\0\0\0\340\0\0\0\300\0\0\0\300\0\0\0\200\0\0\0\200\0\0\0\200\0\0\0\200\0\0\0\200\0\0\0\200\0\0\0\200\0\0\1\200\0\0\3\300\0\0\3\300\0\0\7\340\0\0\37\360\0\0?\374\0\0\377\377\0\7\377\377\377\377\377\377\377\377\377\377\377\377\377(\0\0\0\20\0\0\0 \0\0\0\1\0 \0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377P\06\377\237\06\377\357\57\376\377$A\373\377@Q\370\377N]\367\357O^\367\257FV\370`\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0", ) , ) == 0x0
 01065  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\0\0\0\06\377\217\06\377\377\26\377\377\179\375\377\36?\374\377&A\373\377 ?\374\377\20:\375\317\06\3770\0\0\0\0\0\0\0\0\0\0\0\0\06\377\20\06\377`\06\377\257\06\377\357\06\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377\377\06\377\357\06\377 \0\0\0\0\06\377P\201\225\377\373\06\377\377\06\377\377\356\357\376\3772R\375\377\342\350\377\377\06\377\377\342\344\376\377\06\377\377\342\330\364\377\06\377\377\354\356\375\377\06\377\377\06\377\277\06\377P\06\377\377\377\377\377\377\336\361\377\377\373\375\377\377\354\357\377\377\06\377\377\371\376\377\377\06\377\377\333\350\377\377\06\377\377\377\377\377\377\06\377\377\365\362\374\377\06\377\377\06\377\377\06\377\337\06\377\377\377\377\377\377\36\377\377\377\377\377\377\201\232\376\377\06\377\377\372\375\377\377\06\377\377\340\354\377\377\377\377\377\377Nf\375\377\320\325\375\377\377\377\376\377\06\377\377\06\377\377\06\377\377\26\377\377Kn\376\377\377\377\377\377\354\353\377\377\06\377\377\06\377\377\375\376\377\377\06\377\377\377\377\377\377\231\251\377\377\06\377\377r\212\376\377\377\377\377\377\06\377\377\06\377\377\06\377\377\67\377\377\23;\376\377\342\346\377\377\245\256\375\377\06\377\377\06\377\377\377\377\376\377\06\377\377\377\377\377\377_{\376\377\36\377\377\34L\377\377\377\377\377\377\06\377\377\06\377\257\06\377\337\68\377\377\36B\375\377\241\245\373\377`q\371\3775U\374\3775V\374\377\275\302\375\377\06\377\377\234\247\375\377\24<\376\377\118\376\377\26\377\377\216\244\376\377\06\377\357\06\377 \06\377P", ) , ) == 0x0
 01066  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "@`\373\377Ff\373\377Fg\373\377A`\373\3776V\374\377*K\374\377\35A\375\377\20:\376\377\47\376\377\06\377\357\06\3770\0\0\0\0\0\0\0\0\06\377`\12<\376\3777Z\374\377Lm\373\377Vw\374\377Vx\374\377Mn\373\377@`\373\3772R\374\377#F\375\377\22<\376\377\37\377\277\06\377 \0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\06\377 \10<\377\2170Z\375\337Ov\375\377b\206\375\377Tu\374\377Ee\373\3772S\374\337\33C\375\237\119\3760\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\377\377\0\0\377\377\0\0\360\7\0\0\374\1\0\0\300\0\0\0\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\0\200\3\0\0\300\17\377p\377\377\377\377\377\377\377\377\1\0\377\377\0\0\0\0\0\0\0\0H\4\0@\10\0\0\0\0\0\12\1\202\0\0\0\0\0\0\0\10\0\0\0\0\1M\0S\0 \0S\0h\0e\0l\0l\0 \0D\0l\0g\0\0\0\0\0\0\0\0\0\0\0\200\0\201P\10\01\0\273\0\14\0\373\3\0\0\377\377\201\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1P\312\00\07\0\16\0\351\3\0\0\377\377\200\0\0\0\0\0\0\0\0\0", ) , ) == 0x0
 01067  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\26\0\24\0\7\4\0\0\377\377\202\0\377\377g\0\0\0\0\0\0\0\0\0\0\0\0\0\14\0\0P\0\0z\0\11\1\10\0\0\4\0\0\377\377\202\0\0\0\0\0\0\0\0\0\0\0\0\0\3\0\1@\10\0G\0v\0\12\0\360\3\0\0\377\377\200\0\0\0\0\0\0\0\0\0\0\0\0\0\14\0\0P\0\0o\0\11\1\10\0\377\3\0\0\377\377\202\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\2P\31\0\0\0\361\0"\0\356\3\0\0\377\377\202\0\0\0\0\0\0\0\0\0\0\0\0\0\7\0\0P\1\0&\0\10\1\36\0\374\3\0\0\377\377\200\0\0\0\0\0\0\0\0\0\1\0\377\377\0\0\0\0\0\0\0\0H\10\312\200\6\0\0\0\0\0\30\1\242\0\0\0\0\0\0\0\10\0\0\0\0\1M\0S\0 \0S\0h\0e\0l\0l\0 \0D\0l\0g\0\0\0\0\0\0\0\0\0\0\0\0\0\3@\253\0\216\02\0\16\0\3\0\0\0\377\377\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1P\337\0\216\02\0\16\0\1\0\0\0\377\377\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1P\7\0\216\02\0\16\0\2\0\0\0\377\377\200\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\2P\7\0\212\0\13\1\1\0\377\377\377\377\377\377\202\0\0\0\0\0\0\0\0\0\0\0\0\0\4\0\2@\7\0\6\0\12\1\202\0\372\3\0\0\377\377\202\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\2X;\0\221\0l\0\10\0\4\4\0\0\377\377\202\0\0\0\0\0\1\0\377\377\0\0\0\0\0\0\0\0H\4\0@\5\0\0\0\0\0\12\1\202\0\0\0\0\0\0\0\10\0\0\0\0\1M\0S\0 \0S\0h\0e\0l\0l\0 \0D\0l\0", ) \0\356\3\0\0\377\377\202\0\0\0\0\0\0\0\0\0\0\0\0\0\7\0\0P\1\0&\0\10\1\36\0\374\3\0\0\377\377\200\0\0\0\0\0\0\0\0\0\1\0\377\377\0\0\0\0\0\0\0\0H\10\312\200\6\0\0\0\0\0\30\1\242\0\0\0\0\0\0\0\10\0\0\0\0\1M\0S\0 \0S\0h\0e\0l\0l\0 \0D\0l\0g\0\0\0\0\0\0\0\0\0\0\0\0\0\3@\253\0\216\02\0\16\0\3\0\0\0\377\377\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1P\337\0\216\02\0\16\0\1\0\0\0\377\377\200\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\1P\7\0\216\02\0\16\0\2\0\0\0\377\377\200\0\0\0\0\0\0\0\0\0\0\0\0\0\20\0\2P\7\0\212\0\13\1\1\0\377\377\377\377\377\377\202\0\0\0\0\0\0\0\0\0\0\0\0\0\4\0\2@\7\0\6\0\12\1\202\0\372\3\0\0\377\377\202\0\0\0\0\0\0\0\0\0\0\0\0\0\1\0\2X;\0\221\0l\0\10\0\4\4\0\0\377\377\202\0\0\0\0\0\1\0\377\377\0\0\0\0\0\0\0\0H\4\0@\5\0\0\0\0\0\12\1\202\0\0\0\0\0\0\0\10\0\0\0\0\1M\0S\0 \0S\0h\0e\0l\0l\0 \0D\0l\0", ) == 0x0
 01068  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\200P\30\0\12\0\361\0\13\0\354\3\0\0m\0s\0c\0t\0l\0s\0_\0p\0r\0o\0g\0r\0e\0s\0s\03\02\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\214\0\0P\30\0\0\0\361\0\10\0\356\3\0\0\377\377\202\0\0\0\0\0\0\0\0\0\0\0\0\0\5@\201@\0\0\31\0\11\1h\0\370\3\0\0S\0y\0s\0L\0i\0s\0t\0V\0i\0e\0w\03\02\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\3\0\0P\0\0\0\0\26\0\24\0\7\4\0\0\377\377\202\0\377\377g\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0P\0\0\34\0<\0\16\0\3\4\0\0\377\377\200\0\0\0\0\0\0\0\0\0\1\0\377\377\0\0\0\0\0\0\0\0\310\10\0\200\1\0\0\0\0\0\242\0\26\0\0\0\0\0\0\0\10\0\0\0\0\1M\0S\0 \0S\0h\0e\0l\0l\0 \0D\0l\0g\0\0\0\0\0\0\0\0\0\0\0\1\0\2P\7\0\7\0\224\0\10\0\6\4\0\0\377\377\202\0\0\0\0\0\0\0\1\0\11\000\20\0\1\0\4\0h\6\0\0\1\0  \20\0\1\0\4\0\350\2\0\0\2\0\20\20\20\0\1\0\4\0(\1\0\0\3\000\0\0\1\0\10\0\250\16\0\0\4\0  \0\0\1\0\10\0\250\10\0\0\5\0\20\20\0\0\1\0\10\0h\5\0\0\6\000\0\0\1\0 \0\250%\0\0\7\0  \0\0\1\0 \0\250\20\0\0\10\0\20\20\0\0\1\0 \0h\4\0\0\11\0\0\0\0\0 \24\0\0\0V\0S\0_\0V\0E\0R\0S\0I\0O\0N\0_\0I\0N\0F\0O\0\0\0\0\0\275\4\357\376\0\0\0\0\5\0\6\0", ) , ) == 0x0
 01069  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\0\0\0\4\0\0\0\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0~\1\0\0\0\0S\0t\0r\0i\0n\0g\0F\0i\0l\0e\0I\0n\0f\0o\0\0\0Z\1\0\0\0\00\04\00\09\00\04\0e\04\0\0\02\0\11\0\1\0C\0o\0m\0p\0a\0n\0y\0N\0a\0m\0e\0\0\0\0\0A\0O\0L\0 \0L\0L\0C\0.\0\0\0\0\02\0\5\0\1\0F\0i\0l\0e\0D\0e\0s\0c\0r\0i\0p\0t\0i\0o\0n\0\0\0\0\0A\0I\0M\06\0\0\0\0\02\0\11\0\1\0F\0i\0l\0e\0V\0e\0r\0s\0i\0o\0n\0\0\0\0\06\0.\05\0.\01\01\0.\01\0\0\0\0\0D\0\20\0\1\0L\0e\0g\0a\0l\0C\0o\0p\0y\0r\0i\0g\0h\0t\0\0\0\251\0 \02\00\00\07\0 \0A\0O\0L\0 \0L\0L\0C\0.\0\0\0*\0\5\0\1\0P\0r\0o\0d\0u\0c\0t\0N\0a\0m\0e\0\0\0\0\0A\0I\0M\06\0\0\0\0\06\0\11\0\1\0P\0r\0o\0d\0u\0c\0t\0V\0e\0r\0s\0i\0o\0n\0\0\06\0.\05\0.\01\01\0.\01\0\0\0\0\0D\0\0\0\0\0V\0a\0r\0F\0i\0l\0e\0I\0n\0f\0o\0\0\0\0\0$\0\4\0\0\0T\0r\0a\0n\0s\0l\0a\0t\0i\0o\0n\0\0\0\0\0\11\4\344\41.0" ", ) 1.0 (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\0\0\0\0\4\0\0\0\1\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0~\1\0\0\0\0S\0t\0r\0i\0n\0g\0F\0i\0l\0e\0I\0n\0f\0o\0\0\0Z\1\0\0\0\00\04\00\09\00\04\0e\04\0\0\02\0\11\0\1\0C\0o\0m\0p\0a\0n\0y\0N\0a\0m\0e\0\0\0\0\0A\0O\0L\0 \0L\0L\0C\0.\0\0\0\0\02\0\5\0\1\0F\0i\0l\0e\0D\0e\0s\0c\0r\0i\0p\0t\0i\0o\0n\0\0\0\0\0A\0I\0M\06\0\0\0\0\02\0\11\0\1\0F\0i\0l\0e\0V\0e\0r\0s\0i\0o\0n\0\0\0\0\06\0.\05\0.\01\01\0.\01\0\0\0\0\0D\0\20\0\1\0L\0e\0g\0a\0l\0C\0o\0p\0y\0r\0i\0g\0h\0t\0\0\0\251\0 \02\00\00\07\0 \0A\0O\0L\0 \0L\0L\0C\0.\0\0\0*\0\5\0\1\0P\0r\0o\0d\0u\0c\0t\0N\0a\0m\0e\0\0\0\0\0A\0I\0M\06\0\0\0\0\06\0\11\0\1\0P\0r\0o\0d\0u\0c\0t\0V\0e\0r\0s\0i\0o\0n\0\0\06\0.\05\0.\01\01\0.\01\0\0\0\0\0D\0\0\0\0\0V\0a\0r\0F\0i\0l\0e\0I\0n\0f\0o\0\0\0\0\0$\0\4\0\0\0T\0r\0a\0n\0s\0l\0a\0t\0i\0o\0n\0\0\0\0\0\11\4\344\41.0" ", ) , ) == 0x0
 01070  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "F-8" standalone="yes"?>"urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">"1.0.0.0" processorArchitecture="X86" name="Nullsoft.NSIS.exehead" type="win32"/>Nullsoft Install System v2.06"win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" processorArchitecture="X86" publicKeyToken="6595b64144ccf1df" language="*" />"F-8" standalone="yes"?>"urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">"1.0.0.0" processorArchitecture="X86" name="Nullsoft.NSIS.exehead" type="win32"/>Nullsoft Install System v2.06"win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" processorArchitecture="X86" publicKeyToken="6595b64144ccf1df" language="*" />"F-8" standalone="yes"?>"urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">"1.0.0.0" processorArchitecture="X86" name="Nullsoft.NSIS.exehead" type="win32"/>Nullsoft Install System v2.06"win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" processorArchitecture="X86" publicKeyToken="6595b64144ccf1df" language="*" />"F-8" standalone="yes"?>"urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">"1.0.0.0" processorArchitecture="X86" name="Nullsoft.NSIS.exehead" type="win32"/>Nullsoft Install System v2.06"win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" processorArchitecture="X86" publicKeyToken="6595b64144ccf1df" language="*" />"F-8" standalone="yes"?>"urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">"1.0.0.0" processorArchitecture="X86" name="Nullsoft.NSIS.exehead" type="win32"/>Nullsoft Install System v2.06"win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" processorArchitecture="X86" publicKeyToken="6595b64144ccf1df" language="*" />"F-8" standalone="yes"?>"urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">"1.0.0.0" processorArchitecture="X86" name="Nullsoft.NSIS.exehead" type="win32"/>Nullsoft Install System v2.06"win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" processorArchitecture="X86" publicKeyToken="6595b64144ccf1df" language="*" />"F-8" standalone="yes"?>"urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">"1.0.0.0" processorArchitecture="X86" name="Nullsoft.NSIS.exehead" type="win32"/>Nullsoft Install System v2.06"win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" processorArchitecture="X86" publicKeyToken="6595b64144ccf1df" language="*" />"F-8" standalone="yes"?>"urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">"1.0.0.0" processorArchitecture="X86" name="Nullsoft.NSIS.exehead" type="win32"/>Nullsoft Install System v2.06"win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" processorArchitecture="X86" publicKeyToken="6595b64144ccf1df" language="*" />Nullsoft Install System v2.06"F-8" standalone="yes"?>"urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">"1.0.0.0" processorArchitecture="X86" name="Nullsoft.NSIS.exehead" type="win32"/>Nullsoft Install System v2.06"win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" processorArchitecture="X86" publicKeyToken="6595b64144ccf1df" language="*" />"F-8" standalone="yes"?>"urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">"1.0.0.0" processorArchitecture="X86" name="Nullsoft.NSIS.exehead" type="win32"/>Nullsoft Install System v2.06"win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" processorArchitecture="X86" publicKeyToken="6595b64144ccf1df" language="*" />"F-8" standalone="yes"?>"urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">"1.0.0.0" processorArchitecture="X86" name="Nullsoft.NSIS.exehead" type="win32"/>Nullsoft Install System v2.06"win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" processorArchitecture="X86" publicKeyToken="6595b64144ccf1df" language="*" />"F-8" standalone="yes"?>"urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">"1.0.0.0" processorArchitecture="X86" name="Nullsoft.NSIS.exehead" type="win32"/>Nullsoft Install System v2.06"win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" processorArchitecture="X86" publicKeyToken="6595b64144ccf1df" language="*" />"F-8" standalone="yes"?>"urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">"1.0.0.0" processorArchitecture="X86" name="Nullsoft.NSIS.exehead" type="win32"/>Nullsoft Install System v2.06"win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" processorArchitecture="X86" publicKeyToken="6595b64144ccf1df" language="*" />"F-8" standalone="yes"?>"urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">"1.0.0.0" processorArchitecture="X86" name="Nullsoft.NSIS.exehead" type="win32"/>Nullsoft Install System v2.06"win32" name="Microsoft.Windows.Common-Controls" version="6.0.0.0" processorArchitecture="X86" publicKeyToken="6595b64144ccf1df" language="*" />0x0
 01071  1292   NtReadFile  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512},  (108, 0, 0, 0, 512, 0x0, 0, ... {status=0x0, info=512}, "\0\0\0\0\357\276\255\336NullsoftInst\210.\0\0\30\366\322\0\14\12\0\200\355\232{p\25W\35\307Oh\200\220\7\217\0\11f\304,i\11i\244W \5$\245HH\240\23\11\20H(\5\323\206\275{On\226\354\275\273\331\335{\223@-\27\212\226A\321\332A\231\252Ej\35g\212\265S\37\3\212\224\316\264\14E\212\24By;m\35,NEK\355H\247\243D\374\236\373\330=\33\356MF\3470\376!;\374f\177g?{\276\277\3379{\366\234\2637\304\10!R\26!w\340\374.\316\370G>\31JH\33\316\277*$\361\343\207\367$\256o\365\221A\217\33\334\221\270@\310e\234\376\206r\35\316\213\372\335\223\356 \377\343\343\2r`\355E7\220 lH\277\234\207\241|.\231g/\316'a\347agag`\247ao\301\306\203\257#\211\276\345\353\347\240|\2\347S\260\243\260c\311\372L\357M\234\217s}\300\356\37\332\257~.\312op\365\331}\3473\364[a\262\356\230d\271\26V4\207\334>n\37\267\217\377\343\243 y\36\235\201\347\301&\220\304\274\237\356\370\24l"\354\3564\214\315w\343`Ob\12\275'y\355\223\231o\352'6\36\311\272\210\271h\16\307\267\342|jE\16\31ru\262\303wp\374\22\316\27{J\311#_Z\26N\361\2179\336\200\4\333+%\362\330\33\275V\212\257\311r\371O\340\377\376\252D*~\273:\224\342\3738>\14\223\373\316\347'\21\273\360Q;\305\213\206\270\\205\177\337\225Id\367\225\222h\212wr\374\0\374\323yed\327/_\215\244\370\21\216\27\2433\256\276s'\331\363\305QN~w\335\341r\33\376C\312d\262n\365d\247\376&\216\237d\376\275\345\244\371\245R'\376E\216Wd\232", ) \354\3564\214\315w\343`Ob\12\275'y\355\223\231o\352'6\36\311\272\210\271h\16\307\267\342|jE\16\31ru\262\303wp\374\22\316\27{J\311#_Z\26N\361\2179\336\200\4\333+%\362\330\33\275V\212\257\311r\371O\340\377\376\252D*~\273:\224\342\3738>\14\223\373\316\347'\21\273\360Q;\305\213\206\270\\205\177\337\225Id\367\225\222h\212wr\374\0\374\323yed\327/_\215\244\370\21\216\27\2433\256\276s'\331\363\305QN~w\335\341r\33\376C\312d\262n\365d\247\376&\216\237d\376\275\345\244\371\245R'\376E\216Wd\232", ) == 0x0
 01072  1292   NtClose  (108, ... ) == 0x0
 01073  1292   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 01074  1292   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 01075  1292   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 01076  1292   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 01077  1292   NtUserValidateHandleSecure  (655618, ... ) == 0x1
 01078  1292   NtUserDestroyWindow  (655618, ...
 01079  1292   NtUserValidateHandleSecure  (655618, ... ) == 0x1
 01080  1292   NtUserValidateHandleSecure  (655618, ... ) == 0x1
 01081  1292   NtUserGetThreadState  (0, ... ) == 0x0
 01082  1292   NtUserBuildHwndList  (0, 0, 0, 1292, 64, ... (0x1, ), 1, ) == 0x0
 01083  1292   NtUserCallOneParam  (8, 43, ... ) == 0x0
 01084  1292   NtUserQueryWindow  (655618, 7, ... ) == 0x0
 01085  1292   NtUserBuildHwndList  (0, 0, 0, 1292, 64, ... (0x1, ), 1, ) == 0x0
 01086  1292   NtUserCallOneParam  (8, 43, ... ) == 0x0
 01087  1292   NtUserValidateHandleSecure  (0, ... ) == 0x0
 01088  1292   NtUserUnhookWindowsHookEx  (393695, ... ) == 0x1
 01089  1292   NtUserUnhookWindowsHookEx  (1573423, ... ) == 0x1
 01090  1292   NtUserRemoveProp  (655618, 43288, ... ) == 0xffffffff
 01091  1292   NtUserRemoveProp  (655618, 43282, ... ) == 0x0
 01092  1292   NtUserRemoveProp  (655618, 43287, ... ) == 0x0
 01078  1292   NtUserDestroyWindow  ... ) == 0x1
 01093  1292   NtUserUnregisterClass  (1244476, 2001600512, 1244464, ... ) == 0x1
 01094  1292   NtUserModifyUserStartupInfoFlags  (1, 0, ... ) == 0x816d4020
 01095  1292   NtUserGetDCEx  (0, 0, 3, ... ) == 0x1010051
 01096  1292   NtUserGetForegroundWindow  (... ) == 0x70104
 01097  1292   NtUserQueryWindow  (459012, 0, ... ) == 0x49c
 01098  1292   NtUserQueryWindow  (459012, 1, ... ) == 0x180
 01099  1292   NtGdiGetTextCharsetInfo  (16842833, 0, 0, ... ) == 0x0
 01100  1292   NtGdiCreateRectRgn  (0, 0, 1, 1, ... ) == 0x6e0406ed
 01101  1292   NtGdiGetRandomRgn  (16842833, 1845757677, 1, ... ) == 0x0
 01102  1292   NtGdiIntersectClipRect  (16842833, 0, 0, 565, 738, ... ) == 0x3
 01103  1292   NtGdiExtSelectClipRgn  (16842833, 0, 5, ... ) == 0x2
 01104  1292   NtGdiGetTextCharsetInfo  (16842833, 0, 0, ... ) == 0x0
 01105  1292   NtGdiGetRandomRgn  (16842833, 1862534893, 1, ... ) == 0x0
 01106  1292   NtGdiIntersectClipRect  (16842833, 0, 0, 355, 738, ... ) == 0x3
 01107  1292   NtGdiExtSelectClipRgn  (16842833, 0, 5, ... ) == 0x2
 01108  1292   NtUserCallOneParam  (16842833, 57, ... ) == 0x1
 01109  1292   NtUserFindExistingCursorIcon  (1243164, 1243180, 1243228, ... ) == 0x10011
 01110  1292   NtUserSetCursor  (65553, ... ) == 0x10015
 01111  1292   NtUserCallOneParam  (1, 50, ... ) == 0x1
 01112  1292   NtUserFindExistingCursorIcon  (1243116, 1243132, 1243180, ... ) == 0x10015
 01113  1292   NtUserSetCursor  (65557, ... ) == 0x10011
 01114  1292   NtGdiCreateCompatibleDC  (0, ... ) == 0x3c01056c
 01115  1292   NtGdiExtGetObjectW  (50987262, 92, 1243404, ... ) == 0x5c
 01116  1292   NtGdiHfontCreate  (1242876, 356, 0, 0, 1395760, ... ) == 0x9d0a066e
 01117  1292   NtGdiGetTextMetricsW  (1006699884, 1243400, 68, ... ) == 0x1
 01118  1292   NtGdiGetWidthTable  (1006699884, 52, 1423984, 308, 1424600, 1423352, 1423368, ... ) == 0x1
 01119  1292   NtGdiDeleteObjectApp  (1006699884, ... ) == 0x1
 01120  1292   NtUserGetForegroundWindow  (... ) == 0x70104
 01121  1292   NtUserQueryWindow  (459012, 0, ... ) == 0x49c
 01122  1292   NtUserQueryWindow  (459012, 1, ... ) == 0x180
 01123  1292   NtUserGetAtomName  (32770, 1242376, ... ) == 0x6
 01124  1292   NtUserCreateWindowEx  (65793, 32770, 32770,  (65793, 32770, 32770, "NSIS Error", -2134375995, 300, 306, 431, 185, 0, 0, 2118189056, 0, 1073742848, 0, ... , -2134375995, 300, 306, 431, 185, 0, 0, 2118189056, 0, 1073742848, 0, ...
 01125  1292   NtUserSetWindowsHookEx  (1953628160, 1241368, 1292, 2, 1953694283, 2, ... ) == 0x19022f
 01126  1292   NtUserSetWindowsHookEx  (1953628160, 1241368, 1292, 7, 1953693577, 2, ... ) == 0x701df
 01127  1292   NtUserSetWindowFNID  (721154, 676, ... ) == 0x1
 01128  1292   NtUserCallHwndParam  (721154, 1419732, 79, ... ) == 0x15a9d4
 01129  1292   NtUserMessageCall  (0xb0102, WM_NCCREATE, 0x0, 0x12f4b4, 0, 670, 0, ... ) == 0x1
 01130  1292   NtUserSetWindowFNID  (590100, 681, ... ) == 0x1
 01131  1292   NtUserSetWindowLong  (590100, 0, 1424216, 0, ... ) == 0x0
 01132  1292   NtOpenKey  (0x2000000, {24, 32, 0x40, 0, 0,  (0x2000000, {24, 32, 0x40, 0, 0, "Software\Microsoft\Windows NT\CurrentVersion\IMM"}, ... 108, ) }, ... 108, ) == 0x0
 01133  1292   NtQueryValueKey  (108,  (108, "Ime File", Partial, 144, ... TitleIdx=0, Type=1, Data="m\0s\0c\0t\0f\0i\0m\0e\0.\0i\0m\0e\0\0\0"}, 38, ) , Partial, 144, ... TitleIdx=0, Type=1, Data= (108, "Ime File", Partial, 144, ... TitleIdx=0, Type=1, Data="m\0s\0c\0t\0f\0i\0m\0e\0.\0i\0m\0e\0\0\0"}, 38, ) }, 38, ) == 0x0
 01134  1292   NtClose  (108, ... ) == 0x0
 01135  1292   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 01136  1292   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 01137  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 1238644, ... ) }, 1238644, ... ) == 0x0
 01138  1292   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 5, 96, ... 108, {status=0x0, info=1}, ) }, 5, 96, ... 108, {status=0x0, info=1}, ) == 0x0
 01139  1292   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 108, ... 112, ) == 0x0
 01140  1292   NtClose  (108, ... ) == 0x0
 01141  1292   NtMapViewOfSection  (112, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x970000), 0x0, 180224, ) == 0x0
 01142  1292   NtClose  (112, ... ) == 0x0
 01143  1292   NtUnmapViewOfSection  (-1, 0x970000, ... ) == 0x0
 01144  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 1238240, ... ) }, 1238240, ... ) == 0x0
 01145  1292   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 1238984,  (0x80100080, {24, 0, 0x40, 0, 1238984, "\??\C:\WINDOWS\system32\msctfime.ime"}, 0x0, 0, 5, 1, 96, 0, 0, ... 112, {status=0x0, info=1}, ) }, 0x0, 0, 5, 1, 96, 0, 0, ... 112, {status=0x0, info=1}, ) == 0x0
 01146  1292   NtCreateSection  (0xf0005, 0x0, 0x0, 2, 134217728, 112, ... 108, ) == 0x0
 01147  1292   NtClose  (112, ... ) == 0x0
 01148  1292   NtMapViewOfSection  (108, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 2, ... (0x970000), {0, 0}, 180224, ) == 0x0
 01149  1292   NtClose  (108, ... ) == 0x0
 01150  1292   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 01151  1292   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 01152  1292   NtQueryDefaultLocale  (1, 1239604, ... ) == 0x0
 01153  1292   NtQueryVirtualMemory  (-1, 0x970000, Basic, 28, ... {BaseAddress=0x970000,AllocationBase=0x970000,AllocationProtect=0x2,RegionSize=0x2c000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 01154  1292   NtQueryVirtualMemory  (-1, 0x970000, Basic, 28, ... {BaseAddress=0x970000,AllocationBase=0x970000,AllocationProtect=0x2,RegionSize=0x2c000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 01155  1292   NtUnmapViewOfSection  (-1, 0x970000, ... ) == 0x0
 01156  1292   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 01157  1292   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 01158  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 1238636, ... ) }, 1238636, ... ) == 0x0
 01159  1292   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 5, 96, ... 108, {status=0x0, info=1}, ) }, 5, 96, ... 108, {status=0x0, info=1}, ) == 0x0
 01160  1292   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 108, ... 112, ) == 0x0
 01161  1292   NtClose  (108, ... ) == 0x0
 01162  1292   NtMapViewOfSection  (112, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x970000), 0x0, 180224, ) == 0x0
 01163  1292   NtClose  (112, ... ) == 0x0
 01164  1292   NtUnmapViewOfSection  (-1, 0x970000, ... ) == 0x0
 01165  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 1238232, ... ) }, 1238232, ... ) == 0x0
 01166  1292   NtCreateFile  (0x80100080, {24, 0, 0x40, 0, 1238976,  (0x80100080, {24, 0, 0x40, 0, 1238976, "\??\C:\WINDOWS\system32\msctfime.ime"}, 0x0, 0, 5, 1, 96, 0, 0, ... 112, {status=0x0, info=1}, ) }, 0x0, 0, 5, 1, 96, 0, 0, ... 112, {status=0x0, info=1}, ) == 0x0
 01167  1292   NtCreateSection  (0xf0005, 0x0, 0x0, 2, 134217728, 112, ... 108, ) == 0x0
 01168  1292   NtClose  (112, ... ) == 0x0
 01169  1292   NtMapViewOfSection  (108, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 2, ... (0x970000), {0, 0}, 180224, ) == 0x0
 01170  1292   NtClose  (108, ... ) == 0x0
 01171  1292   NtQueryInformationProcess  (-1, DefaultHardErrorMode, 4, ... {process info, class 12, size 4}, 0x0, ) == 0x0
 01172  1292   NtSetInformationProcess  (-1, DefaultHardErrorMode, {process info, class 12, size 4}, 4, ... ) == 0x0
 01173  1292   NtQueryDefaultLocale  (1, 1239596, ... ) == 0x0
 01174  1292   NtQueryVirtualMemory  (-1, 0x970000, Basic, 28, ... {BaseAddress=0x970000,AllocationBase=0x970000,AllocationProtect=0x2,RegionSize=0x2c000,State=0x1000,Protect=0x2,Type=0x40000,}, 0x0, ) == 0x0
 01175  1292   NtUnmapViewOfSection  (-1, 0x970000, ... ) == 0x0
 01176  1292   NtOpenMutant  (0x120001, {24, 48, 0x0, 0, 0,  (0x120001, {24, 48, 0x0, 0, 0, "ShimCacheMutex"}, ... 108, ) }, ... 108, ) == 0x0
 01177  1292   NtWaitForSingleObject  (108, 0, {-1000000, -1}, ... ) == 0x0
 01178  1292   NtOpenSection  (0x2, {24, 48, 0x0, 0, 0,  (0x2, {24, 48, 0x0, 0, 0, "ShimSharedMemory"}, ... 112, ) }, ... 112, ) == 0x0
 01179  1292   NtMapViewOfSection  (112, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 4, ... (0x3f0000), {0, 0}, 57344, ) == 0x0
 01180  1292   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 01181  1292   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 116, ) == 0x0
 01182  1292   NtQueryInformationToken  (116, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 01183  1292   NtClose  (116, ... ) == 0x0
 01184  1292   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01185  1292   NtReleaseMutant  (108, ... 0x0, ) == 0x0
 01186  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 1238616, ... ) }, 1238616, ... ) == 0x0
 01187  1292   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 5, 96, ... 116, {status=0x0, info=1}, ) }, 5, 96, ... 116, {status=0x0, info=1}, ) == 0x0
 01188  1292   NtCreateSection  (0xe, 0x0, 0x0, 16, 134217728, 116, ... 120, ) == 0x0
 01189  1292   NtClose  (116, ... ) == 0x0
 01190  1292   NtMapViewOfSection  (120, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 16, ... (0x970000), 0x0, 180224, ) == 0x0
 01191  1292   NtClose  (120, ... ) == 0x0
 01192  1292   NtUnmapViewOfSection  (-1, 0x970000, ... ) == 0x0
 01193  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 1238924, ... ) }, 1238924, ... ) == 0x0
 01194  1292   NtOpenFile  (0x100020, {24, 0, 0x40, 0, 0,  (0x100020, {24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 5, 96, ... 120, {status=0x0, info=1}, ) }, 5, 96, ... 120, {status=0x0, info=1}, ) == 0x0
 01195  1292   NtCreateSection  (0xf, 0x0, 0x0, 16, 16777216, 120, ... 116, ) == 0x0
 01196  1292   NtQuerySection  (116, Image, 48, ... {section info, class 1, size 48}, 0x0, ) == 0x0
 01197  1292   NtClose  (120, ... ) == 0x0
 01198  1292   NtMapViewOfSection  (116, -1, (0x0), 0, 0, 0x0, 0, 1, 0, 4, ... (0x755c0000), 0x0, 188416, ) == 0x0
 01199  1292   NtClose  (116, ... ) == 0x0
 01200  1292   NtProtectVirtualMemory  (-1, (0x755c1000), 860, 4, ... (0x755c1000), 4096, 32, ) == 0x0
 01201  1292   NtProtectVirtualMemory  (-1, (0x755c1000), 4096, 32, ... (0x755c1000), 4096, 4, ) == 0x0
 01202  1292   NtFlushInstructionCache  (-1, 1968967680, 860, ... ) == 0x0
 01203  1292   NtProtectVirtualMemory  (-1, (0x755c1000), 860, 4, ... (0x755c1000), 4096, 32, ) == 0x0
 01204  1292   NtProtectVirtualMemory  (-1, (0x755c1000), 4096, 32, ... (0x755c1000), 4096, 4, ) == 0x0
 01205  1292   NtFlushInstructionCache  (-1, 1968967680, 860, ... ) == 0x0
 01206  1292   NtProtectVirtualMemory  (-1, (0x755c1000), 860, 4, ... (0x755c1000), 4096, 32, ) == 0x0
 01207  1292   NtProtectVirtualMemory  (-1, (0x755c1000), 4096, 32, ... (0x755c1000), 4096, 4, ) == 0x0
 01208  1292   NtFlushInstructionCache  (-1, 1968967680, 860, ... ) == 0x0
 01209  1292   NtProtectVirtualMemory  (-1, (0x755c1000), 860, 4, ... (0x755c1000), 4096, 32, ) == 0x0
 01210  1292   NtProtectVirtualMemory  (-1, (0x755c1000), 4096, 32, ... (0x755c1000), 4096, 4, ) == 0x0
 01211  1292   NtFlushInstructionCache  (-1, 1968967680, 860, ... ) == 0x0
 01212  1292   NtProtectVirtualMemory  (-1, (0x755c1000), 860, 4, ... (0x755c1000), 4096, 32, ) == 0x0
 01213  1292   NtProtectVirtualMemory  (-1, (0x755c1000), 4096, 32, ... (0x755c1000), 4096, 4, ) == 0x0
 01214  1292   NtFlushInstructionCache  (-1, 1968967680, 860, ... ) == 0x0
 01215  1292   NtProtectVirtualMemory  (-1, (0x755c1000), 860, 4, ... (0x755c1000), 4096, 32, ) == 0x0
 01216  1292   NtProtectVirtualMemory  (-1, (0x755c1000), 4096, 32, ... (0x755c1000), 4096, 4, ) == 0x0
 01217  1292   NtFlushInstructionCache  (-1, 1968967680, 860, ... ) == 0x0
 01218  1292   NtOpenKey  (0x80000000, {24, 0, 0x40, 0, 0,  (0x80000000, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msctfime.ime"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01219  1292   NtUserGetDC  (0, ... ) == 0x1010051
 01220  1292   NtUserSystemParametersInfo  (66, 12, 1239112, 0, ... ) == 0x1
 01221  1292   NtUserCallOneParam  (16842833, 57, ... ) == 0x1
 01222  1292   NtGdiCreateCompatibleDC  (0, ... ) == 0x3d01056c
 01223  1292   NtGdiCreateCompatibleDC  (0, ... ) == 0xc70104aa
 01224  1292   NtGdiCreateCompatibleDC  (0, ... ) == 0x9b010551
 01225  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\ole32.dll"}, 1236444, ... ) }, 1236444, ... ) == 0x0
 01226  1292   NtUserFindExistingCursorIcon  (1238384, 1238400, 1238448, ... ) == 0x10003
 01227  1292   NtUserFindExistingCursorIcon  (1238384, 1238400, 1238448, ... ) == 0x10011
 01228  1292   NtGdiGetStockObject  (5, ... ) == 0x1900015
 01229  1292   NtUserGetClassInfo  (1968963584, 1238516, 1239080, 1238512, 0, ... ) == 0x0
 01230  1292   NtUserRegisterClassExWOW  (1238400, 1238468, 1238484, 1238500, 0, 384, 0, ... ) == 0x816dc079
 01231  1292   NtUserFindExistingCursorIcon  (1238384, 1238400, 1238448, ... ) == 0x10013
 01232  1292   NtUserGetClassInfo  (1968963584, 1238516, 1239080, 1238512, 0, ... ) == 0x0
 01233  1292   NtUserRegisterClassExWOW  (1238400, 1238468, 1238484, 1238500, 0, 384, 0, ... ) == 0x816dc07a
 01234  1292   NtUserRegisterWindowMessage  ( ("MSIMEService", ... ) , ... ) == 0xc07b
 01235  1292   NtUserRegisterWindowMessage  ( ("MSIMEUIReady", ... ) , ... ) == 0xc07c
 01236  1292   NtUserRegisterWindowMessage  ( ("MSIMEReconvertRequest", ... ) , ... ) == 0xc07d
 01237  1292   NtUserRegisterWindowMessage  ( ("MSIMEReconvert", ... ) , ... ) == 0xc07e
 01238  1292   NtUserRegisterWindowMessage  ( ("MSIMEDocumentFeed", ... ) , ... ) == 0xc07f
 01239  1292   NtUserRegisterWindowMessage  ( ("MSIMEQueryPosition", ... ) , ... ) == 0xc080
 01240  1292   NtUserRegisterWindowMessage  ( ("MSIMEModeBias", ... ) , ... ) == 0xc081
 01241  1292   NtUserRegisterWindowMessage  ( ("MSIMEShowImePad", ... ) , ... ) == 0xc082
 01242  1292   NtUserRegisterWindowMessage  ( ("MSIMEMouseOperation", ... ) , ... ) == 0xc083
 01243  1292   NtUserRegisterWindowMessage  ( ("MSIMEKeyMap", ... ) , ... ) == 0xc084
 01244  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\ntdll.dll"}, 1239276, ... ) }, 1239276, ... ) == 0x0
 01245  1292   NtUserMessageCall  (0x90114, WM_NCCREATE, 0x0, 0x12f498, 0, 670, 0, ... ) == 0x1
 01246  1292   NtUserMessageCall  (0x90114, WM_NCCALCSIZE, 0x0, 0x12f4dc, 0, 670, 0, ... ) == 0x0
 01247  1292   NtUserSetProp  (590100, 43288, -1, ... ) == 0x1
 01248  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01249  1292   NtUserValidateHandleSecure  (721527, ... ) == 0x1
 01250  1292   NtUserValidateHandleSecure  (721527, ... ) == 0x1
 01251  1292   NtUserUpdateInputContext  (721527, 1, 590100, ... ) == 0x1
 01252  1292   NtOpenKey  (0x2000000, {24, 96, 0x40, 0, 0,  (0x2000000, {24, 96, 0x40, 0, 0, "SOFTWARE\Microsoft\CTF"}, ... 116, ) }, ... 116, ) == 0x0
 01253  1292   NtQueryValueKey  (116,  (116, "Disable Thread Input Manager", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01254  1292   NtClose  (116, ... ) == 0x0
 01255  1292   NtOpenThreadToken  (-2, 0x8, 0, ... ) == STATUS_NO_TOKEN
 01256  1292   NtOpenProcessToken  (-1, 0xa, ... 116, ) == 0x0
 01257  1292   NtDuplicateToken  (116, 0xc, {24, 0, 0x0, 0, 1241108, 0x0}, 0, 2, ... 120, ) == 0x0
 01258  1292   NtClose  (116, ... ) == 0x0
 01259  1292   NtAccessCheck  (1403216, 120, 0x1, 1241184, 1241236, 56, 1241216, ... (0x1), ) == 0x0
 01260  1292   NtClose  (120, ... ) == 0x0
 01261  1292   NtOpenKey  (0x2000000, {24, 32, 0x40, 0, 0,  (0x2000000, {24, 32, 0x40, 0, 0, "Software\Microsoft\CTF\SystemShared"}, ... 120, ) }, ... 120, ) == 0x0
 01262  1292   NtQueryValueKey  (120,  (120, "CUAS", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) , Partial, 144, ... TitleIdx=0, Type=4, Data= (120, "CUAS", Partial, 144, ... TitleIdx=0, Type=4, Data="\0\0\0\0"}, 16, ) }, 16, ) == 0x0
 01263  1292   NtClose  (120, ... ) == 0x0
 01264  1292   NtUserGetImeInfoEx  (1241000, 0, ... ) == 0x1
 01265  1292   NtWaitForSingleObject  (108, 0, {-1000000, -1}, ... ) == 0x0
 01266  1292   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 01267  1292   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... 120, ) == 0x0
 01268  1292   NtQueryInformationToken  (120, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 01269  1292   NtClose  (120, ... ) == 0x0
 01270  1292   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01271  1292   NtReleaseMutant  (108, ... 0x0, ) == 0x0
 01272  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\msctfime.ime"}, 1238032, ... ) }, 1238032, ... ) == 0x0
 01273  1292   NtUserGetThreadState  (16, ... ) == 0x0
 01274  1292   NtOpenThreadToken  (-2, 0x8, 0, ... ) == STATUS_NO_TOKEN
 01275  1292   NtOpenProcessToken  (-1, 0xa, ... 120, ) == 0x0
 01276  1292   NtDuplicateToken  (120, 0xc, {24, 0, 0x0, 0, 1240032, 0x0}, 0, 2, ... 116, ) == 0x0
 01277  1292   NtClose  (120, ... ) == 0x0
 01278  1292   NtAccessCheck  (1403216, 116, 0x1, 1240108, 1240160, 56, 1240140, ... (0x1), ) == 0x0
 01279  1292   NtClose  (116, ... ) == 0x0
 01280  1292   NtUserGetClassInfo  (1968963584, 1239752, 1239696, 1239744, 0, ... ) == 0xc079
 01281  1292   NtUserMessageCall  (0xb0102, WM_NCCALCSIZE, 0x0, 0x12f4dc, 0, 670, 0, ... ) == 0x0
 01282  1292   NtUserGetClassName  (721154, 0, 1241488, ... ) == 0x6
 01283  1292   NtUserRemoveProp  (721154, 43282, ... ) == 0x0
 01284  1292   NtRequestWaitReplyPort  (24, {24, 52, new_msg, 0, 29840, 2089866642, 2118298660, 2}  (24, {24, 52, new_msg, 0, 29840, 2089866642, 2118298660, 2} "\0\0\0\0\5\4\3\0M\0i\0c\0r\0\14\5\0\0\30\360\22\0" ... {24, 52, reply, 0, 1756, 1292, 57977, 0} "\0\0\0\0\5\4\3\0\0\0\0\0c\0r\0\14\5\0\0\0\0\0\0" )  ... {24, 52, reply, 0, 1756, 1292, 57977, 0}  (24, {24, 52, new_msg, 0, 29840, 2089866642, 2118298660, 2} "\0\0\0\0\5\4\3\0M\0i\0c\0r\0\14\5\0\0\30\360\22\0" ... {24, 52, reply, 0, 1756, 1292, 57977, 0} "\0\0\0\0\5\4\3\0\0\0\0\0c\0r\0\14\5\0\0\0\0\0\0" )  ) == 0x0
 01285  1292   NtUserGetThreadDesktop  (1292, 0, ... ) == 0x28
 01286  1292   NtUserGetObjectInformation  (40, 2, 1241172, 520, 0, ... ) == 0x1
 01287  1292   NtGdiDeleteObjectApp  (1913653144, ... ) == 0x1
 01288  1292   NtUserGetWindowDC  (0, ... ) == 0x1010052
 01289  1292   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 01290  1292   NtUserGetWindowDC  (0, ... ) == 0x1010052
 01291  1292   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 01292  1292   NtUserGetWindowDC  (0, ... ) == 0x1010052
 01293  1292   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 01294  1292   NtUserGetWindowDC  (0, ... ) == 0x1010052
 01295  1292   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 01296  1292   NtUserGetWindowDC  (0, ... ) == 0x1010052
 01297  1292   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 01298  1292   NtUserGetWindowDC  (0, ... ) == 0x1010052
 01299  1292   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 01300  1292   NtUserGetWindowDC  (0, ... ) == 0x1010052
 01301  1292   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 01302  1292   NtUserGetWindowDC  (0, ... ) == 0x1010052
 01303  1292   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 01304  1292   NtUserGetWindowDC  (0, ... ) == 0x1010052
 01305  1292   NtGdiCreatePatternBrushInternal  (59048383, 0, 0, ... ) == 0x73100798
 01306  1292   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 01307  1292   NtUserSetProp  (721154, 43288, 3353048, ... ) == 0x1
 01124  1292   NtUserCreateWindowEx  ... ) == 0xb0102
 01308  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01309  1292   NtUserCallHwndLock  (721154, 90, ... ) == 0x1
 01310  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01311  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01312  1292   NtUserGetAtomName  (49175, 1242376, ... ) == 0x6
 01313  1292   NtUserCreateWindowEx  (4, 49175, 1242428,  (4, 49175, 1242428, "OK", 1342373889, 174, 119, 75, 23, 721154, 1, 2118189056, 0, 1073742848, 0, ... , 1342373889, 174, 119, 75, 23, 721154, 1, 2118189056, 0, 1073742848, 0, ...
 01314  1292   NtUserSetWindowLong  (1573108, 0, 1403480, 0, ... ) == 0x0
 01315  1292   NtUserMessageCall  (0x1800f4, WM_NCCREATE, 0x0, 0x12f4b4, 0, 670, 0, ... ) == 0x1
 01316  1292   NtUserMessageCall  (0x1800f4, WM_NCCALCSIZE, 0x0, 0x12f4dc, 0, 670, 0, ... ) == 0x0
 01317  1292   NtUserSetProp  (1573108, 43288, -1, ... ) == 0x1
 01318  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01319  1292   NtUserSetProp  (721154, 43287, 2, ... ) == 0x1
 01320  1292   NtUserRemoveProp  (1573108, 43282, ... ) == 0x0
 01321  1292   NtRequestWaitReplyPort  (24, {24, 52, new_msg, 0, 31, 1524240760, 1524058358, 1524058358}  (24, {24, 52, new_msg, 0, 31, 1524240760, 1524058358, 1524058358} "\0\0\0\0\5\4\3\0\0\0\0\0\30\04\0\14\5\0\0\364\357\22\0" ... {24, 52, reply, 0, 1756, 1292, 57978, 0} "\0\0\0\0\5\4\3\0\0\0\0\0\30\04\0\14\5\0\0\0\0\0\0" )  ... {24, 52, reply, 0, 1756, 1292, 57978, 0}  (24, {24, 52, new_msg, 0, 31, 1524240760, 1524058358, 1524058358} "\0\0\0\0\5\4\3\0\0\0\0\0\30\04\0\14\5\0\0\364\357\22\0" ... {24, 52, reply, 0, 1756, 1292, 57978, 0} "\0\0\0\0\5\4\3\0\0\0\0\0\30\04\0\14\5\0\0\0\0\0\0" )  ) == 0x0
 01322  1292   NtUserGetThreadDesktop  (1292, 0, ... ) == 0x28
 01323  1292   NtUserGetObjectInformation  (40, 2, 1241136, 520, 0, ... ) == 0x1
 01324  1292   NtUserSetProp  (1573108, 43282, 65538, ... ) == 0x1
 01325  1292   NtUserSystemParametersInfo  (41, 500, 1241216, 0, ... ) == 0x1
 01326  1292   NtGdiHfontCreate  (1240780, 356, 0, 0, 1395752, ... ) == 0xa90a06b2
 01327  1292   NtUserGetDC  (1573108, ... ) == 0x1010053
 01328  1292   NtGdiGetTextMetricsW  (16842835, 1241604, 68, ... ) == 0x1
 01329  1292   NtUserCallOneParam  (16842835, 57, ... ) == 0x1
 01330  1292   NtGdiDeleteObjectApp  (-1458960718, ... ) == 0x1
 01331  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01332  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01333  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01334  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01335  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01336  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01337  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01338  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01339  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01340  1292   NtUserMessageCall  (0xb0102, 0x128, 0x30001, 0x0, 0, 670, 0, ...
 01341  1292   NtUserMessageCall  (0x1800f4, 0x128, 0x30001, 0x0, 0, 670, 0, ... ) == 0x0
 01342  1292   NtUserSystemParametersInfo  (8202, 0, 1239880, 0, ... ) == 0x1
 01340  1292   NtUserMessageCall  ... ) == 0x0
 01313  1292   NtUserCreateWindowEx  ... ) == 0x1800f4
 01343  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 01344  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 01345  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 01346  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 01347  1292   NtUserGetAtomName  (49177, 1242376, ... ) == 0x6
 01348  1292   NtUserCreateWindowEx  (4, 49177, 1242428, "1342308355, 11, 11, 0, 0, 721154, 20, 2118189056, 0, 1073742848, 0, ...
 01349  1292   NtUserSetWindowLong  (327932, 0, 1418800, 0, ... ) == 0x0
 01350  1292   NtUserMessageCall  (0x500fc, WM_NCCREATE, 0x0, 0x12f4b4, 0, 670, 0, ... ) == 0x1
 01351  1292   NtUserMessageCall  (0x500fc, WM_NCCALCSIZE, 0x0, 0x12f4dc, 0, 670, 0, ... ) == 0x0
 01352  1292   NtUserSetProp  (327932, 43288, -1, ... ) == 0x1
 01353  1292   NtUserRemoveProp  (327932, 43282, ... ) == 0x0
 01354  1292   NtRequestWaitReplyPort  (24, {24, 52, new_msg, 0, 721154, 295, 196609, 0}  (24, {24, 52, new_msg, 0, 721154, 295, 196609, 0} "\0\0\0\0\5\4\3\0\0\0\0\0T\360\22\0\14\5\0\0(\360\22\0" ... {24, 52, reply, 0, 1756, 1292, 57979, 0} "\0\0\0\0\5\4\3\0\0\0\0\0T\360\22\0\14\5\0\0\0\0\0\0" )  ... {24, 52, reply, 0, 1756, 1292, 57979, 0}  (24, {24, 52, new_msg, 0, 721154, 295, 196609, 0} "\0\0\0\0\5\4\3\0\0\0\0\0T\360\22\0\14\5\0\0(\360\22\0" ... {24, 52, reply, 0, 1756, 1292, 57979, 0} "\0\0\0\0\5\4\3\0\0\0\0\0T\360\22\0\14\5\0\0\0\0\0\0" )  ) == 0x0
 01355  1292   NtUserGetThreadDesktop  (1292, 0, ... ) == 0x28
 01356  1292   NtUserGetObjectInformation  (40, 2, 1241188, 520, 0, ... ) == 0x1
 01357  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01358  1292   NtUserSetProp  (721154, 43287, 2, ... ) == 0x1
 01359  1292   NtUserFindExistingCursorIcon  (1241148, 1241164, 1241212, ... ) == 0x0
 01360  1292   NtUserFindExistingCursorIcon  (1241148, 1241164, 1241212, ... ) == 0x0
 01361  1292   NtUserFindExistingCursorIcon  (1241148, 1241164, 1241212, ... ) == 0x10009
 01362  1292   NtUserGetIconInfo  (65545, 1241628, 0, 0, 0, 0, ... ) == 0x1
 01363  1292   NtGdiExtGetObjectW  (755304161, 24, 1241604, ... ) == 0x18
 01364  1292   NtGdiDeleteObjectApp  (-1442511182, ... ) == 0x1
 01365  1292   NtGdiDeleteObjectApp  (755304161, ... ) == 0x1
 01366  1292   NtUserGetCursorFrameInfo  (65545, 0, 1241788, 1241764, ... ) == 0x10009
 01367  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01368  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01369  1292   NtUserSetWindowPos  (327932, 0, 0, 0, 32, 32, 22, ...
 01370  1292   NtUserMessageCall  (0x500fc, WM_WINDOWPOSCHANGING, 0x0, 0x12f1f8, 0, 670, 0, ... ) == 0x0
 01371  1292   NtUserMessageCall  (0x500fc, WM_NCCALCSIZE, 0x1, 0x12f1cc, 0, 670, 0, ... ) == 0x0
 01372  1292   NtUserValidateHandleSecure  (0, ... ) == 0x0
 01369  1292   NtUserSetWindowPos  ... ) == 0x1
 01348  1292   NtUserCreateWindowEx  ... ) == 0x500fc
 01373  1292   NtUserValidateHandleSecure  (327932, ... ) == 0x1
 01374  1292   NtUserValidateHandleSecure  (327932, ... ) == 0x1
 01375  1292   NtUserValidateHandleSecure  (327932, ... ) == 0x1
 01376  1292   NtUserValidateHandleSecure  (327932, ... ) == 0x1
 01377  1292   NtUserGetAtomName  (49177, 1242376, ... ) == 0x6
 01378  1292   NtUserCreateWindowEx  (4, 49177, 1242428, "The installer you are trying to use is corrupted or incomplete.
 01379  1292   NtUserSetWindowLong  (852250, 0, 1404280, 0, ... ) == 0x0
 01380  1292   NtUserMessageCall  (0xd011a, WM_NCCREATE, 0x0, 0x12f4b4, 0, 670, 0, ... ) == 0x1
 01381  1292   NtUserMessageCall  (0xd011a, WM_NCCALCSIZE, 0x0, 0x12f4dc, 0, 670, 0, ... ) == 0x0
 01382  1292   NtUserSetProp  (852250, 43288, -1, ... ) == 0x1
 01383  1292   NtUserRemoveProp  (852250, 43282, ... ) == 0x0
 01384  1292   NtRequestWaitReplyPort  (24, {24, 52, new_msg, 0, 2118235084, 2118235047, 296, 721154}  (24, {24, 52, new_msg, 0, 2118235084, 2118235047, 296, 721154} "\0\0\0\0\5\4\3\0\274\355\22\0\371\263A~\14\5\0\0\274\355\22\0" ... {24, 52, reply, 0, 1756, 1292, 57980, 0} "\0\0\0\0\5\4\3\0\0\0\0\0\371\263A~\14\5\0\0\0\0\0\0" )  ... {24, 52, reply, 0, 1756, 1292, 57980, 0}  (24, {24, 52, new_msg, 0, 2118235084, 2118235047, 296, 721154} "\0\0\0\0\5\4\3\0\274\355\22\0\371\263A~\14\5\0\0\274\355\22\0" ... {24, 52, reply, 0, 1756, 1292, 57980, 0} "\0\0\0\0\5\4\3\0\0\0\0\0\371\263A~\14\5\0\0\0\0\0\0" )  ) == 0x0
 01385  1292   NtUserGetThreadDesktop  (1292, 0, ... ) == 0x28
 01386  1292   NtUserGetObjectInformation  (40, 2, 1240568, 520, 0, ... ) == 0x1
 01387  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01388  1292   NtUserSetProp  (721154, 43287, 2, ... ) == 0x1
 01378  1292   NtUserCreateWindowEx  ... ) == 0xd011a
 01389  1292   NtUserValidateHandleSecure  (852250, ... ) == 0x1
 01390  1292   NtUserValidateHandleSecure  (852250, ... ) == 0x1
 01391  1292   NtUserValidateHandleSecure  (852250, ... ) == 0x1
 01392  1292   NtUserValidateHandleSecure  (852250, ... ) == 0x1
 01393  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01394  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01395  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01396  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01397  1292   NtUserSetWindowLong  (721154, -21, 1244852, 0, ... ) == 0x0
 01398  1292   NtUserCallHwnd  (721154, 73, ... ) == 0xbc654928
 01399  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01400  1292   NtUserSetFocus  (1573108, ...
 01401  1292   NtUserRegisterClassExWOW  (1242340, 1242436, 1242420, 1242408, 0, 386, 0, ... ) == 0x816dc18d
 01402  1292   NtUserCreateWindowEx  (-2147483648, 1242600, 1241364, 0x0, -2147483648, 0, 0, 0, 0, 0, 0, 1953628160, 0, 1073742848, 0, ...
 01403  1292   NtUserMessageCall  (0x11012c, WM_NCCREATE, 0x0, 0x12f06c, 0, 670, 1, ... ) == 0x1
 01404  1292   NtUserMessageCall  (0x11012c, WM_NCCALCSIZE, 0x0, 0x12f0b4, 0, 670, 1, ... ) == 0x0
 01405  1292   NtUserSetProp  (1114412, 43288, -1, ... ) == 0x1
 01402  1292   NtUserCreateWindowEx  ... ) == 0x11012c
 01406  1292   NtUserDestroyWindow  (1114412, ...
 01407  1292   NtUserValidateHandleSecure  (1114412, ... ) == 0x1
 01408  1292   NtUserValidateHandleSecure  (1114412, ... ) == 0x1
 01409  1292   NtUserGetThreadState  (0, ... ) == 0x0
 01410  1292   NtUserBuildHwndList  (0, 0, 0, 1292, 64, ... (0x11012c, 0xb0102, 0x90114, 0x1, ), 4, ) == 0x0
 01411  1292   NtUserValidateHandleSecure  (1114412, ... ) == 0x1
 01412  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01413  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01414  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01415  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01416  1292   NtUserValidateHandleSecure  (590100, ... ) == 0x1
 01417  1292   NtUserValidateHandleSecure  (590100, ... ) == 0x1
 01418  1292   NtUserValidateHandleSecure  (590100, ... ) == 0x1
 01419  1292   NtUserCallOneParam  (8, 43, ... ) == 0x0
 01420  1292   NtUserBuildHwndList  (0, 0, 0, 1292, 64, ... (0x11012c, 0xb0102, 0x90114, 0x1, ), 4, ) == 0x0
 01421  1292   NtUserValidateHandleSecure  (1114412, ... ) == 0x1
 01422  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01423  1292   NtUserRemoveProp  (1114412, 43288, ... ) == 0xffffffff
 01424  1292   NtUserRemoveProp  (1114412, 43282, ... ) == 0x0
 01425  1292   NtUserRemoveProp  (1114412, 43287, ... ) == 0x0
 01406  1292   NtUserDestroyWindow  ... ) == 0x1
 01426  1292   NtUserPostThreadMessage  (1292, 49313, 17, 1573108, ... ) == 0x1
 01427  1292   NtUserGetForegroundWindow  (... ) == 0x0
 01428  1292   NtUserMessageCall  (0xb0102, WM_NCACTIVATE, 0x1, 0xffffffff, 0, 670, 0, ... ) == 0x1
 01429  1292   NtAllocateVirtualMemory  (-1, 3362816, 0, 4096, 4096, 4, ... 3362816, 4096, ) == 0x0
 01430  1292   NtUserInternalGetWindowText  (0xb0102, 260, ...  (0xb0102, 260, ... "NSIS Error", ) , ) == 0xa
 01431  1292   NtUserGetWindowDC  (721154, ... ) == 0x1010050
 01432  1292   NtGdiGetTextMetricsW  (16842832, 1241384, 68, ... ) == 0x1
 01433  1292   NtGdiGetRandomRgn  (16842832, 1879312109, 1, ... ) == 0x0
 01434  1292   NtGdiIntersectClipRect  (16842832, 0, 0, 0, 0, ... ) == 0x3
 01435  1292   NtGdiGetWidthTable  (16842832, 10, 1404704, 266, 1405236, 1403648, 1403664, ... ) == 0x1
 01436  1292   NtGdiExtSelectClipRgn  (16842832, 0, 5, ... ) == 0x1
 01437  1292   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 01438  1292   NtUserCalcMenuBar  (721154, 3, 3, 29, 3353232, ... ) == 0x0
 01439  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x2, 0x0, 1241344, 690, 0, ...
 01440  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x2, 0x0, 0, 670, 0, ... ) == 0x0
 01439  1292   NtUserMessageCall  ... ) == 0x0
 01441  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x0, 0x0, 1241344, 690, 0, ...
 01442  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x0, 0x0, 0, 670, 0, ... ) == 0x0
 01441  1292   NtUserMessageCall  ... ) == 0x0
 01443  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x1, 0x0, 1241344, 690, 0, ...
 01444  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x1, 0x0, 0, 670, 0, ... ) == 0x0
 01443  1292   NtUserMessageCall  ... ) == 0x0
 01445  1292   NtUserGetTitleBarInfo  (721154, 1241976, ... ) == 0x1
 01446  1292   NtUserGetDCEx  (721154, 0, 66561, ... ) == 0x1010053
 01447  1292   NtGdiExcludeClipRect  (16842835, 3, 29, 428, 182, ... ) == 0x3
 01448  1292   NtGdiDrawStream  (16842835, 96, 1241460, ... ) == 0x1
 01449  1292   NtGdiDrawStream  (16842835, 96, 1241460, ... ) == 0x1
 01450  1292   NtGdiDrawStream  (16842835, 96, 1241460, ... ) == 0x1
 01451  1292   NtGdiCreateCompatibleBitmap  (16842835, 431, 29, ... ) == 0x130505d6
 01452  1292   NtGdiCreateCompatibleDC  (16842835, ... ) == 0x2e0106e1
 01453  1292   NtGdiSelectBitmap  (771819233, 319096278, ... ) == 0x185000f
 01454  1292   NtGdiDrawStream  (771819233, 96, 1241352, ... ) == 0x1
 01455  1292   NtGdiDrawStream  (771819233, 96, 1241308, ... ) == 0x1
 01456  1292   NtGdiDrawStream  (771819233, 96, 1241308, ... ) == 0x1
 01457  1292   NtUserInternalGetWindowText  (0xb0102, 260, ...  (0xb0102, 260, ... "NSIS Error", ) , ) == 0xa
 01458  1292   NtGdiGetRandomRgn  (771819233, 1896089325, 1, ... ) == 0x0
 01459  1292   NtGdiIntersectClipRect  (771819233, 8, 8, 403, 25, ... ) == 0x3
 01460  1292   NtGdiExtSelectClipRgn  (771819233, 0, 5, ... ) == 0x2
 01461  1292   NtGdiGetRandomRgn  (771819233, 1912866541, 1, ... ) == 0x0
 01462  1292   NtGdiIntersectClipRect  (771819233, 7, 7, 402, 25, ... ) == 0x3
 01463  1292   NtGdiExtSelectClipRgn  (771819233, 0, 5, ... ) == 0x2
 01464  1292   NtGdiBitBlt  (16842835, 0, 0, 431, 29, 771819233, 0, 0, 13369376, -1, 0, ... ) == 0x1
 01465  1292   NtGdiSelectBitmap  (771819233, 25493519, ... ) == 0x130505d6
 01466  1292   NtGdiDeleteObjectApp  (771819233, ... ) == 0x1
 01467  1292   NtGdiDeleteObjectApp  (319096278, ... ) == 0x1
 01468  1292   NtUserCallOneParam  (16842835, 57, ... ) == 0x1
 01469  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 01470  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 01471  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 01472  1292   NtUserQueryWindow  (1573108, 8, ... ) == 0xb0277
 01473  1292   NtUserValidateHandleSecure  (721527, ... ) == 0x1
 01474  1292   NtUserGetThreadState  (13, ... ) == 0x0
 01475  1292   NtUserUpdateInputContext  (721527, 0, 1418848, ... ) == 0x1
 01476  1292   NtUserValidateHandleSecure  (721527, ... ) == 0x1
 01477  1292   NtUserQueryInputContext  (721527, 1, ... ) == 0x50c
 01478  1292   NtUserCallOneParam  (0, 40, ... ) == 0x4090409
 01479  1292   NtUserQueryInputContext  (721527, 2, ... ) == 0x90114
 01480  1292   NtAllocateVirtualMemory  (-1, 0, 0, 524280, 8192, 4, ... 9895936, 524288, ) == 0x0
 01481  1292   NtAllocateVirtualMemory  (-1, 9895936, 0, 4096, 4096, 4, ... 9895936, 4096, ) == 0x0
 01482  1292   NtUserCallOneParam  (1292, 40, ... ) == 0x4090409
 01483  1292   NtUserValidateHandleSecure  (721527, ... ) == 0x1
 01484  1292   NtUserValidateHandleSecure  (721527, ... ) == 0x1
 01485  1292   NtUserValidateHandleSecure  (721527, ... ) == 0x1
 01486  1292   NtUserGetDC  (0, ... ) == 0x1010051
 01487  1292   NtGdiGetDCObject  (16842833, 655360, ... ) == 0x18a0021
 01488  1292   NtGdiExtGetObjectW  (25821217, 92, 1241836, ... ) == 0x5c
 01489  1292   NtUserCallOneParam  (16842833, 57, ... ) == 0x1
 01490  1292   NtUserValidateHandleSecure  (721527, ... ) == 0x1
 01491  1292   NtUserValidateHandleSecure  (721527, ... ) == 0x1
 01492  1292   NtUserValidateHandleSecure  (721527, ... ) == 0x1
 01493  1292   NtUserValidateHandleSecure  (721527, ... ) == 0x1
 01494  1292   NtUserCallOneParam  (0, 40, ... ) == 0x4090409
 01495  1292   NtUserCallOneParam  (0, 40, ... ) == 0x4090409
 01496  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 01497  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 01498  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 01499  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 01500  1292   NtUserQueryWindow  (1573108, 7, ... ) == 0x90114
 01501  1292   NtUserGetImeInfoEx  (1240780, 0, ... ) == 0x1
 01502  1292   NtUserGetClassInfo  (1968963584, 1240164, 1240108, 1240156, 0, ... ) == 0xc079
 01503  1292   NtUserCreateWindowEx  (0, 1240560, 1239324,  (0, 1240560, 1239324, "MSCTFIME UI", -2013265920, 0, 0, 0, 0, 590100, 0, 1968963584, 0, 1073742848, 0, ... , -2013265920, 0, 0, 0, 0, 590100, 0, 1968963584, 0, 1073742848, 0, ...
 01504  1292   NtUserGetIconSize  (65539, 0, 1238084, 1238088, ... ) == 0x1
 01505  1292   NtUserGetIconInfo  (65539, 1238060, 1238052, 1238044, 1238080, 1, ... ) == 0x1
 01506  1292   NtUserFindExistingCursorIcon  (1237824, 1237840, 1238016, ... ) == 0x10003
 01507  1292   NtGdiExtGetObjectW  (335873494, 24, 1237824, ... ) == 0x18
 01508  1292   NtGdiGetDIBitsInternal  (-301922896, 335873494, 0, 64, 1407520, 1407472, 0, 256, 0, ... ) == 0x40
 01509  1292   NtUserGetDC  (0, ... ) == 0x1010051
 01510  1292   NtGdiCreateDIBitmapInternal  (16842833, 16, 32, 2, 0, 2118583256, 0, 48, 0, 0, 0, ... ) == 0xa20507d3
 01511  1292   NtUserCallOneParam  (16842833, 57, ... ) == 0x1
 01512  1292   NtGdiSelectBitmap  (-301922896, -1576728621, ... ) == 0x185000f
 01513  1292   NtGdiDoPalette  (-301922896, 0, 1, 1237684, 4, 0, ... ) == 0x1
 01514  1292   NtGdiStretchDIBitsInternal  (-301922896, 0, 0, 16, 32, 0, 0, 32, 64, 1407520, 1405232, 0, 13369376, 48, 256, 0, ... ) == 0x40
 01515  1292   NtGdiSelectBitmap  (-301922896, 25493519, ... ) == 0xa20507d3
 01516  1292   NtGdiCreateCompatibleDC  (-301922896, ... ) == 0x440106b3
 01517  1292   NtGdiExtGetObjectW  (-1576728621, 24, 1237708, ... ) == 0x18
 01518  1292   NtGdiCreateBitmap  (16, 32, 1, 1, 0, ... ) == 0x260504d9
 01519  1292   NtGdiSelectBitmap  (-301922896, -1576728621, ... ) == 0x185000f
 01520  1292   NtGdiSelectBitmap  (1140917939, 637863129, ... ) == 0x185000f
 01521  1292   NtGdiBitBlt  (1140917939, 0, 0, 16, 32, -301922896, 0, 0, 13369376, -1, 0, ... ) == 0x1
 01522  1292   NtGdiSelectBitmap  (-301922896, 25493519, ... ) == 0xa20507d3
 01523  1292   NtGdiSelectBitmap  (1140917939, 25493519, ... ) == 0x260504d9
 01524  1292   NtGdiDeleteObjectApp  (-1576728621, ... ) == 0x1
 01525  1292   NtGdiDeleteObjectApp  (1140917939, ... ) == 0x1
 01526  1292   NtGdiExtGetObjectW  (-1425733966, 24, 1237824, ... ) == 0x18
 01527  1292   NtGdiGetDIBitsInternal  (-301922896, -1425733966, 0, 32, 1407836, 1407784, 0, 4096, 0, ... ) == 0x20
 01528  1292   NtUserGetDC  (0, ... ) == 0x1010051
 01529  1292   NtGdiCreateCompatibleBitmap  (16842833, 16, 16, ... ) == 0x460506b3
 01530  1292   NtUserCallOneParam  (16842833, 57, ... ) == 0x1
 01531  1292   NtGdiSelectBitmap  (-301922896, 1174734515, ... ) == 0x185000f
 01532  1292   NtGdiDoPalette  (-301922896, 0, 1, 1237684, 4, 0, ... ) == 0x0
 01533  1292   NtGdiStretchDIBitsInternal  (-301922896, 0, 0, 16, 16, 0, 0, 32, 32, 1407836, 1405232, 0, 13369376, 40, 4096, 0, ... ) == 0x20
 01534  1292   NtGdiSelectBitmap  (-301922896, 25493519, ... ) == 0x460506b3
 01535  1292   NtGdiDeleteObjectApp  (335873494, ... ) == 0x1
 01536  1292   NtGdiDeleteObjectApp  (-1425733966, ... ) == 0x1
 01537  1292   NtUserCallOneParam  (0, 33, ... ) == 0x4500e5
 01538  1292   NtUserSetCursorIconData  (4522213, 1237868, 1237884, 1237928, ... ) == 0x1
 01539  1292   NtUserMessageCall  (0x12012c, WM_NCCREATE, 0x0, 0x12e894, 0, 670, 1, ... ) == 0x1
 01540  1292   NtUserMessageCall  (0x12012c, WM_NCCALCSIZE, 0x0, 0x12e8bc, 0, 670, 1, ... ) == 0x0
 01541  1292   NtUserSetProp  (1179948, 43288, -1, ... ) == 0x1
 01542  1292   NtUserSetWindowLong  (1179948, 4, 1403192, 1, ... ) == 0x0
 01503  1292   NtUserCreateWindowEx  ... ) == 0x12012c
 01543  1292   NtUserSetWindowLong  (1179948, 0, 721527, 0, ... ) == 0x0
 01544  1292   NtUserGetThreadState  (17, ... ) == 0x0
 01545  1292   NtUserQueryWindow  (590100, 3, ... ) == 0x1800f4
 01546  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 01547  1292   NtUserValidateHandleSecure  (721527, ... ) == 0x1
 01548  1292   NtUserUpdateInputContext  (721527, 1, 0, ... ) == 0x1
 01549  1292   NtUserValidateHandleSecure  (1179948, ... ) == 0x1
 01550  1292   NtUserSetWindowLong  (1179948, 0, 0, 0, ... ) == 0xb0277
 01551  1292   NtUserSetImeOwnerWindow  (590100, 0, ... ) == 0x1
 01552  1292   NtUserValidateHandleSecure  (1179948, ... ) == 0x1
 01553  1292   NtUserValidateHandleSecure  (1179948, ... ) == 0x1
 01554  1292   NtUserValidateHandleSecure  (1179948, ... ) == 0x1
 01555  1292   NtUserKillTimer  (1179948, 1, ... ) == 0x0
 01556  1292   NtUserSetTimer  (1179948, 1, 300, 0, ... ) == 0x1
 01557  1292   NtUserCallNoParam  (7, ... ) == 0x1
 01558  1292   NtUserQueryWindow  (590100, 3, ... ) == 0x1800f4
 01559  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 01560  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 01561  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 01562  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 01563  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 01564  1292   NtUserQueryWindow  (1573108, 7, ... ) == 0x90114
 01565  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 01566  1292   NtUserValidateHandleSecure  (1179948, ... ) == 0x1
 01567  1292   NtUserValidateHandleSecure  (1179948, ... ) == 0x1
 01568  1292   NtUserCallHwndLock  (590100, 86, ... ) == 0x1
 01569  1292   NtUserNotifyIMEStatus  (1573108, 0, 0, ...
 01570  1292   NtUserGetForegroundWindow  (... ) == 0xb0102
 01571  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01572  1292   NtUserCallOneParam  (0, 40, ... ) == 0x4090409
 01569  1292   NtUserNotifyIMEStatus  ... ) == 0x816d4020
 01573  1292   NtUserInvalidateRect  (1573108, 0, 0, ... ) == 0x1
 01400  1292   NtUserSetFocus  ... ) == 0x0
 01574  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01575  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 01576  1292   NtUserSetWindowLong  (1573108, -12, 2, 0, ... ) == 0x1
 01577  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01578  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01579  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01580  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01581  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01582  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01583  1292   NtUserGetClassName  (1573108, 0, 1242868, ... ) == 0x6
 01584  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 01585  1292   NtUserGetClassName  (327932, 0, 1242868, ... ) == 0x6
 01586  1292   NtUserValidateHandleSecure  (327932, ... ) == 0x1
 01587  1292   NtUserGetClassName  (852250, 0, 1242868, ... ) == 0x6
 01588  1292   NtUserValidateHandleSecure  (852250, ... ) == 0x1
 01589  1292   NtUserGetAncestor  (721154, 1, ... ) == 0x10014
 01590  1292   NtUserValidateHandleSecure  (65556, ... ) == 0x1
 01591  1292   NtUserSetWindowPos  (721154, 0, 300, 306, 431, 185, 1047, ... ) == 0x1
 01592  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01593  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01594  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01595  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01596  1292   NtUserPeekMessage  (0, 0, 0, 1, ...
 01597  1292   NtUserGetThreadState  (0, ... ) == 0x1800f4
 01598  1292   NtUserGetForegroundWindow  (... ) == 0xb0102
 01599  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01600  1292   NtUserFindWindowEx  (0, 0,  (0, 0, "Shell_TrayWnd", 0x0, 0, ... ) , 0x0, 0, ... ) == 0x20052
 01601  1292   NtUserBuildHwndList  (0, 131154, 1, 0, 64, ... (0x3003e, 0x3003c, 0x30040, 0x30042, 0x30044, 0x30046, 0x10076, 0x10082, 0x1007a, 0x1007e, 0x1, ), 11, ) == 0x0
 01602  1292   NtUserValidateHandleSecure  (196670, ... ) == 0x1
 01603  1292   NtUserValidateHandleSecure  (196670, ... ) == 0x1
 01604  1292   NtUserValidateHandleSecure  (196668, ... ) == 0x1
 01605  1292   NtUserValidateHandleSecure  (196668, ... ) == 0x1
 01606  1292   NtUserValidateHandleSecure  (196672, ... ) == 0x1
 01607  1292   NtUserValidateHandleSecure  (196672, ... ) == 0x1
 01608  1292   NtUserValidateHandleSecure  (196674, ... ) == 0x1
 01609  1292   NtUserValidateHandleSecure  (196674, ... ) == 0x1
 01610  1292   NtUserValidateHandleSecure  (196676, ... ) == 0x1
 01611  1292   NtUserValidateHandleSecure  (196676, ... ) == 0x1
 01612  1292   NtUserValidateHandleSecure  (196678, ... ) == 0x1
 01613  1292   NtUserValidateHandleSecure  (196678, ... ) == 0x1
 01614  1292   NtUserValidateHandleSecure  (65654, ... ) == 0x1
 01615  1292   NtUserValidateHandleSecure  (65654, ... ) == 0x1
 01616  1292   NtUserValidateHandleSecure  (65666, ... ) == 0x1
 01617  1292   NtUserValidateHandleSecure  (65666, ... ) == 0x1
 01618  1292   NtUserValidateHandleSecure  (65658, ... ) == 0x1
 01619  1292   NtUserValidateHandleSecure  (65658, ... ) == 0x1
 01620  1292   NtUserValidateHandleSecure  (65662, ... ) == 0x1
 01621  1292   NtUserValidateHandleSecure  (65662, ... ) == 0x1
 01622  1292   NtUserQueryWindow  (131154, 1, ... ) == 0x6d4
 01623  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 01624  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01625  1292   NtUserValidateHandleSecure  (0, ... ) == 0x0
 01626  1292   NtUserPostThreadMessage  (384, 49313, 1, 0, ... ) == 0x1
 01627  1292   NtUserValidateHandleSecure  (0, ... ) == 0x0
 01628  1292   NtUserPostThreadMessage  (1292, 49313, 0, 0, ... ) == 0x1
 01629  1292   NtUserGetKeyboardLayoutList  (0, 0, ... ) == 0x1
 01630  1292   NtUserGetKeyboardLayoutList  (1, 1417240, ... ) == 0x1
 01631  1292   NtWaitForSingleObject  (84, 0, {-50000000, -1}, ... ) == 0x0
 01632  1292   NtOpenSection  (0xf001f, {24, 48, 0x0, 0, 0,  (0xf001f, {24, 48, 0x0, 0, 0, "CTF.AsmListCache.FMPDefaultS-1-5-21-1292428093-1383384898-725345543-1003"}, ... 116, ) }, ... 116, ) == 0x0
 01633  1292   NtMapViewOfSection  (116, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 4, ... (0x9f0000), {0, 0}, 4096, ) == 0x0
 01634  1292   NtFlushVirtualMemory  (-1, (0x9f0000), 8, ... ) == STATUS_NOT_MAPPED_DATA
 01635  1292   NtQueryInstallUILanguage  (2089305898, ... ) == 0x0
 01636  1292   NtQueryDefaultUILanguage  (1240764, ...
 01637  1292   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 01638  1292   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... -2147482580, ) == 0x0
 01639  1292   NtQueryInformationToken  (-2147482580, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 01640  1292   NtClose  (-2147482580, ... ) == 0x0
 01641  1292   NtOpenKey  (0x2000000, {24, 0, 0x640, 0, 0,  (0x2000000, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... -2147482580, ) }, ... -2147482580, ) == 0x0
 01642  1292   NtOpenKey  (0x80000000, {24, -2147482580, 0x240, 0, 0,  (0x80000000, {24, -2147482580, 0x240, 0, 0, "Software\Policies\Microsoft\Control Panel\Desktop"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01643  1292   NtOpenKey  (0x80000000, {24, -2147482580, 0x640, 0, 0,  (0x80000000, {24, -2147482580, 0x640, 0, 0, "Control Panel\Desktop"}, ... -2147481364, ) }, ... -2147481364, ) == 0x0
 01644  1292   NtQueryValueKey  (-2147481364,  (-2147481364, "MultiUILanguageId", Partial, 256, ... ) , Partial, 256, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01645  1292   NtClose  (-2147481364, ... ) == 0x0
 01646  1292   NtClose  (-2147482580, ... ) == 0x0
 01636  1292   NtQueryDefaultUILanguage  ... ) == 0x0
 01647  1292   NtReleaseMutant  (84, ... 0x0, ) == 0x0
 01648  1292   NtUnmapViewOfSection  (-1, 0x9f0000, ... ) == 0x0
 01649  1292   NtClose  (116, ... ) == 0x0
 01650  1292   NtReleaseMutant  (84, ...
 01651  1292   NtContinue  (-106649764, 0, ...
 01650  1292   NtReleaseMutant  ... ) == STATUS_MUTANT_NOT_OWNED
 01652  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 01653  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 01654  1292   NtUserValidateHandleSecure  (0, ... ) == 0x0
 01655  1292   NtUserCreateWindowEx  (-2147483648, 1242800, 1241564, "-2013265920, 0, 0, 0, 0, -3, 0, 1953628160, 0, 1073742848, 0, ...
 01656  1292   NtUserMessageCall  (0x60144, WM_NCCREATE, 0x0, 0x12f13c, 0, 670, 1, ... ) == 0x1
 01657  1292   NtUserMessageCall  (0x60144, WM_NCCALCSIZE, 0x0, 0x12f17c, 0, 670, 1, ... ) == 0x0
 01658  1292   NtUserSetProp  (393540, 43288, -1, ... ) == 0x1
 01655  1292   NtUserCreateWindowEx  ... ) == 0x60144
 01659  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 01660  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 01661  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 01662  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 01663  1292   NtWaitForSingleObject  (76, 0, {-50000000, -1}, ... ) == 0x0
 01664  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 01665  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 01666  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 01667  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 01668  1292   NtUserPostThreadMessage  (1748, 49314, 0, 0, ... ) == 0x1
 01669  1292   NtUserPostThreadMessage  (416, 49314, 0, 0, ... ) == 0x1
 01670  1292   NtReleaseMutant  (76, ... 0x0, ) == 0x0
 01596  1292   NtUserPeekMessage  ... {0x0, WM_USER+0xbca1, 0x11, 0x1800f4, 0xbb0bd9, {0, 0}}, ) == 0x1
 01671  1292   NtOpenProcessToken  (-1, 0x8, ... 116, ) == 0x0
 01672  1292   NtQueryInformationToken  (116, Statistics, 56, ... {token info, class 10, size 56}, 56, ) == 0x0
 01673  1292   NtClose  (116, ... ) == 0x0
 01674  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01675  1292   NtUserCallMsgFilter  (1243636, 0, ... ) == 0x0
 01676  1292   NtUserPeekMessage  (0, 0, 0, 1, ... {0x0, WM_USER+0xbca1, 0x0, 0x0, 0xbb0c08, {0, 0}}, ) == 0x1
 01677  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01678  1292   NtUserCallMsgFilter  (1243636, 0, ... ) == 0x0
 01679  1292   NtUserPeekMessage  (0, 0, 0, 1, ... {0x60144, WM_USER+0xbca7, 0x0, 0x0, 0xbb0c18, {0, 0}}, ) == 0x1
 01680  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01681  1292   NtUserCallMsgFilter  (1243636, 0, ... ) == 0x0
 01682  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01683  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01684  1292   NtOpenEvent  (0x1f0003, {24, 48, 0x0, 0, 0,  (0x1f0003, {24, 48, 0x0, 0, 0, "CTF.ThreadMIConnectionEvent.000006D4.00000000.00000013"}, ... 116, ) }, ... 116, ) == 0x0
 01685  1292   NtSetEvent  (116, ... 0x0, ) == 0x0
 01686  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 01687  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 01688  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01689  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 01690  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 01691  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 01692  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 01693  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01694  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 01695  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 01696  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 01697  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 01698  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 01699  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 01700  1292   NtOpenKey  (0x20019, {24, 96, 0x40, 0, 0,  (0x20019, {24, 96, 0x40, 0, 0, "Keyboard Layout\Toggle"}, ... 120, ) }, ... 120, ) == 0x0
 01701  1292   NtQueryValueKey  (120,  (120, "Language Hotkey", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01702  1292   NtQueryValueKey  (120,  (120, "Hotkey", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01703  1292   NtQueryValueKey  (120,  (120, "Layout Hotkey", Partial, 144, ... ) , Partial, 144, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01704  1292   NtClose  (120, ... ) == 0x0
 01705  1292   NtQueryDefaultLocale  (1, 1242656, ... ) == 0x0
 01706  1292   NtQueryDefaultLocale  (1, 1242656, ... ) == 0x0
 01707  1292   NtUserGetKeyboardLayoutList  (0, 0, ... ) == 0x1
 01708  1292   NtUserGetKeyboardLayoutList  (1, 1417920, ... ) == 0x1
 01709  1292   NtWaitForSingleObject  (76, 0, {-50000000, -1}, ... ) == 0x0
 01710  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 01711  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 01712  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 01713  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 01714  1292   NtUserPostThreadMessage  (1748, 49316, 0, 1292, ... ) == 0x1
 01715  1292   NtUserPostThreadMessage  (416, 49316, 0, 1292, ... ) == 0x1
 01716  1292   NtReleaseMutant  (76, ... 0x0, ) == 0x0
 01717  1292   NtQueryDefaultLocale  (1, 1242656, ... ) == 0x0
 01718  1292   NtQueryDefaultLocale  (1, 1242656, ... ) == 0x0
 01719  1292   NtOpenThreadToken  (-2, 0x8, 0, ... ) == STATUS_NO_TOKEN
 01720  1292   NtOpenProcessToken  (-1, 0xa, ... 120, ) == 0x0
 01721  1292   NtDuplicateToken  (120, 0xc, {24, 0, 0x0, 0, 1242624, 0x0}, 0, 2, ... 124, ) == 0x0
 01722  1292   NtClose  (120, ... ) == 0x0
 01723  1292   NtAccessCheck  (1403216, 124, 0x1, 1242700, 1242752, 56, 1242732, ... (0x1), ) == 0x0
 01724  1292   NtClose  (124, ... ) == 0x0
 01725  1292   NtWaitForSingleObject  (76, 0, {-50000000, -1}, ... ) == 0x0
 01726  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 01727  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 01728  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 01729  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 01730  1292   NtUserPostThreadMessage  (1748, 49316, 0, 1292, ... ) == 0x1
 01731  1292   NtUserPostThreadMessage  (416, 49316, 0, 1292, ... ) == 0x1
 01732  1292   NtReleaseMutant  (76, ... 0x0, ) == 0x0
 01733  1292   NtQueryDefaultLocale  (1, 1242636, ... ) == 0x0
 01734  1292   NtQueryDefaultLocale  (1, 1242656, ... ) == 0x0
 01735  1292   NtQueryDefaultLocale  (1, 1242656, ... ) == 0x0
 01736  1292   NtWaitForSingleObject  (76, 0, {-50000000, -1}, ... ) == 0x0
 01737  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 01738  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 01739  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 01740  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 01741  1292   NtUserPostThreadMessage  (1748, 49316, 0, 1292, ... ) == 0x1
 01742  1292   NtUserPostThreadMessage  (416, 49316, 0, 1292, ... ) == 0x1
 01743  1292   NtReleaseMutant  (76, ... 0x0, ) == 0x0
 01744  1292   NtUserCallOneParam  (0, 40, ... ) == 0x4090409
 01745  1292   NtUserSystemParametersInfo  (31, 60, 1241368, 0, ... ) == 0x1
 01746  1292   NtUserGetDC  (0, ... ) == 0x1010051
 01747  1292   NtGdiHfontCreate  (1242376, 356, 0, 0, 1395752, ... ) == 0x160a05d6
 01748  1292   NtGdiGetTextMetricsW  (16842833, 1242616, 68, ... ) == 0x1
 01749  1292   NtGdiDeleteObjectApp  (369755606, ... ) == 0x1
 01750  1292   NtUserCallOneParam  (16842833, 57, ... ) == 0x1
 01751  1292   NtGdiHfontCreate  (1242340, 356, 0, 0, 1395752, ... ) == 0x170a05d6
 01752  1292   NtUserGetDC  (0, ... ) == 0x1010051
 01753  1292   NtGdiCreateCompatibleDC  (16842833, ... ) == 0x890106b4
 01754  1292   NtGdiCreateCompatibleBitmap  (16842833, 16, 16, ... ) == 0xa40507d3
 01755  1292   NtUserCallOneParam  (16842833, 57, ... ) == 0x1
 01756  1292   NtGdiCreateBitmap  (16, 16, 1, 1, 0, ... ) == 0x830506ae
 01757  1292   NtGdiSelectBitmap  (-1996421452, -1543174189, ... ) == 0x185000f
 01758  1292   NtGdiGetCharSet  (-1996421452, ... ) == 0x4e4
 01759  1292   NtGdiGetCharSet  (-1996421452, ... ) == 0x4e4
 01760  1292   NtGdiGetTextCharsetInfo  (-1996421452, 0, 0, ... ) == 0x0
 01761  1292   NtGdiGetTextMetricsW  (-1996421452, 1242256, 68, ... ) == 0x1
 01762  1292   NtGdiGetRandomRgn  (-1996421452, 1929643757, 1, ... ) == 0x0
 01763  1292   NtGdiIntersectClipRect  (-1996421452, 0, 0, 16, 16, ... ) == 0x3
 01764  1292   NtGdiGetWidthTable  (-1996421452, 2, 1414696, 258, 1415212, 1414064, 1414080, ... ) == 0x1
 01765  1292   NtGdiExtSelectClipRgn  (-1996421452, 0, 5, ... ) == 0x2
 01766  1292   NtGdiSelectBitmap  (-1996421452, -2096822610, ... ) == 0xa40507d3
 01767  1292   NtGdiExtGetObjectW  (-2096822610, 24, 1242636, ... ) == 0x18
 01768  1292   NtGdiExtGetObjectW  (-1543174189, 24, 1242612, ... ) == 0x18
 01769  1292   NtUserCallOneParam  (0, 33, ... ) == 0x9024b
 01770  1292   NtGdiExtGetObjectW  (-1543174189, 24, 1242508, ... ) == 0x18
 01771  1292   NtGdiGetDIBitsInternal  (-301922896, -1543174189, 0, 16, 1414748, 1414696, 0, 1024, 0, ... ) == 0x10
 01772  1292   NtGdiCreateDIBitmapInternal  (-301922896, 16, 16, 2, 0, 1405232, 0, 40, 0, 0, 0, ... ) == 0x340505d3
 01773  1292   NtGdiSelectBitmap  (-301922896, 872744403, ... ) == 0x185000f
 01774  1292   NtGdiGetDCforBitmap  (872744403, ... ) == 0xee0105b0
 01775  1292   NtGdiSaveDC  (-301922896, ... ) == 0x1
 01776  1292   NtGdiSelectBitmap  (-301922896, 872744403, ... ) == 0x340505d3
 01777  1292   NtGdiGetDCObject  (-301922896, 524288, ... ) == 0x188000b
 01778  1292   NtUserSelectPalette  (-301922896, 25690123, 0, ... ) == 0x188000b
 01779  1292   NtGdiSetDIBitsToDeviceInternal  (-301922896, 0, 0, 16, 16, 0, 0, 0, 16, 1414748, 1405232, 0, 1024, 40, 1, 0, ... ) == 0x10
 01780  1292   NtUserSelectPalette  (-301922896, 25690123, 0, ... ) == 0x188000b
 01781  1292   NtGdiSelectBitmap  (-301922896, 872744403, ... ) == 0x340505d3
 01782  1292   NtGdiRestoreDC  (-301922896, -1, ... ) == 0x1
 01783  1292   NtGdiSelectBitmap  (-301922896, 25493519, ... ) == 0x340505d3
 01784  1292   NtGdiCreateBitmap  (16, 32, 1, 1, 0, ... ) == 0x870504d2
 01785  1292   NtGdiCreateCompatibleDC  (-301922896, ... ) == 0xef0105d7
 01786  1292   NtGdiSelectBitmap  (-285145641, -2029714222, ... ) == 0x185000f
 01787  1292   NtGdiSelectBitmap  (-301922896, -2096822610, ... ) == 0x0
 01788  1292   NtGdiBitBlt  (-285145641, 0, 0, 16, 16, -301922896, 0, 0, 13369376, -1, 0, ... ) == 0x1
 01789  1292   NtGdiSelectBitmap  (-285145641, 25493519, ... ) == 0x870504d2
 01790  1292   NtGdiDeleteObjectApp  (-285145641, ... ) == 0x1
 01791  1292   NtUserSetCursorIconData  (590411, 1242552, 1242568, 1242660, ... ) == 0x1
 01792  1292   NtGdiSelectBitmap  (-1996421452, 25493519, ... ) == 0x830506ae
 01793  1292   NtGdiDeleteObjectApp  (-2096822610, ... ) == 0x1
 01794  1292   NtGdiDeleteObjectApp  (-1543174189, ... ) == 0x1
 01795  1292   NtGdiDeleteObjectApp  (-1996421452, ... ) == 0x1
 01796  1292   NtGdiDeleteObjectApp  (386532822, ... ) == 0x1
 01797  1292   NtQueryDefaultUILanguage  (1240100, ...
 01798  1292   NtOpenThreadTokenEx  (-2, 0x20008, 1, 512, ... ) == STATUS_NO_TOKEN
 01799  1292   NtOpenProcessTokenEx  (-1, 0x20008, 512, ... -2147482580, ) == 0x0
 01800  1292   NtQueryInformationToken  (-2147482580, User, 80, ... {token info, class 1, size 36}, 36, ) == 0x0
 01801  1292   NtClose  (-2147482580, ... ) == 0x0
 01802  1292   NtOpenKey  (0x2000000, {24, 0, 0x640, 0, 0,  (0x2000000, {24, 0, 0x640, 0, 0, "\REGISTRY\USER\S-1-5-21-1292428093-1383384898-725345543-1003"}, ... -2147482580, ) }, ... -2147482580, ) == 0x0
 01803  1292   NtOpenKey  (0x80000000, {24, -2147482580, 0x240, 0, 0,  (0x80000000, {24, -2147482580, 0x240, 0, 0, "Software\Policies\Microsoft\Control Panel\Desktop"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01804  1292   NtOpenKey  (0x80000000, {24, -2147482580, 0x640, 0, 0,  (0x80000000, {24, -2147482580, 0x640, 0, 0, "Control Panel\Desktop"}, ... -2147481364, ) }, ... -2147481364, ) == 0x0
 01805  1292   NtQueryValueKey  (-2147481364,  (-2147481364, "MultiUILanguageId", Partial, 256, ... ) , Partial, 256, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01806  1292   NtClose  (-2147481364, ... ) == 0x0
 01807  1292   NtClose  (-2147482580, ... ) == 0x0
 01797  1292   NtQueryDefaultUILanguage  ... ) == 0x0
 01808  1292   NtOpenKey  (0x20019, {24, 96, 0x40, 0, 0,  (0x20019, {24, 96, 0x40, 0, 0, "SOFTWARE\Microsoft\CTF\LangBarAddIn\"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01809  1292   NtOpenKey  (0x20019, {24, 32, 0x40, 0, 0,  (0x20019, {24, 32, 0x40, 0, 0, "SOFTWARE\Microsoft\CTF\LangBarAddIn\"}, ... ) }, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 01810  1292   NtWaitForSingleObject  (76, 0, {-50000000, -1}, ... ) == 0x0
 01811  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 01812  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 01813  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 01814  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 01815  1292   NtUserPostThreadMessage  (1748, 49316, 0, 1292, ... ) == 0x1
 01816  1292   NtUserPostThreadMessage  (416, 49316, 0, 1292, ... ) == 0x1
 01817  1292   NtReleaseMutant  (76, ... 0x0, ) == 0x0
 01818  1292   NtCreateSection  (0xf0007, {24, 48, 0x80, 0, 0,  (0xf0007, {24, 48, 0x80, 0, 0, "MSCTF.MarshalInterface.FileMap.MAF..HCMALL"}, {20, 0}, 4, 134217728, 0, ... 124, ) }, {20, 0}, 4, 134217728, 0, ... 124, ) == 0x0
 01819  1292   NtMapViewOfSection  (124, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 4, ... (0x9f0000), {0, 0}, 4096, ) == 0x0
 01820  1292   NtOpenEvent  (0x1f0003, {24, 48, 0x0, 0, 0,  (0x1f0003, {24, 48, 0x0, 0, 0, "CTF.ThreadMarshalInterfaceEvent.000006D4.00000000.00000013"}, ... 120, ) }, ... 120, ) == 0x0
 01821  1292   NtSetEvent  (120, ... 0x0, ) == 0x0
 01822  1292   NtClose  (120, ... ) == 0x0
 01823  1292   NtClose  (116, ... ) == 0x0
 01824  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01825  1292   NtUserPeekMessage  (0, 0, 0, 1, ... {0x60144, WM_USER+0xbca6, 0x6d4, 0x28, 0xbb0c27, {0, 0}}, ) == 0x1
 01826  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01827  1292   NtUserCallMsgFilter  (1243636, 0, ... ) == 0x0
 01828  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01829  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01830  1292   NtOpenEvent  (0x1f0003, {24, 48, 0x0, 0, 0,  (0x1f0003, {24, 48, 0x0, 0, 0, "MSCTF.SendReceiveConection.Event.ENG.IC"}, ... 116, ) }, ... 116, ) == 0x0
 01831  1292   NtSetEvent  (116, ... 0x0, ) == 0x0
 01832  1292   NtCreateMutant  (0x1f0001, {24, 48, 0x80, 0, 0,  (0x1f0001, {24, 48, 0x80, 0, 0, "MSCTF.Shared.MUTEX.ENG"}, 0, ... 120, ) }, 0, ... 120, ) == STATUS_OBJECT_NAME_EXISTS
 01833  1292   NtOpenSection  (0xf001f, {24, 48, 0x0, 0, 0,  (0xf001f, {24, 48, 0x0, 0, 0, "MSCTF.Shared.SFM.ENG"}, ... 128, ) }, ... 128, ) == 0x0
 01834  1292   NtMapViewOfSection  (128, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 4, ... (0xa00000), {0, 0}, 524288, ) == 0x0
 01835  1292   NtWaitForSingleObject  (120, 0, {-50000000, -1}, ... ) == 0x0
 01836  1292   NtUnmapViewOfSection  (-1, 0x9f0000, ... ) == 0x0
 01837  1292   NtClose  (124, ... ) == 0x0
 01838  1292   NtAllocateVirtualMemory  (-1, 1425408, 0, 8192, 4096, 4, ... 1425408, 8192, ) == 0x0
 01839  1292   NtReleaseMutant  (120, ... 0x0, ) == 0x0
 01840  1292   NtCreateSection  (0xf0007, {24, 48, 0x80, 0, 0,  (0xf0007, {24, 48, 0x80, 0, 0, "MSCTF.MarshalInterface.FileMap.MAF.B.HCMALL"}, {20, 0}, 4, 134217728, 0, ... 124, ) }, {20, 0}, 4, 134217728, 0, ... 124, ) == 0x0
 01841  1292   NtMapViewOfSection  (124, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 4, ... (0x9f0000), {0, 0}, 4096, ) == 0x0
 01842  1292   NtCreateSection  (0xf0007, {24, 48, 0x80, 0, 0,  (0xf0007, {24, 48, 0x80, 0, 0, "MSCTF.MarshalInterface.FileMap.MAF.C.HCMALL"}, {20, 0}, 4, 134217728, 0, ... 132, ) }, {20, 0}, 4, 134217728, 0, ... 132, ) == 0x0
 01843  1292   NtMapViewOfSection  (132, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 4, ... (0xa80000), {0, 0}, 4096, ) == 0x0
 01844  1292   NtCreateSection  (0xf0007, {24, 48, 0x80, 0, 0,  (0xf0007, {24, 48, 0x80, 0, 0, "MSCTF.MarshalInterface.FileMap.MAF.D.HCMALL"}, {20, 0}, 4, 134217728, 0, ... 136, ) }, {20, 0}, 4, 134217728, 0, ... 136, ) == 0x0
 01845  1292   NtMapViewOfSection  (136, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 4, ... (0xa90000), {0, 0}, 4096, ) == 0x0
 01846  1292   NtWaitForSingleObject  (120, 0, {-50000000, -1}, ... ) == 0x0
 01847  1292   NtReleaseMutant  (120, ... 0x0, ) == 0x0
 01848  1292   NtOpenEvent  (0x1f0003, {24, 48, 0x0, 0, 0,  (0x1f0003, {24, 48, 0x0, 0, 0, "MSCTF.SendReceive.Event.ENG.IC"}, ... 140, ) }, ... 140, ) == 0x0
 01849  1292   NtSetEvent  (140, ... 0x0, ) == 0x0
 01850  1292   NtClose  (116, ... ) == 0x0
 01851  1292   NtClose  (140, ... ) == 0x0
 01852  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01853  1292   NtUserPeekMessage  (0, 0, 0, 1, ... {0x60144, WM_USER+0xbca6, 0x6d4, 0x28, 0xbb0c27, {0, 0}}, ) == 0x1
 01854  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01855  1292   NtUserCallMsgFilter  (1243636, 0, ... ) == 0x0
 01856  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01857  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01858  1292   NtOpenEvent  (0x1f0003, {24, 48, 0x0, 0, 0,  (0x1f0003, {24, 48, 0x0, 0, 0, "MSCTF.SendReceiveConection.Event.ENG.IC"}, ... 140, ) }, ... 140, ) == 0x0
 01859  1292   NtSetEvent  (140, ... 0x0, ) == 0x0
 01860  1292   NtWaitForSingleObject  (120, 0, {-50000000, -1}, ... ) == 0x0
 01861  1292   NtUnmapViewOfSection  (-1, 0x9f0000, ... ) == 0x0
 01862  1292   NtClose  (124, ... ) == 0x0
 01863  1292   NtReleaseMutant  (120, ... 0x0, ) == 0x0
 01864  1292   NtCreateSection  (0xf0007, {24, 48, 0x80, 0, 0,  (0xf0007, {24, 48, 0x80, 0, 0, "MSCTF.MarshalInterface.FileMap.MAF.E.HCMALL"}, {20, 0}, 4, 134217728, 0, ... 124, ) }, {20, 0}, 4, 134217728, 0, ... 124, ) == 0x0
 01865  1292   NtMapViewOfSection  (124, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 4, ... (0x9f0000), {0, 0}, 4096, ) == 0x0
 01866  1292   NtWaitForSingleObject  (120, 0, {-50000000, -1}, ... ) == 0x0
 01867  1292   NtReleaseMutant  (120, ... 0x0, ) == 0x0
 01868  1292   NtOpenEvent  (0x1f0003, {24, 48, 0x0, 0, 0,  (0x1f0003, {24, 48, 0x0, 0, 0, "MSCTF.SendReceive.Event.ENG.IC"}, ... 116, ) }, ... 116, ) == 0x0
 01869  1292   NtSetEvent  (116, ... 0x0, ) == 0x0
 01870  1292   NtClose  (140, ... ) == 0x0
 01871  1292   NtClose  (116, ... ) == 0x0
 01872  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01873  1292   NtUserPeekMessage  (0, 0, 0, 1, ... {0x60144, WM_USER+0xbca9, 0xbb0c27, 0x1, 0xbb0c27, {0, 0}}, ) == 0x1
 01874  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01875  1292   NtUserCallMsgFilter  (1243636, 0, ... ) == 0x0
 01876  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01877  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01878  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\ntdll.dll"}, 1240492, ... ) }, 1240492, ... ) == 0x0
 01879  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01880  1292   NtUserPeekMessage  (0, 0, 0, 1, ... {0x60144, WM_USER+0xbca6, 0x6d4, 0x28, 0xbb0c27, {0, 0}}, ) == 0x1
 01881  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01882  1292   NtUserCallMsgFilter  (1243636, 0, ... ) == 0x0
 01883  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01884  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01885  1292   NtOpenEvent  (0x1f0003, {24, 48, 0x0, 0, 0,  (0x1f0003, {24, 48, 0x0, 0, 0, "MSCTF.SendReceiveConection.Event.ENG.IC"}, ... 116, ) }, ... 116, ) == 0x0
 01886  1292   NtSetEvent  (116, ... 0x0, ) == 0x0
 01887  1292   NtWaitForSingleObject  (120, 0, {-50000000, -1}, ... ) == 0x0
 01888  1292   NtUnmapViewOfSection  (-1, 0xa80000, ... ) == 0x0
 01889  1292   NtClose  (132, ... ) == 0x0
 01890  1292   NtReleaseMutant  (120, ... 0x0, ) == 0x0
 01891  1292   NtCreateSection  (0xf0007, {24, 48, 0x80, 0, 0,  (0xf0007, {24, 48, 0x80, 0, 0, "MSCTF.MarshalInterface.FileMap.MAF.F.HCMALL"}, {20, 0}, 4, 134217728, 0, ... 132, ) }, {20, 0}, 4, 134217728, 0, ... 132, ) == 0x0
 01892  1292   NtMapViewOfSection  (132, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 4, ... (0xa80000), {0, 0}, 4096, ) == 0x0
 01893  1292   NtWaitForSingleObject  (120, 0, {-50000000, -1}, ... ) == 0x0
 01894  1292   NtReleaseMutant  (120, ... 0x0, ) == 0x0
 01895  1292   NtOpenEvent  (0x1f0003, {24, 48, 0x0, 0, 0,  (0x1f0003, {24, 48, 0x0, 0, 0, "MSCTF.SendReceive.Event.ENG.IC"}, ... 140, ) }, ... 140, ) == 0x0
 01896  1292   NtSetEvent  (140, ... 0x0, ) == 0x0
 01897  1292   NtClose  (116, ... ) == 0x0
 01898  1292   NtClose  (140, ... ) == 0x0
 01899  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01900  1292   NtUserPeekMessage  (0, 0, 0, 1, ... {0x60144, WM_USER+0xbca9, 0xbb0c27, 0x2, 0xbb0c27, {0, 0}}, ) == 0x1
 01901  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01902  1292   NtUserCallMsgFilter  (1243636, 0, ... ) == 0x0
 01903  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01904  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01905  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01906  1292   NtUserPeekMessage  (0, 0, 0, 1, ... {0x60144, WM_USER+0xbca6, 0x6d4, 0x28, 0xbb0c27, {0, 0}}, ) == 0x1
 01907  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01908  1292   NtUserCallMsgFilter  (1243636, 0, ... ) == 0x0
 01909  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01910  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01911  1292   NtOpenEvent  (0x1f0003, {24, 48, 0x0, 0, 0,  (0x1f0003, {24, 48, 0x0, 0, 0, "MSCTF.SendReceiveConection.Event.ENG.IC"}, ... 140, ) }, ... 140, ) == 0x0
 01912  1292   NtSetEvent  (140, ... 0x0, ) == 0x0
 01913  1292   NtWaitForSingleObject  (120, 0, {-50000000, -1}, ... ) == 0x0
 01914  1292   NtUnmapViewOfSection  (-1, 0xa90000, ... ) == 0x0
 01915  1292   NtClose  (136, ... ) == 0x0
 01916  1292   NtReleaseMutant  (120, ... 0x0, ) == 0x0
 01917  1292   NtCreateSection  (0xf0007, {24, 48, 0x80, 0, 0,  (0xf0007, {24, 48, 0x80, 0, 0, "MSCTF.MarshalInterface.FileMap.MAF.G.HCMALL"}, {20, 0}, 4, 134217728, 0, ... 136, ) }, {20, 0}, 4, 134217728, 0, ... 136, ) == 0x0
 01918  1292   NtMapViewOfSection  (136, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 4, ... (0xa90000), {0, 0}, 4096, ) == 0x0
 01919  1292   NtWaitForSingleObject  (120, 0, {-50000000, -1}, ... ) == 0x0
 01920  1292   NtReleaseMutant  (120, ... 0x0, ) == 0x0
 01921  1292   NtOpenEvent  (0x1f0003, {24, 48, 0x0, 0, 0,  (0x1f0003, {24, 48, 0x0, 0, 0, "MSCTF.SendReceive.Event.ENG.IC"}, ... 116, ) }, ... 116, ) == 0x0
 01922  1292   NtSetEvent  (116, ... 0x0, ) == 0x0
 01923  1292   NtClose  (140, ... ) == 0x0
 01924  1292   NtClose  (116, ... ) == 0x0
 01925  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01926  1292   NtUserPeekMessage  (0, 0, 0, 1, ... {0x60144, WM_USER+0xbca9, 0xbb0c27, 0x3, 0xbb0c27, {0, 0}}, ) == 0x1
 01927  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01928  1292   NtUserCallMsgFilter  (1243636, 0, ... ) == 0x0
 01929  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01930  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01931  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01932  1292   NtUserPeekMessage  (0, 0, 0, 1, ... {0x60144, WM_USER+0xbca6, 0x6d4, 0x28, 0xbb0c27, {0, 0}}, ) == 0x1
 01933  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01934  1292   NtUserCallMsgFilter  (1243636, 0, ... ) == 0x0
 01935  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01936  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01937  1292   NtOpenEvent  (0x1f0003, {24, 48, 0x0, 0, 0,  (0x1f0003, {24, 48, 0x0, 0, 0, "MSCTF.SendReceiveConection.Event.ENG.IC"}, ... 116, ) }, ... 116, ) == 0x0
 01938  1292   NtSetEvent  (116, ... 0x0, ) == 0x0
 01939  1292   NtWaitForSingleObject  (120, 0, {-50000000, -1}, ... ) == 0x0
 01940  1292   NtReleaseMutant  (120, ... 0x0, ) == 0x0
 01941  1292   NtOpenSection  (0xf001f, {24, 48, 0x0, 0, 0,  (0xf001f, {24, 48, 0x0, 0, 0, "MSCTF.MarshalInterface.FileMap.ENG.M.HCMALL"}, ... 140, ) }, ... 140, ) == 0x0
 01942  1292   NtMapViewOfSection  (140, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 4, ... (0xaa0000), {0, 0}, 4096, ) == 0x0
 01943  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 01944  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 01945  1292   NtUserValidateHandleSecure  (65742, ... ) == 0x1
 01946  1292   NtUserQueryWindow  (65742, 1, ... ) == 0x6d4
 01947  1292   NtUserValidateHandleSecure  (65742, ... ) == 0x1
 01948  1292   NtUserQueryWindow  (65742, 1, ... ) == 0x6d4
 01949  1292   NtUnmapViewOfSection  (-1, 0xaa0000, ... ) == 0x0
 01950  1292   NtClose  (140, ... ) == 0x0
 01951  1292   NtOpenSection  (0xf001f, {24, 48, 0x0, 0, 0,  (0xf001f, {24, 48, 0x0, 0, 0, "MSCTF.MarshalInterface.FileMap.ENG.N.HCMALL"}, ... 140, ) }, ... 140, ) == 0x0
 01952  1292   NtMapViewOfSection  (140, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 4, ... (0xaa0000), {0, 0}, 4096, ) == 0x0
 01953  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 01954  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 01955  1292   NtUserValidateHandleSecure  (65742, ... ) == 0x1
 01956  1292   NtUserQueryWindow  (65742, 1, ... ) == 0x6d4
 01957  1292   NtUserValidateHandleSecure  (65742, ... ) == 0x1
 01958  1292   NtUserQueryWindow  (65742, 1, ... ) == 0x6d4
 01959  1292   NtUnmapViewOfSection  (-1, 0xaa0000, ... ) == 0x0
 01960  1292   NtClose  (140, ... ) == 0x0
 01961  1292   NtOpenSection  (0xf001f, {24, 48, 0x0, 0, 0,  (0xf001f, {24, 48, 0x0, 0, 0, "MSCTF.MarshalInterface.FileMap.ENG.O.HCMALL"}, ... 140, ) }, ... 140, ) == 0x0
 01962  1292   NtMapViewOfSection  (140, -1, (0x0), 0, 0, {0, 0}, 0, 1, 0, 4, ... (0xaa0000), {0, 0}, 4096, ) == 0x0
 01963  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 01964  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 01965  1292   NtUserValidateHandleSecure  (65742, ... ) == 0x1
 01966  1292   NtUserQueryWindow  (65742, 1, ... ) == 0x6d4
 01967  1292   NtUserValidateHandleSecure  (65742, ... ) == 0x1
 01968  1292   NtUserQueryWindow  (65742, 1, ... ) == 0x6d4
 01969  1292   NtUnmapViewOfSection  (-1, 0xaa0000, ... ) == 0x0
 01970  1292   NtClose  (140, ... ) == 0x0
 01971  1292   NtAllocateVirtualMemory  (-1, 1433600, 0, 4096, 4096, 4, ... 1433600, 4096, ) == 0x0
 01972  1292   NtWaitForSingleObject  (120, 0, {-50000000, -1}, ... ) == 0x0
 01973  1292   NtReleaseMutant  (120, ... 0x0, ) == 0x0
 01974  1292   NtOpenEvent  (0x1f0003, {24, 48, 0x0, 0, 0,  (0x1f0003, {24, 48, 0x0, 0, 0, "MSCTF.SendReceive.Event.ENG.IC"}, ... 140, ) }, ... 140, ) == 0x0
 01975  1292   NtSetEvent  (140, ... 0x0, ) == 0x0
 01976  1292   NtClose  (116, ... ) == 0x0
 01977  1292   NtClose  (140, ... ) == 0x0
 01978  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01979  1292   NtUserPeekMessage  (0, 0, 0, 1, ... {0x60144, WM_USER+0xbca6, 0x6d4, 0x28, 0xbb0c37, {0, 0}}, ) == 0x1
 01980  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01981  1292   NtUserCallMsgFilter  (1243636, 0, ... ) == 0x0
 01982  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01983  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01984  1292   NtOpenEvent  (0x1f0003, {24, 48, 0x0, 0, 0,  (0x1f0003, {24, 48, 0x0, 0, 0, "MSCTF.SendReceiveConection.Event.ENG.IC"}, ... 140, ) }, ... 140, ) == 0x0
 01985  1292   NtSetEvent  (140, ... 0x0, ) == 0x0
 01986  1292   NtWaitForSingleObject  (120, 0, {-50000000, -1}, ... ) == 0x0
 01987  1292   NtUnmapViewOfSection  (-1, 0xa80000, ... ) == 0x0
 01988  1292   NtClose  (132, ... ) == 0x0
 01989  1292   NtReleaseMutant  (120, ... 0x0, ) == 0x0
 01990  1292   NtWaitForSingleObject  (120, 0, {-50000000, -1}, ... ) == 0x0
 01991  1292   NtReleaseMutant  (120, ... 0x0, ) == 0x0
 01992  1292   NtOpenEvent  (0x1f0003, {24, 48, 0x0, 0, 0,  (0x1f0003, {24, 48, 0x0, 0, 0, "MSCTF.SendReceive.Event.ENG.IC"}, ... 132, ) }, ... 132, ) == 0x0
 01993  1292   NtSetEvent  (132, ... 0x0, ) == 0x0
 01994  1292   NtClose  (140, ... ) == 0x0
 01995  1292   NtClose  (132, ... ) == 0x0
 01996  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 01997  1292   NtUserPeekMessage  (0, 0, 0, 1, ... {0x60144, WM_USER+0xbca6, 0x6d4, 0x28, 0xbb0c37, {0, 0}}, ) == 0x1
 01998  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 01999  1292   NtUserCallMsgFilter  (1243636, 0, ... ) == 0x0
 02000  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 02001  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 02002  1292   NtOpenEvent  (0x1f0003, {24, 48, 0x0, 0, 0,  (0x1f0003, {24, 48, 0x0, 0, 0, "MSCTF.SendReceiveConection.Event.ENG.IC"}, ... 132, ) }, ... 132, ) == 0x0
 02003  1292   NtSetEvent  (132, ... 0x0, ) == 0x0
 02004  1292   NtWaitForSingleObject  (120, 0, {-50000000, -1}, ... ) == 0x0
 02005  1292   NtAllocateVirtualMemory  (-1, 1437696, 0, 12288, 4096, 4, ... 1437696, 12288, ) == 0x0
 02006  1292   NtReleaseMutant  (120, ... 0x0, ) == 0x0
 02007  1292   NtQueryDefaultLocale  (1, 1241492, ... ) == 0x0
 02008  1292   NtQueryDefaultLocale  (1, 1241512, ... ) == 0x0
 02009  1292   NtUserGetDC  (0, ... ) == 0x1010051
 02010  1292   NtGdiCreateCompatibleBitmap  (16842833, 16, 16, ... ) == 0x180505d6
 02011  1292   NtUserCallOneParam  (16842833, 57, ... ) == 0x1
 02012  1292   NtGdiSelectBitmap  (-301922896, 402982358, ... ) == 0x185000f
 02013  1292   NtGdiGetDCforBitmap  (402982358, ... ) == 0xee0105b0
 02014  1292   NtGdiSaveDC  (-301922896, ... ) == 0x1
 02015  1292   NtGdiSelectBitmap  (-301922896, 402982358, ... ) == 0x180505d6
 02016  1292   NtGdiGetDCObject  (-301922896, 524288, ... ) == 0x188000b
 02017  1292   NtUserSelectPalette  (-301922896, 25690123, 0, ... ) == 0x188000b
 02018  1292   NtGdiSetDIBitsToDeviceInternal  (-301922896, 0, 0, 16, 16, 0, 0, 0, 16, 1953913504, 1416904, 0, 128, 104, 1, 0, ... ) == 0x10
 02019  1292   NtUserSelectPalette  (-301922896, 25690123, 0, ... ) == 0x188000b
 02020  1292   NtGdiSelectBitmap  (-301922896, 402982358, ... ) == 0x180505d6
 02021  1292   NtGdiRestoreDC  (-301922896, -1, ... ) == 0x1
 02022  1292   NtGdiSelectBitmap  (-301922896, 25493519, ... ) == 0x180505d6
 02023  1292   NtUserGetDC  (0, ... ) == 0x1010051
 02024  1292   NtGdiCreateDIBitmapInternal  (16842833, 16, 32, 2, 0, 2118583256, 0, 48, 0, 0, 0, ... ) == 0xa60507d3
 02025  1292   NtUserCallOneParam  (16842833, 57, ... ) == 0x1
 02026  1292   NtGdiSelectBitmap  (-301922896, -1509619757, ... ) == 0x185000f
 02027  1292   NtGdiGetDCforBitmap  (-1509619757, ... ) == 0xee0105b0
 02028  1292   NtGdiSaveDC  (-301922896, ... ) == 0x1
 02029  1292   NtGdiSelectBitmap  (-301922896, -1509619757, ... ) == 0xa60507d3
 02030  1292   NtGdiGetDCObject  (-301922896, 524288, ... ) == 0x188000b
 02031  1292   NtUserSelectPalette  (-301922896, 25690123, 0, ... ) == 0x188000b
 02032  1292   NtGdiSetDIBitsToDeviceInternal  (-301922896, 0, 0, 16, 32, 0, 0, 0, 32, 1953913568, 1416904, 0, 128, 48, 1, 0, ... ) == 0x20
 02033  1292   NtUserSelectPalette  (-301922896, 25690123, 0, ... ) == 0x188000b
 02034  1292   NtGdiSelectBitmap  (-301922896, -1509619757, ... ) == 0xa60507d3
 02035  1292   NtGdiRestoreDC  (-301922896, -1, ... ) == 0x1
 02036  1292   NtGdiSelectBitmap  (-301922896, 25493519, ... ) == 0xa60507d3
 02037  1292   NtGdiCreateCompatibleDC  (-301922896, ... ) == 0x860106ae
 02038  1292   NtGdiExtGetObjectW  (-1509619757, 24, 1240944, ... ) == 0x18
 02039  1292   NtGdiCreateBitmap  (16, 32, 1, 1, 0, ... ) == 0xf20505d7
 02040  1292   NtGdiSelectBitmap  (-301922896, -1509619757, ... ) == 0x185000f
 02041  1292   NtGdiSelectBitmap  (-2046753106, -234551849, ... ) == 0x185000f
 02042  1292   NtGdiBitBlt  (-2046753106, 0, 0, 16, 32, -301922896, 0, 0, 13369376, -1, 0, ... ) == 0x1
 02043  1292   NtGdiSelectBitmap  (-301922896, 25493519, ... ) == 0xa60507d3
 02044  1292   NtGdiSelectBitmap  (-2046753106, 25493519, ... ) == 0xf20505d7
 02045  1292   NtGdiDeleteObjectApp  (-1509619757, ... ) == 0x1
 02046  1292   NtGdiDeleteObjectApp  (-2046753106, ... ) == 0x1
 02047  1292   NtUserCallOneParam  (0, 33, ... ) == 0x402a3
 02048  1292   NtUserSetCursorIconData  (262819, 1240992, 1241008, 1241072, ... ) == 0x1
 02049  1292   NtUserGetIconInfo  (262819, 1242344, 0, 0, 0, 0, ... ) == 0x1
 02050  1292   NtGdiExtGetObjectW  (-1929050444, 24, 1242268, ... ) == 0x18
 02051  1292   NtGdiExtGetObjectW  (-2012936530, 24, 1242244, ... ) == 0x18
 02052  1292   NtGdiDeleteObjectApp  (-1929050444, ... ) == 0x1
 02053  1292   NtGdiDeleteObjectApp  (-2012936530, ... ) == 0x1
 02054  1292   NtUserGetIconInfo  (262819, 1242340, 0, 0, 0, 0, ... ) == 0x1
 02055  1292   NtGdiExtGetObjectW  (-1912273228, 24, 1242256, ... ) == 0x18
 02056  1292   NtGdiExtGetObjectW  (-1996159314, 24, 1242232, ... ) == 0x18
 02057  1292   NtGdiGetBitmapBits  (-1912273228, 1024, 1425544, ... ) == 0x400
 02058  1292   NtGdiGetBitmapBits  (-1996159314, 32, 1426568, ... ) == 0x20
 02059  1292   NtGdiDeleteObjectApp  (-1912273228, ... ) == 0x1
 02060  1292   NtGdiDeleteObjectApp  (-1996159314, ... ) == 0x1
 02061  1292   NtUserDestroyCursor  (262819, 1, ... ) == 0x1
 02062  1292   NtWaitForSingleObject  (120, 0, {-50000000, -1}, ... ) == 0x0
 02063  1292   NtReleaseMutant  (120, ... 0x0, ) == 0x0
 02064  1292   NtOpenEvent  (0x1f0003, {24, 48, 0x0, 0, 0,  (0x1f0003, {24, 48, 0x0, 0, 0, "MSCTF.SendReceive.Event.ENG.IC"}, ... 140, ) }, ... 140, ) == 0x0
 02065  1292   NtSetEvent  (140, ... 0x0, ) == 0x0
 02066  1292   NtClose  (132, ... ) == 0x0
 02067  1292   NtClose  (140, ... ) == 0x0
 02068  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 02069  1292   NtUserShowWindow  (721154, 1, ...
 02070  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02071  1292   NtUserGetThreadState  (1, ... ) == 0xb0102
 02072  1292   NtUserGetThreadState  (0, ... ) == 0x1800f4
 02073  1292   NtUserGetForegroundWindow  (... ) == 0xb0102
 02074  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02075  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02076  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02077  1292   NtUserGetKeyboardLayoutList  (0, 0, ... ) == 0x1
 02078  1292   NtUserGetKeyboardLayoutList  (1, 1417920, ... ) == 0x1
 02079  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 02080  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 02081  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 02082  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 02083  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 02084  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 02085  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 02086  1292   NtWaitForSingleObject  (76, 0, {-50000000, -1}, ... ) == 0x0
 02087  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 02088  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 02089  1292   NtWaitForSingleObject  (100, 0, {-50000000, -1}, ... ) == 0x0
 02090  1292   NtReleaseMutant  (100, ... 0x0, ) == 0x0
 02091  1292   NtUserPostThreadMessage  (1748, 49314, 0, 0, ... ) == 0x1
 02092  1292   NtUserPostThreadMessage  (416, 49314, 0, 0, ... ) == 0x1
 02093  1292   NtReleaseMutant  (76, ... 0x0, ) == 0x0
 02094  1292   NtUserInternalGetWindowText  (0xb0102, 260, ...  (0xb0102, 260, ... "NSIS Error", ) , ) == 0xa
 02095  1292   NtUserGetWindowDC  (721154, ... ) == 0x1010053
 02096  1292   NtGdiGetRandomRgn  (16842835, 1946420973, 1, ... ) == 0x0
 02097  1292   NtGdiIntersectClipRect  (16842835, 0, 0, 0, 0, ... ) == 0x3
 02098  1292   NtGdiGetCharSet  (16842835, ... ) == 0x4e4
 02099  1292   NtGdiExtSelectClipRgn  (16842835, 0, 5, ... ) == 0x2
 02100  1292   NtUserCallOneParam  (16842835, 57, ... ) == 0x1
 02101  1292   NtUserCalcMenuBar  (721154, 3, 3, 29, 3353232, ... ) == 0x0
 02102  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x2, 0x0, 1241964, 690, 0, ...
 02103  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x2, 0x0, 0, 670, 0, ... ) == 0x0
 02102  1292   NtUserMessageCall  ... ) == 0x0
 02104  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x0, 0x0, 1241964, 690, 0, ...
 02105  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x0, 0x0, 0, 670, 0, ... ) == 0x0
 02104  1292   NtUserMessageCall  ... ) == 0x0
 02106  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x1, 0x0, 1241964, 690, 0, ...
 02107  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x1, 0x0, 0, 670, 0, ... ) == 0x0
 02106  1292   NtUserMessageCall  ... ) == 0x0
 02108  1292   NtUserGetTitleBarInfo  (721154, 1242596, ... ) == 0x1
 02109  1292   NtUserGetDCEx  (721154, 0, 66561, ... ) == 0x1010050
 02110  1292   NtGdiExcludeClipRect  (16842832, 3, 29, 428, 182, ... ) == 0x3
 02111  1292   NtGdiDrawStream  (16842832, 96, 1242080, ... ) == 0x1
 02112  1292   NtGdiDrawStream  (16842832, 96, 1242080, ... ) == 0x1
 02113  1292   NtGdiDrawStream  (16842832, 96, 1242080, ... ) == 0x1
 02114  1292   NtGdiCreateCompatibleBitmap  (16842832, 431, 29, ... ) == 0x940506b4
 02115  1292   NtGdiCreateCompatibleDC  (16842832, ... ) == 0x7101032c
 02116  1292   NtGdiSelectBitmap  (1895891756, -1811609932, ... ) == 0x185000f
 02117  1292   NtGdiDrawStream  (1895891756, 96, 1241972, ... ) == 0x1
 02118  1292   NtGdiDrawStream  (1895891756, 96, 1241928, ... ) == 0x1
 02119  1292   NtGdiDrawStream  (1895891756, 96, 1241928, ... ) == 0x1
 02120  1292   NtUserInternalGetWindowText  (0xb0102, 260, ...  (0xb0102, 260, ... "NSIS Error", ) , ) == 0xa
 02121  1292   NtGdiGetRandomRgn  (1895891756, 1963198189, 1, ... ) == 0x0
 02122  1292   NtGdiIntersectClipRect  (1895891756, 8, 8, 403, 25, ... ) == 0x3
 02123  1292   NtGdiExtSelectClipRgn  (1895891756, 0, 5, ... ) == 0x2
 02124  1292   NtGdiGetRandomRgn  (1895891756, 1979975405, 1, ... ) == 0x0
 02125  1292   NtGdiIntersectClipRect  (1895891756, 7, 7, 402, 25, ... ) == 0x3
 02126  1292   NtGdiExtSelectClipRgn  (1895891756, 0, 5, ... ) == 0x2
 02127  1292   NtGdiBitBlt  (16842832, 0, 0, 431, 29, 1895891756, 0, 0, 13369376, -1, 0, ... ) == 0x1
 02128  1292   NtGdiSelectBitmap  (1895891756, 25493519, ... ) == 0x940506b4
 02129  1292   NtGdiDeleteObjectApp  (1895891756, ... ) == 0x1
 02130  1292   NtGdiDeleteObjectApp  (-1811609932, ... ) == 0x1
 02131  1292   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 02132  1292   NtUserFillWindow  (721154, 721154, 16842836, 4, ...
 02133  1292   NtUserGetAncestor  (721154, 1, ... ) == 0x10014
 02134  1292   NtUserValidateHandleSecure  (65556, ... ) == 0x1
 02135  1292   NtUserGetAncestor  (65556, 1, ... ) == 0x0
 02132  1292   NtUserFillWindow  ... ) == 0x1
 02136  1292   NtUserInternalGetWindowText  (0xb0102, 260, ...  (0xb0102, 260, ... "NSIS Error", ) , ) == 0xa
 02137  1292   NtUserGetWindowDC  (721154, ... ) == 0x1010053
 02138  1292   NtGdiGetRandomRgn  (16842835, 1996752621, 1, ... ) == 0x0
 02139  1292   NtGdiIntersectClipRect  (16842835, 0, 0, 0, 0, ... ) == 0x3
 02140  1292   NtGdiGetCharSet  (16842835, ... ) == 0x4e4
 02141  1292   NtGdiExtSelectClipRgn  (16842835, 0, 5, ... ) == 0x2
 02142  1292   NtUserCallOneParam  (16842835, 57, ... ) == 0x1
 02143  1292   NtUserCalcMenuBar  (721154, 3, 3, 29, 3353232, ... ) == 0x0
 02144  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x2, 0x0, 1242256, 690, 0, ...
 02145  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x2, 0x0, 0, 670, 0, ... ) == 0x0
 02144  1292   NtUserMessageCall  ... ) == 0x0
 02146  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x0, 0x0, 1242256, 690, 0, ...
 02147  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x0, 0x0, 0, 670, 0, ... ) == 0x0
 02146  1292   NtUserMessageCall  ... ) == 0x0
 02148  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x1, 0x0, 1242256, 690, 0, ...
 02149  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x1, 0x0, 0, 670, 0, ... ) == 0x0
 02148  1292   NtUserMessageCall  ... ) == 0x0
 02150  1292   NtUserGetTitleBarInfo  (721154, 1242888, ... ) == 0x1
 02151  1292   NtUserBuildHwndList  (0, 721154, 1, 0, 64, ... (0x1800f4, 0x500fc, 0xd011a, 0x1, ), 4, ) == 0x0
 02152  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02153  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02154  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02155  1292   NtUserValidateHandleSecure  (327932, ... ) == 0x1
 02156  1292   NtUserValidateHandleSecure  (327932, ... ) == 0x1
 02157  1292   NtUserValidateHandleSecure  (327932, ... ) == 0x1
 02158  1292   NtUserValidateHandleSecure  (852250, ... ) == 0x1
 02159  1292   NtUserValidateHandleSecure  (852250, ... ) == 0x1
 02160  1292   NtUserValidateHandleSecure  (852250, ... ) == 0x1
 02161  1292   NtUserGetWindowDC  (0, ... ) == 0x1010052
 02162  1292   NtUserCallOneParam  (16842834, 57, ... ) == 0x1
 02163  1292   NtGdiExtCreateRegion  (0, 112, 3363352, ... ) == 0x960406b4
 02164  1292   NtGdiOffsetRgn  (-1778121036, 0, 0, ... ) == 0x3
 02165  1292   NtGdiCombineRgn  (2013529837, -1778121036, 2013529837, 5, ... ) == 0x3
 02166  1292   NtGdiCreateRectRgn  (0, 0, 1, 1, ... ) == 0x7204032c
 02167  1292   NtGdiCombineRgn  (2013529837, 1912865580, 2013529837, 2, ... ) == 0x3
 02168  1292   NtGdiCreateRectRgn  (0, 0, 1, 1, ... ) == 0xf60405d7
 02169  1292   NtGdiCombineRgn  (2013529837, -167508521, 2013529837, 2, ... ) == 0x3
 02170  1292   NtGdiCreateRectRgn  (0, 0, 1, 1, ... ) == 0x8d0406ae
 02171  1292   NtGdiCombineRgn  (2013529837, -1929115986, 2013529837, 2, ... ) == 0x3
 02172  1292   NtGdiCreateRectRgn  (0, 0, 1, 1, ... ) == 0x1d0405d6
 02173  1292   NtGdiCombineRgn  (2013529837, 486802902, 2013529837, 2, ... ) == 0x3
 02174  1292   NtGdiCreateRectRgn  (0, 0, 1, 1, ... ) == 0x560403d5
 02175  1292   NtGdiCombineRgn  (1443103701, 2013529837, 0, 5, ... ) == 0x3
 02176  1292   NtUserSetWindowRgn  (721154, 2013529837, 1, ...
 02177  1292   NtUserMessageCall  (0xb0102, WM_NCCALCSIZE, 0x1, 0x12f644, 0, 670, 0, ... ) == 0x0
 02178  1292   NtUserInternalGetWindowText  (0xb0102, 260, ...  (0xb0102, 260, ... "NSIS Error", ) , ) == 0xa
 02179  1292   NtUserGetWindowDC  (721154, ... ) == 0x1010053
 02180  1292   NtGdiGetRandomRgn  (16842835, 503580118, 1, ... ) == 0x0
 02181  1292   NtGdiIntersectClipRect  (16842835, 0, 0, 0, 0, ... ) == 0x3
 02182  1292   NtGdiGetCharSet  (16842835, ... ) == 0x4e4
 02183  1292   NtGdiExtSelectClipRgn  (16842835, 0, 5, ... ) == 0x3
 02184  1292   NtUserCallOneParam  (16842835, 57, ... ) == 0x1
 02185  1292   NtUserCalcMenuBar  (721154, 3, 3, 29, 3353232, ... ) == 0x0
 02186  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x2, 0x0, 1241036, 690, 0, ...
 02187  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x2, 0x0, 0, 670, 0, ... ) == 0x0
 02186  1292   NtUserMessageCall  ... ) == 0x0
 02188  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x0, 0x0, 1241036, 690, 0, ...
 02189  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x0, 0x0, 0, 670, 0, ... ) == 0x0
 02188  1292   NtUserMessageCall  ... ) == 0x0
 02190  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x1, 0x0, 1241036, 690, 0, ...
 02191  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x1, 0x0, 0, 670, 0, ... ) == 0x0
 02190  1292   NtUserMessageCall  ... ) == 0x0
 02192  1292   NtUserGetTitleBarInfo  (721154, 1241668, ... ) == 0x1
 02193  1292   NtUserGetDCEx  (721154, 0, 66561, ... ) == 0x1010054
 02194  1292   NtGdiExcludeClipRect  (16842836, 3, 29, 428, 182, ... ) == 0x3
 02195  1292   NtGdiDrawStream  (16842836, 96, 1241152, ... ) == 0x1
 02196  1292   NtGdiDrawStream  (16842836, 96, 1241152, ... ) == 0x1
 02197  1292   NtGdiDrawStream  (16842836, 96, 1241152, ... ) == 0x1
 02198  1292   NtGdiCreateCompatibleBitmap  (16842836, 431, 29, ... ) == 0x380506a8
 02199  1292   NtGdiCreateCompatibleDC  (16842836, ... ) == 0x5a01066b
 02200  1292   NtGdiSelectBitmap  (1510016619, 939853480, ... ) == 0x185000f
 02201  1292   NtGdiDrawStream  (1510016619, 96, 1241044, ... ) == 0x1
 02202  1292   NtGdiDrawStream  (1510016619, 96, 1241000, ... ) == 0x1
 02203  1292   NtGdiDrawStream  (1510016619, 96, 1241000, ... ) == 0x1
 02204  1292   NtUserInternalGetWindowText  (0xb0102, 260, ...  (0xb0102, 260, ... "NSIS Error", ) , ) == 0xa
 02205  1292   NtGdiGetRandomRgn  (1510016619, 520357334, 1, ... ) == 0x0
 02206  1292   NtGdiIntersectClipRect  (1510016619, 8, 8, 403, 25, ... ) == 0x3
 02207  1292   NtGdiExtSelectClipRgn  (1510016619, 0, 5, ... ) == 0x2
 02208  1292   NtGdiGetRandomRgn  (1510016619, 537134550, 1, ... ) == 0x0
 02209  1292   NtGdiIntersectClipRect  (1510016619, 7, 7, 402, 25, ... ) == 0x3
 02210  1292   NtGdiExtSelectClipRgn  (1510016619, 0, 5, ... ) == 0x2
 02211  1292   NtGdiBitBlt  (16842836, 0, 0, 431, 29, 1510016619, 0, 0, 13369376, -1, 0, ... ) == 0x1
 02212  1292   NtGdiSelectBitmap  (1510016619, 25493519, ... ) == 0x380506a8
 02213  1292   NtGdiDeleteObjectApp  (1510016619, ... ) == 0x1
 02214  1292   NtGdiDeleteObjectApp  (939853480, ... ) == 0x1
 02215  1292   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 02216  1292   NtUserFillWindow  (721154, 721154, 16842832, 4, ...
 02217  1292   NtUserGetAncestor  (721154, 1, ... ) == 0x10014
 02218  1292   NtUserValidateHandleSecure  (65556, ... ) == 0x1
 02219  1292   NtUserGetAncestor  (65556, 1, ... ) == 0x0
 02216  1292   NtUserFillWindow  ... ) == 0x1
 02176  1292   NtUserSetWindowRgn  ... ) == 0x1
 02069  1292   NtUserShowWindow  ... ) == 0x0
 02220  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02221  1292   NtUserCallHwndLock  (721154, 94, ...
 02222  1292   NtUserMessageCall  (0xb0102, WM_PAINT, 0x0, 0x0, 0, 670, 0, ... ) == 0x0
 02223  1292   NtUserBeginPaint  (0x1800f4, 1243308, ...
 02224  1292   NtUserMessageCall  (0x1800f4, WM_NCPAINT, 0x1, 0x0, 0, 670, 0, ... ) == 0x0
 02223  1292   NtUserBeginPaint  ... ) == 0x1010050
 02225  1292   NtGdiCreateCompatibleDC  (16842832, ... ) == 0x3b0106a8
 02226  1292   NtGdiCreateCompatibleBitmap  (16842832, 75, 23, ... ) == 0x5b05066b
 02227  1292   NtGdiSelectBitmap  (989922984, 1527055979, ... ) == 0x185000f
 02228  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02229  1292   NtUserSetProp  (721154, 43286, 1, ... ) == 0x1
 02230  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02231  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02232  1292   NtUserFillWindow  (721154, 721154, 989922984, 4, ...
 02233  1292   NtUserGetAncestor  (721154, 1, ... ) == 0x10014
 02234  1292   NtUserValidateHandleSecure  (65556, ... ) == 0x1
 02235  1292   NtUserGetAncestor  (65556, 1, ... ) == 0x0
 02232  1292   NtUserFillWindow  ... ) == 0x1
 02236  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02237  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02238  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02239  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02240  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02241  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02242  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02243  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02244  1292   NtUserSetProp  (721154, 43286, 2, ... ) == 0x1
 02245  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02246  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02247  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02248  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02249  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02250  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02251  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02252  1292   NtUserRemoveProp  (721154, 43286, ... ) == 0x2
 02253  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02254  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02255  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02256  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02257  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02258  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02259  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02260  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02261  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02262  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02263  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02264  1292   NtGdiIntersectClipRect  (989922984, 0, 0, 75, 23, ... ) == 0x3
 02265  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02266  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02267  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02268  1292   NtGdiDrawStream  (989922984, 96, 1241944, ... ) == 0x1
 02269  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02270  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02271  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02272  1292   NtGdiGetRandomRgn  (989922984, 553911766, 1, ... ) == 0x1
 02273  1292   NtGdiIntersectClipRect  (989922984, 3, 3, 72, 20, ... ) == 0x3
 02274  1292   NtGdiExtSelectClipRgn  (989922984, 553911766, 5, ... ) == 0x2
 02275  1292   NtGdiBitBlt  (16842832, 0, 0, 75, 23, 989922984, 0, 0, 13369376, -1, 0, ... ) == 0x1
 02276  1292   NtGdiSelectBitmap  (989922984, 25493519, ... ) == 0x5b05066b
 02277  1292   NtGdiDeleteObjectApp  (1527055979, ... ) == 0x1
 02278  1292   NtGdiDeleteObjectApp  (989922984, ... ) == 0x1
 02279  1292   NtUserEndPaint  (0x1800f4, 1243308, ... ) == 0x1
 02280  1292   NtUserBeginPaint  (0x500fc, 1243308, ...
 02281  1292   NtUserMessageCall  (0x500fc, WM_NCPAINT, 0x1, 0x0, 0, 670, 0, ... ) == 0x0
 02280  1292   NtUserBeginPaint  ... ) == 0x1010050
 02282  1292   NtGdiIntersectClipRect  (16842832, 0, 0, 32, 32, ... ) == 0x3
 02283  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02284  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02285  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02286  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02287  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02288  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02289  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02290  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02291  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02292  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02293  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02294  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02295  1292   NtGdiGetDCDword  (16842832, 7, 1243000, ... ) == 0x1
 02296  1292   NtUserDrawIconEx  (16842832, 0, 0, 65545, 32, 32, 0, 17825878, 3, 0, 1243052, ... ) == 0x1
 02297  1292   NtUserEndPaint  (0x500fc, 1243308, ... ) == 0x1
 02298  1292   NtUserBeginPaint  (0xd011a, 1243308, ...
 02299  1292   NtUserMessageCall  (0xd011a, WM_NCPAINT, 0x1, 0x0, 0, 670, 0, ... ) == 0x0
 02298  1292   NtUserBeginPaint  ... ) == 0x1010050
 02300  1292   NtGdiIntersectClipRect  (16842832, 0, 0, 357, 93, ... ) == 0x3
 02301  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02302  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02303  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02304  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02305  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02306  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02307  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02308  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02309  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02310  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02311  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02312  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02313  1292   NtGdiGetTextCharsetInfo  (16842832, 0, 0, ... ) == 0x0
 02314  1292   NtUserEndPaint  (0xd011a, 1243308, ... ) == 0x1
 02221  1292   NtUserCallHwndLock  ... ) == 0x1
 02315  1292   NtUserWaitMessage  (... ) == 0x1
 02316  1292   NtUserPeekMessage  (0, 0, 0, 1, ...
 02317  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x2, 0x0, 0, 670, 0, ... ) == 0x0
 02316  1292   NtUserPeekMessage  ... {0x60144, WM_USER+0xbca6, 0x6d4, 0x28, 0xbb0c37, {0, 0}}, ) == 0x0
 02318  1292   NtUserWaitMessage  (... ) == 0x1
 02319  1292   NtUserPeekMessage  (0, 0, 0, 1, ...
 02320  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x0, 0x0, 0, 670, 0, ... ) == 0x0
 02319  1292   NtUserPeekMessage  ... {0x60144, WM_USER+0xbca6, 0x6d4, 0x28, 0xbb0c37, {0, 0}}, ) == 0x0
 02321  1292   NtUserWaitMessage  (... ) == 0x1
 02322  1292   NtUserPeekMessage  (0, 0, 0, 1, ...
 02323  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x1, 0x0, 0, 670, 0, ... ) == 0x0
 02322  1292   NtUserPeekMessage  ... {0x60144, WM_USER+0xbca6, 0x6d4, 0x28, 0xbb0c37, {0, 0}}, ) == 0x0
 02324  1292   NtUserWaitMessage  (... ) == 0x1
 02325  1292   NtUserPeekMessage  (0, 0, 0, 1, ... {0x60144, WM_USER+0xbca6, 0x6d4, 0x28, 0xbb0cf2, {0, 0}}, ) == 0x1
 02326  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02327  1292   NtUserCallMsgFilter  (1243636, 0, ... ) == 0x0
 02328  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 02329  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 02330  1292   NtOpenEvent  (0x1f0003, {24, 48, 0x0, 0, 0,  (0x1f0003, {24, 48, 0x0, 0, 0, "MSCTF.SendReceiveConection.Event.ENG.IC"}, ... 140, ) }, ... 140, ) == 0x0
 02331  1292   NtSetEvent  (140, ... 0x0, ) == 0x0
 02332  1292   NtWaitForSingleObject  (120, 0, {-50000000, -1}, ... ) == 0x0
 02333  1292   NtReleaseMutant  (120, ... 0x0, ) == 0x0
 02334  1292   NtWaitForSingleObject  (120, 0, {-50000000, -1}, ... ) == 0x0
 02335  1292   NtReleaseMutant  (120, ... 0x0, ) == 0x0
 02336  1292   NtOpenEvent  (0x1f0003, {24, 48, 0x0, 0, 0,  (0x1f0003, {24, 48, 0x0, 0, 0, "MSCTF.SendReceive.Event.ENG.IC"}, ... 132, ) }, ... 132, ) == 0x0
 02337  1292   NtSetEvent  (132, ... 0x0, ) == 0x0
 02338  1292   NtClose  (140, ... ) == 0x0
 02339  1292   NtClose  (132, ... ) == 0x0
 02340  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 02341  1292   NtUserWaitMessage  (... ) == 0x1
 02342  1292   NtUserPeekMessage  (0, 0, 0, 1, ... {0x60144, WM_USER+0xbca6, 0x6d4, 0x28, 0xbb0cf2, {0, 0}}, ) == 0x1
 02343  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02344  1292   NtUserCallMsgFilter  (1243636, 0, ... ) == 0x0
 02345  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 02346  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 02347  1292   NtOpenEvent  (0x1f0003, {24, 48, 0x0, 0, 0,  (0x1f0003, {24, 48, 0x0, 0, 0, "MSCTF.SendReceiveConection.Event.ENG.IC"}, ... 132, ) }, ... 132, ) == 0x0
 02348  1292   NtSetEvent  (132, ... 0x0, ) == 0x0
 02349  1292   NtWaitForSingleObject  (120, 0, {-50000000, -1}, ... ) == 0x0
 02350  1292   NtUnmapViewOfSection  (-1, 0x9f0000, ... ) == 0x0
 02351  1292   NtClose  (124, ... ) == 0x0
 02352  1292   NtReleaseMutant  (120, ... 0x0, ) == 0x0
 02353  1292   NtUserGetIconInfo  (590411, 1242420, 0, 0, 0, 0, ... ) == 0x1
 02354  1292   NtGdiExtGetObjectW  (1225066155, 24, 1242276, ... ) == 0x18
 02355  1292   NtGdiExtGetObjectW  (788858580, 24, 1242252, ... ) == 0x18
 02356  1292   NtUserCallOneParam  (0, 33, ... ) == 0x902a3
 02357  1292   NtGdiExtGetObjectW  (788858580, 24, 1242148, ... ) == 0x18
 02358  1292   NtGdiGetDIBitsInternal  (-301922896, 788858580, 0, 16, 1426324, 1426272, 0, 1024, 0, ... ) == 0x10
 02359  1292   NtGdiCreateDIBitmapInternal  (-301922896, 16, 16, 2, 0, 1433528, 0, 40, 0, 0, 0, ... ) == 0x33050363
 02360  1292   NtGdiSelectBitmap  (-301922896, 855966563, ... ) == 0x185000f
 02361  1292   NtGdiGetDCforBitmap  (855966563, ... ) == 0xee0105b0
 02362  1292   NtGdiSaveDC  (-301922896, ... ) == 0x1
 02363  1292   NtGdiSelectBitmap  (-301922896, 855966563, ... ) == 0x33050363
 02364  1292   NtGdiGetDCObject  (-301922896, 524288, ... ) == 0x188000b
 02365  1292   NtUserSelectPalette  (-301922896, 25690123, 0, ... ) == 0x188000b
 02366  1292   NtGdiSetDIBitsToDeviceInternal  (-301922896, 0, 0, 16, 16, 0, 0, 0, 16, 1426324, 1433528, 0, 1024, 40, 1, 0, ... ) == 0x10
 02367  1292   NtUserSelectPalette  (-301922896, 25690123, 0, ... ) == 0x188000b
 02368  1292   NtGdiSelectBitmap  (-301922896, 855966563, ... ) == 0x33050363
 02369  1292   NtGdiRestoreDC  (-301922896, -1, ... ) == 0x1
 02370  1292   NtGdiSelectBitmap  (-301922896, 25493519, ... ) == 0x33050363
 02371  1292   NtGdiCreateBitmap  (16, 32, 1, 1, 0, ... ) == 0xad0507b5
 02372  1292   NtGdiCreateCompatibleDC  (-301922896, ... ) == 0x800104f2
 02373  1292   NtGdiSelectBitmap  (-2147416846, -1392179275, ... ) == 0x185000f
 02374  1292   NtGdiSelectBitmap  (-301922896, 1225066155, ... ) == 0x185000f
 02375  1292   NtGdiBitBlt  (-2147416846, 0, 0, 16, 16, -301922896, 0, 0, 13369376, -1, 0, ... ) == 0x1
 02376  1292   NtGdiSelectBitmap  (-2147416846, 25493519, ... ) == 0xad0507b5
 02377  1292   NtGdiSelectBitmap  (-301922896, 25493519, ... ) == 0x490506ab
 02378  1292   NtGdiDeleteObjectApp  (-2147416846, ... ) == 0x1
 02379  1292   NtUserSetCursorIconData  (590499, 1242192, 1242208, 1242300, ... ) == 0x1
 02380  1292   NtGdiDeleteObjectApp  (1225066155, ... ) == 0x1
 02381  1292   NtGdiDeleteObjectApp  (788858580, ... ) == 0x1
 02382  1292   NtUserGetIconInfo  (590499, 1242344, 0, 0, 0, 0, ... ) == 0x1
 02383  1292   NtGdiExtGetObjectW  (1241843371, 24, 1242268, ... ) == 0x18
 02384  1292   NtGdiExtGetObjectW  (1644496827, 24, 1242244, ... ) == 0x18
 02385  1292   NtGdiDeleteObjectApp  (1241843371, ... ) == 0x1
 02386  1292   NtGdiDeleteObjectApp  (1644496827, ... ) == 0x1
 02387  1292   NtUserGetIconInfo  (590499, 1242340, 0, 0, 0, 0, ... ) == 0x1
 02388  1292   NtGdiExtGetObjectW  (1258620587, 24, 1242256, ... ) == 0x18
 02389  1292   NtGdiExtGetObjectW  (1661274043, 24, 1242232, ... ) == 0x18
 02390  1292   NtGdiGetBitmapBits  (1258620587, 1024, 1426400, ... ) == 0x400
 02391  1292   NtGdiGetBitmapBits  (1661274043, 32, 1427424, ... ) == 0x20
 02392  1292   NtGdiDeleteObjectApp  (1258620587, ... ) == 0x1
 02393  1292   NtGdiDeleteObjectApp  (1661274043, ... ) == 0x1
 02394  1292   NtUserDestroyCursor  (590499, 1, ... ) == 0x1
 02395  1292   NtWaitForSingleObject  (120, 0, {-50000000, -1}, ... ) == 0x0
 02396  1292   NtReleaseMutant  (120, ... 0x0, ) == 0x0
 02397  1292   NtOpenEvent  (0x1f0003, {24, 48, 0x0, 0, 0,  (0x1f0003, {24, 48, 0x0, 0, 0, "MSCTF.SendReceive.Event.ENG.IC"}, ... 124, ) }, ... 124, ) == 0x0
 02398  1292   NtSetEvent  (124, ... 0x0, ) == 0x0
 02399  1292   NtClose  (132, ... ) == 0x0
 02400  1292   NtClose  (124, ... ) == 0x0
 02401  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 02402  1292   NtUserWaitMessage  (... ) == 0x1
 02403  1292   NtUserPeekMessage  (0, 0, 0, 1, ... {0x60144, WM_USER+0xbca6, 0x6d4, 0x28, 0xbb0d02, {0, 0}}, ) == 0x1
 02404  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02405  1292   NtUserCallMsgFilter  (1243636, 0, ... ) == 0x0
 02406  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 02407  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 02408  1292   NtOpenEvent  (0x1f0003, {24, 48, 0x0, 0, 0,  (0x1f0003, {24, 48, 0x0, 0, 0, "MSCTF.SendReceiveConection.Event.ENG.IC"}, ... 124, ) }, ... 124, ) == 0x0
 02409  1292   NtSetEvent  (124, ... 0x0, ) == 0x0
 02410  1292   NtWaitForSingleObject  (120, 0, {-50000000, -1}, ... ) == 0x0
 02411  1292   NtUnmapViewOfSection  (-1, 0xa90000, ... ) == 0x0
 02412  1292   NtClose  (136, ... ) == 0x0
 02413  1292   NtReleaseMutant  (120, ... 0x0, ) == 0x0
 02414  1292   NtQueryDefaultLocale  (1, 1241472, ... ) == 0x0
 02415  1292   NtQueryDefaultLocale  (1, 1241492, ... ) == 0x0
 02416  1292   NtUserGetDC  (0, ... ) == 0x1010054
 02417  1292   NtGdiCreateCompatibleBitmap  (16842836, 16, 16, ... ) == 0x660507bb
 02418  1292   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 02419  1292   NtGdiSelectBitmap  (-301922896, 1711605691, ... ) == 0x185000f
 02420  1292   NtGdiGetDCforBitmap  (1711605691, ... ) == 0xee0105b0
 02421  1292   NtGdiSaveDC  (-301922896, ... ) == 0x1
 02422  1292   NtGdiSelectBitmap  (-301922896, 1711605691, ... ) == 0x660507bb
 02423  1292   NtGdiGetDCObject  (-301922896, 524288, ... ) == 0x188000b
 02424  1292   NtUserSelectPalette  (-301922896, 25690123, 0, ... ) == 0x188000b
 02425  1292   NtGdiSetDIBitsToDeviceInternal  (-301922896, 0, 0, 16, 16, 0, 0, 0, 16, 1953912544, 1416904, 0, 128, 104, 1, 0, ... ) == 0x10
 02426  1292   NtUserSelectPalette  (-301922896, 25690123, 0, ... ) == 0x188000b
 02427  1292   NtGdiSelectBitmap  (-301922896, 1711605691, ... ) == 0x660507bb
 02428  1292   NtGdiRestoreDC  (-301922896, -1, ... ) == 0x1
 02429  1292   NtGdiSelectBitmap  (-301922896, 25493519, ... ) == 0x660507bb
 02430  1292   NtUserGetDC  (0, ... ) == 0x1010054
 02431  1292   NtGdiCreateDIBitmapInternal  (16842836, 16, 32, 2, 0, 2118583256, 0, 48, 0, 0, 0, ... ) == 0x4f0506ab
 02432  1292   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 02433  1292   NtGdiSelectBitmap  (-301922896, 1325729451, ... ) == 0x185000f
 02434  1292   NtGdiGetDCforBitmap  (1325729451, ... ) == 0xee0105b0
 02435  1292   NtGdiSaveDC  (-301922896, ... ) == 0x1
 02436  1292   NtGdiSelectBitmap  (-301922896, 1325729451, ... ) == 0x4f0506ab
 02437  1292   NtGdiGetDCObject  (-301922896, 524288, ... ) == 0x188000b
 02438  1292   NtUserSelectPalette  (-301922896, 25690123, 0, ... ) == 0x188000b
 02439  1292   NtGdiSetDIBitsToDeviceInternal  (-301922896, 0, 0, 16, 32, 0, 0, 0, 32, 1953912608, 1416904, 0, 128, 48, 1, 0, ... ) == 0x20
 02440  1292   NtUserSelectPalette  (-301922896, 25690123, 0, ... ) == 0x188000b
 02441  1292   NtGdiSelectBitmap  (-301922896, 1325729451, ... ) == 0x4f0506ab
 02442  1292   NtGdiRestoreDC  (-301922896, -1, ... ) == 0x1
 02443  1292   NtGdiSelectBitmap  (-301922896, 25493519, ... ) == 0x4f0506ab
 02444  1292   NtGdiCreateCompatibleDC  (-301922896, ... ) == 0x39010363
 02445  1292   NtGdiExtGetObjectW  (1325729451, 24, 1240924, ... ) == 0x18
 02446  1292   NtGdiCreateBitmap  (16, 32, 1, 1, 0, ... ) == 0xb20507b5
 02447  1292   NtGdiSelectBitmap  (-301922896, 1325729451, ... ) == 0x185000f
 02448  1292   NtGdiSelectBitmap  (956367715, -1308293195, ... ) == 0x185000f
 02449  1292   NtGdiBitBlt  (956367715, 0, 0, 16, 32, -301922896, 0, 0, 13369376, -1, 0, ... ) == 0x1
 02450  1292   NtGdiSelectBitmap  (-301922896, 25493519, ... ) == 0x4f0506ab
 02451  1292   NtGdiSelectBitmap  (956367715, 25493519, ... ) == 0xb20507b5
 02452  1292   NtGdiDeleteObjectApp  (1325729451, ... ) == 0x1
 02453  1292   NtGdiDeleteObjectApp  (956367715, ... ) == 0x1
 02454  1292   NtUserCallOneParam  (0, 33, ... ) == 0xb02a3
 02455  1292   NtUserSetCursorIconData  (721571, 1240972, 1240988, 1241052, ... ) == 0x1
 02456  1292   NtUserGetIconInfo  (721571, 1242344, 0, 0, 0, 0, ... ) == 0x1
 02457  1292   NtGdiExtGetObjectW  (906299092, 24, 1242268, ... ) == 0x18
 02458  1292   NtGdiExtGetObjectW  (990184291, 24, 1242244, ... ) == 0x18
 02459  1292   NtGdiDeleteObjectApp  (906299092, ... ) == 0x1
 02460  1292   NtGdiDeleteObjectApp  (990184291, ... ) == 0x1
 02461  1292   NtUserGetIconInfo  (721571, 1242340, 0, 0, 0, 0, ... ) == 0x1
 02462  1292   NtGdiExtGetObjectW  (923076308, 24, 1242256, ... ) == 0x18
 02463  1292   NtGdiExtGetObjectW  (1006961507, 24, 1242232, ... ) == 0x18
 02464  1292   NtGdiGetBitmapBits  (923076308, 1024, 1426400, ... ) == 0x400
 02465  1292   NtGdiGetBitmapBits  (1006961507, 32, 1427424, ... ) == 0x20
 02466  1292   NtGdiDeleteObjectApp  (923076308, ... ) == 0x1
 02467  1292   NtGdiDeleteObjectApp  (1006961507, ... ) == 0x1
 02468  1292   NtUserDestroyCursor  (721571, 1, ... ) == 0x1
 02469  1292   NtWaitForSingleObject  (120, 0, {-50000000, -1}, ... ) == 0x0
 02470  1292   NtReleaseMutant  (120, ... 0x0, ) == 0x0
 02471  1292   NtOpenEvent  (0x1f0003, {24, 48, 0x0, 0, 0,  (0x1f0003, {24, 48, 0x0, 0, 0, "MSCTF.SendReceive.Event.ENG.IC"}, ... 136, ) }, ... 136, ) == 0x0
 02472  1292   NtSetEvent  (136, ... 0x0, ) == 0x0
 02473  1292   NtClose  (124, ... ) == 0x0
 02474  1292   NtClose  (136, ... ) == 0x0
 02475  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 02476  1292   NtUserWaitMessage  (... ) == 0x1
 02477  1292   NtUserPeekMessage  (0, 0, 0, 1, ... {0x60144, WM_USER+0xbca6, 0x6d4, 0x28, 0xbb0d02, {0, 0}}, ) == 0x1
 02478  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02479  1292   NtUserCallMsgFilter  (1243636, 0, ... ) == 0x0
 02480  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 02481  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 02482  1292   NtOpenEvent  (0x1f0003, {24, 48, 0x0, 0, 0,  (0x1f0003, {24, 48, 0x0, 0, 0, "MSCTF.SendReceiveConection.Event.ENG.IC"}, ... 136, ) }, ... 136, ) == 0x0
 02483  1292   NtSetEvent  (136, ... 0x0, ) == 0x0
 02484  1292   NtWaitForSingleObject  (120, 0, {-50000000, -1}, ... ) == 0x0
 02485  1292   NtReleaseMutant  (120, ... 0x0, ) == 0x0
 02486  1292   NtQueryDefaultLocale  (1, 1241492, ... ) == 0x0
 02487  1292   NtQueryDefaultLocale  (1, 1241512, ... ) == 0x0
 02488  1292   NtUserGetDC  (0, ... ) == 0x1010054
 02489  1292   NtGdiCreateCompatibleBitmap  (16842836, 16, 16, ... ) == 0x3a0506d4
 02490  1292   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 02491  1292   NtGdiSelectBitmap  (-301922896, 973407956, ... ) == 0x185000f
 02492  1292   NtGdiGetDCforBitmap  (973407956, ... ) == 0xee0105b0
 02493  1292   NtGdiSaveDC  (-301922896, ... ) == 0x1
 02494  1292   NtGdiSelectBitmap  (-301922896, 973407956, ... ) == 0x3a0506d4
 02495  1292   NtGdiGetDCObject  (-301922896, 524288, ... ) == 0x188000b
 02496  1292   NtUserSelectPalette  (-301922896, 25690123, 0, ... ) == 0x188000b
 02497  1292   NtGdiSetDIBitsToDeviceInternal  (-301922896, 0, 0, 16, 16, 0, 0, 0, 16, 1953913504, 1416904, 0, 128, 104, 1, 0, ... ) == 0x10
 02498  1292   NtUserSelectPalette  (-301922896, 25690123, 0, ... ) == 0x188000b
 02499  1292   NtGdiSelectBitmap  (-301922896, 973407956, ... ) == 0x3a0506d4
 02500  1292   NtGdiRestoreDC  (-301922896, -1, ... ) == 0x1
 02501  1292   NtGdiSelectBitmap  (-301922896, 25493519, ... ) == 0x3a0506d4
 02502  1292   NtUserGetDC  (0, ... ) == 0x1010054
 02503  1292   NtGdiCreateDIBitmapInternal  (16842836, 16, 32, 2, 0, 2118583256, 0, 48, 0, 0, 0, ... ) == 0x450504ce
 02504  1292   NtUserCallOneParam  (16842836, 57, ... ) == 0x1
 02505  1292   NtGdiSelectBitmap  (-301922896, 1157956814, ... ) == 0x185000f
 02506  1292   NtGdiGetDCforBitmap  (1157956814, ... ) == 0xee0105b0
 02507  1292   NtGdiSaveDC  (-301922896, ... ) == 0x1
 02508  1292   NtGdiSelectBitmap  (-301922896, 1157956814, ... ) == 0x450504ce
 02509  1292   NtGdiGetDCObject  (-301922896, 524288, ... ) == 0x188000b
 02510  1292   NtUserSelectPalette  (-301922896, 25690123, 0, ... ) == 0x188000b
 02511  1292   NtGdiSetDIBitsToDeviceInternal  (-301922896, 0, 0, 16, 32, 0, 0, 0, 32, 1953913568, 1416904, 0, 128, 48, 1, 0, ... ) == 0x20
 02512  1292   NtUserSelectPalette  (-301922896, 25690123, 0, ... ) == 0x188000b
 02513  1292   NtGdiSelectBitmap  (-301922896, 1157956814, ... ) == 0x450504ce
 02514  1292   NtGdiRestoreDC  (-301922896, -1, ... ) == 0x1
 02515  1292   NtGdiSelectBitmap  (-301922896, 25493519, ... ) == 0x450504ce
 02516  1292   NtGdiCreateCompatibleDC  (-301922896, ... ) == 0xb80107b5
 02517  1292   NtGdiExtGetObjectW  (1157956814, 24, 1240944, ... ) == 0x18
 02518  1292   NtGdiCreateBitmap  (16, 32, 1, 1, 0, ... ) == 0x41050363
 02519  1292   NtGdiSelectBitmap  (-301922896, 1157956814, ... ) == 0x185000f
 02520  1292   NtGdiSelectBitmap  (-1207892043, 1090847587, ... ) == 0x185000f
 02521  1292   NtGdiBitBlt  (-1207892043, 0, 0, 16, 32, -301922896, 0, 0, 13369376, -1, 0, ... ) == 0x1
 02522  1292   NtGdiSelectBitmap  (-301922896, 25493519, ... ) == 0x450504ce
 02523  1292   NtGdiSelectBitmap  (-1207892043, 25493519, ... ) == 0x41050363
 02524  1292   NtGdiDeleteObjectApp  (1157956814, ... ) == 0x1
 02525  1292   NtGdiDeleteObjectApp  (-1207892043, ... ) == 0x1
 02526  1292   NtUserCallOneParam  (0, 33, ... ) == 0xd02a3
 02527  1292   NtUserSetCursorIconData  (852643, 1240992, 1241008, 1241072, ... ) == 0x1
 02528  1292   NtUserGetIconInfo  (852643, 1242344, 0, 0, 0, 0, ... ) == 0x1
 02529  1292   NtGdiExtGetObjectW  (1426392747, 24, 1242268, ... ) == 0x18
 02530  1292   NtGdiExtGetObjectW  (-1174075467, 24, 1242244, ... ) == 0x18
 02531  1292   NtGdiDeleteObjectApp  (1426392747, ... ) == 0x1
 02532  1292   NtGdiDeleteObjectApp  (-1174075467, ... ) == 0x1
 02533  1292   NtUserGetIconInfo  (852643, 1242340, 0, 0, 0, 0, ... ) == 0x1
 02534  1292   NtGdiExtGetObjectW  (1443169963, 24, 1242256, ... ) == 0x18
 02535  1292   NtGdiExtGetObjectW  (-1157298251, 24, 1242232, ... ) == 0x18
 02536  1292   NtGdiGetBitmapBits  (1443169963, 1024, 1426400, ... ) == 0x400
 02537  1292   NtGdiGetBitmapBits  (-1157298251, 32, 1427424, ... ) == 0x20
 02538  1292   NtGdiDeleteObjectApp  (1443169963, ... ) == 0x1
 02539  1292   NtGdiDeleteObjectApp  (-1157298251, ... ) == 0x1
 02540  1292   NtUserDestroyCursor  (852643, 1, ... ) == 0x1
 02541  1292   NtWaitForSingleObject  (120, 0, {-50000000, -1}, ... ) == 0x0
 02542  1292   NtReleaseMutant  (120, ... 0x0, ) == 0x0
 02543  1292   NtOpenEvent  (0x1f0003, {24, 48, 0x0, 0, 0,  (0x1f0003, {24, 48, 0x0, 0, 0, "MSCTF.SendReceive.Event.ENG.IC"}, ... 124, ) }, ... 124, ) == 0x0
 02544  1292   NtSetEvent  (124, ... 0x0, ) == 0x0
 02545  1292   NtClose  (136, ... ) == 0x0
 02546  1292   NtClose  (124, ... ) == 0x0
 02547  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 02548  1292   NtUserWaitMessage  (... ) == 0x1
 02549  1292   NtUserPeekMessage  (0, 0, 0, 1, ... {0x12012c, WM_TIMER, 0x1, 0x0, 0xbb0d41, {0, 0}}, ) == 0x1
 02550  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02551  1292   NtUserCallMsgFilter  (1243636, 0, ... ) == 0x0
 02552  1292   NtUserValidateHandleSecure  (1179948, ... ) == 0x1
 02553  1292   NtUserValidateHandleSecure  (1179948, ... ) == 0x1
 02554  1292   NtUserValidateHandleSecure  (1179948, ... ) == 0x1
 02555  1292   NtUserValidateHandleSecure  (1179948, ... ) == 0x1
 02556  1292   NtUserKillTimer  (1179948, 1, ... ) == 0x1
 02557  1292   NtUserValidateHandleSecure  (0, ... ) == 0x0
 02558  1292   NtUserWaitMessage  (... ) == 0x1
 02559  1292   NtUserPeekMessage  (0, 0, 0, 1, ... {0x1800f4, WM_KEYFIRST, 0x20, 0x0, 0xbb0d50, {0, 0}}, ) == 0x1
 02560  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02561  1292   NtUserCallMsgFilter  (1243636, 0, ... ) == 0x0
 02562  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02563  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02564  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02565  1292   NtUserTranslateMessage  (1243728, 0, ... ) == 0x1
 02566  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02567  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02568  1292   NtUserSetCapture  (1573108, ... ) == 0x0
 02569  1292   NtUserSetFocus  (1573108, ... ) == 0x1800f4
 02570  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02571  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02572  1292   NtUserInvalidateRect  (1573108, 0, 0, ... ) == 0x1
 02573  1292   NtUserPeekMessage  (0, 0, 0, 1, ... {0x1800f4, WM_CHAR, 0x20, 0x0, 0xbb0d50, {0, 0}}, ) == 0x1
 02574  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02575  1292   NtUserCallMsgFilter  (1243636, 0, ... ) == 0x0
 02576  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02577  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02578  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02579  1292   NtUserPeekMessage  (0, 0, 0, 1, ... {0x1800f4, WM_PAINT, 0x0, 0x0, 0xbb0d50, {0, 0}}, ) == 0x1
 02580  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02581  1292   NtUserCallMsgFilter  (1243636, 0, ... ) == 0x0
 02582  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02583  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02584  1292   NtUserDispatchMessage  ({0x1800f4, WM_PAINT, 0x0, 0x0, 0xbb0d50, {0, 0}}, ...
 02585  1292   NtUserBeginPaint  (0x1800f4, 1243200, ... ) == 0x1010050
 02586  1292   NtGdiCreateCompatibleDC  (16842832, ... ) == 0x4d0104ce
 02587  1292   NtGdiCreateCompatibleBitmap  (16842832, 75, 23, ... ) == 0x700507bb
 02588  1292   NtGdiSelectBitmap  (1291912398, 1879377851, ... ) == 0x185000f
 02589  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02590  1292   NtUserSetProp  (721154, 43286, 1, ... ) == 0x1
 02591  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02592  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02593  1292   NtUserFillWindow  (721154, 721154, 1291912398, 4, ...
 02594  1292   NtUserGetAncestor  (721154, 1, ... ) == 0x10014
 02595  1292   NtUserValidateHandleSecure  (65556, ... ) == 0x1
 02596  1292   NtUserGetAncestor  (65556, 1, ... ) == 0x0
 02593  1292   NtUserFillWindow  ... ) == 0x1
 02597  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02598  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02599  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02600  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02601  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02602  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02603  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02604  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02605  1292   NtUserSetProp  (721154, 43286, 2, ... ) == 0x1
 02606  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02607  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02608  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02609  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02610  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02611  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02612  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02613  1292   NtUserRemoveProp  (721154, 43286, ... ) == 0x2
 02614  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02615  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02616  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02617  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02618  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02619  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02620  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02621  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02622  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02623  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02624  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02625  1292   NtGdiIntersectClipRect  (1291912398, 0, 0, 75, 23, ... ) == 0x3
 02626  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02627  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02628  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02629  1292   NtGdiDrawStream  (1291912398, 96, 1241836, ... ) == 0x1
 02630  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02631  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02632  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02633  1292   NtGdiGetRandomRgn  (1291912398, 570688982, 1, ... ) == 0x1
 02634  1292   NtGdiIntersectClipRect  (1291912398, 3, 3, 72, 20, ... ) == 0x3
 02635  1292   NtGdiExtSelectClipRgn  (1291912398, 570688982, 5, ... ) == 0x2
 02636  1292   NtGdiBitBlt  (16842832, 0, 0, 75, 23, 1291912398, 0, 0, 13369376, -1, 0, ... ) == 0x1
 02637  1292   NtGdiSelectBitmap  (1291912398, 25493519, ... ) == 0x700507bb
 02638  1292   NtGdiDeleteObjectApp  (1879377851, ... ) == 0x1
 02639  1292   NtGdiDeleteObjectApp  (1291912398, ... ) == 0x1
 02640  1292   NtUserEndPaint  (0x1800f4, 1243200, ... ) == 0x1
 02584  1292   NtUserDispatchMessage  ... ) == 0x0
 02641  1292   NtUserPeekMessage  (0, 0, 0, 1, ... {0x1800f4, WM_KEYFIRST, 0xd, 0x0, 0xbb0d50, {0, 0}}, ) == 0x1
 02642  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02643  1292   NtUserCallMsgFilter  (1243636, 0, ... ) == 0x0
 02644  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02645  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02646  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02647  1292   NtUserGetThreadState  (0, ... ) == 0x1800f4
 02648  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02649  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02650  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02651  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02652  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02653  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02654  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02655  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02656  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02657  1292   NtUserGetThreadState  (1, ... ) == 0xb0102
 02658  1292   NtUserGetThreadState  (0, ... ) == 0x1800f4
 02659  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02660  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02661  1292   NtUserSetFocus  (721154, ...
 02662  1292   NtUserPostThreadMessage  (1292, 49313, 17, 721154, ... ) == 0x1
 02663  1292   NtUserInvalidateRect  (1573108, 0, 0, ... ) == 0x1
 02664  1292   NtUserCallNoParam  (13, ... ) == 0x1
 02665  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02666  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02667  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02668  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02669  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02670  1292   NtUserGetThreadState  (1, ... ) == 0xb0102
 02671  1292   NtUserGetThreadState  (0, ... ) == 0xb0102
 02672  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02673  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02674  1292   NtUserSetWindowPos  (721154, 0, 0, 0, 0, 0, 151, ...
 02675  1292   NtUserInternalGetWindowText  (0xb0102, 260, ...  (0xb0102, 260, ... "NSIS Error", ) , ) == 0xa
 02676  1292   NtUserGetWindowDC  (721154, ... ) == 0x1010050
 02677  1292   NtGdiGetRandomRgn  (16842832, 587466198, 1, ... ) == 0x0
 02678  1292   NtGdiIntersectClipRect  (16842832, 0, 0, 0, 0, ... ) == 0x3
 02679  1292   NtGdiGetCharSet  (16842832, ... ) == 0x4e4
 02680  1292   NtGdiExtSelectClipRgn  (16842832, 0, 5, ... ) == 0x1
 02681  1292   NtUserCallOneParam  (16842832, 57, ... ) == 0x1
 02682  1292   NtUserCalcMenuBar  (721154, 3, 3, 29, 3353232, ... ) == 0x0
 02683  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x2, 0x0, 1240572, 690, 0, ...
 02684  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x2, 0x0, 0, 670, 0, ... ) == 0x0
 02683  1292   NtUserMessageCall  ... ) == 0x0
 02685  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x0, 0x0, 1240572, 690, 0, ...
 02686  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x0, 0x0, 0, 670, 0, ... ) == 0x0
 02685  1292   NtUserMessageCall  ... ) == 0x0
 02687  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x1, 0x0, 1240572, 690, 0, ...
 02688  1292   NtUserMessageCall  (0xb0102, WM_GETICON, 0x1, 0x0, 0, 670, 0, ... ) == 0x0
 02687  1292   NtUserMessageCall  ... ) == 0x0
 02689  1292   NtUserGetTitleBarInfo  (721154, 1241204, ... ) == 0x1
 02690  1292   NtUserBuildHwndList  (0, 721154, 1, 0, 64, ... (0x1800f4, 0x500fc, 0xd011a, 0x1, ), 4, ) == 0x0
 02691  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02692  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02693  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02694  1292   NtUserValidateHandleSecure  (327932, ... ) == 0x1
 02695  1292   NtUserValidateHandleSecure  (327932, ... ) == 0x1
 02696  1292   NtUserValidateHandleSecure  (327932, ... ) == 0x1
 02697  1292   NtUserValidateHandleSecure  (852250, ... ) == 0x1
 02698  1292   NtUserValidateHandleSecure  (852250, ... ) == 0x1
 02699  1292   NtUserValidateHandleSecure  (852250, ... ) == 0x1
 02674  1292   NtUserSetWindowPos  ... ) == 0x1
 02700  1292   NtUserGetThreadState  (1, ... ) == 0xb0102
 02701  1292   NtUserCallNoParam  (15, ... ) == 0xbc654928
 02702  1292   NtUserPostMessage  (721154, 0, 0, 0, ... ) == 0x1
 02703  1292   NtUserInvalidateRect  (1573108, 0, 0, ... ) == 0x1
 02704  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02705  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02706  1292   NtUserCallOneParam  (0, 40, ... ) == 0x4090409
 02707  1292   NtUserCallOneParam  (0, 40, ... ) == 0x4090409
 02708  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02709  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02710  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02711  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02712  1292   NtUserQueryWindow  (1573108, 7, ... ) == 0x90114
 02713  1292   NtUserValidateHandleSecure  (1179948, ... ) == 0x1
 02714  1292   NtUserValidateHandleSecure  (1179948, ... ) == 0x1
 02715  1292   NtUserValidateHandleSecure  (1179948, ... ) == 0x1
 02716  1292   NtUserKillTimer  (1179948, 1, ... ) == 0x0
 02717  1292   NtUserSetTimer  (1179948, 1, 300, 0, ... ) == 0x1
 02718  1292   NtUserCallNoParam  (7, ... ) == 0x1
 02719  1292   NtUserQueryWindow  (590100, 3, ... ) == 0x0
 02720  1292   NtUserValidateHandleSecure  (0, ... ) == 0x0
 02721  1292   NtUserQueryWindow  (590100, 2, ... ) == 0x0
 02722  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02723  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02724  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02725  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02726  1292   NtUserQueryWindow  (1573108, 7, ... ) == 0x90114
 02727  1292   NtUserValidateHandleSecure  (1573108, ... ) == 0x1
 02728  1292   NtUserValidateHandleSecure  (1179948, ... ) == 0x1
 02729  1292   NtUserValidateHandleSecure  (1179948, ... ) == 0x1
 02661  1292   NtUserSetFocus  ... ) == 0x1800f4
 02730  1292   NtUserSetWindowPos  (721154, 0, 0, 0, 0, 0, 151, ... ) == 0x1
 02731  1292   NtUserGetThreadState  (1, ... ) == 0x0
 02732  1292   NtUserPostMessage  (721154, 0, 0, 0, ... ) == 0x1
 02733  1292   NtUserDestroyWindow  (721154, ...
 02734  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02735  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02736  1292   NtUserGetThreadState  (0, ... ) == 0x0
 02737  1292   NtUserBuildHwndList  (0, 0, 0, 1292, 64, ... (0xb0102, 0x12012c, 0x90114, 0x1, ), 4, ) == 0x0
 02738  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02739  1292   NtUserValidateHandleSecure  (1179948, ... ) == 0x1
 02740  1292   NtUserValidateHandleSecure  (1179948, ... ) == 0x1
 02741  1292   NtUserValidateHandleSecure  (590100, ... ) == 0x1
 02742  1292   NtUserValidateHandleSecure  (590100, ... ) == 0x1
 02743  1292   NtUserValidateHandleSecure  (590100, ... ) == 0x1
 02744  1292   NtUserCallOneParam  (8, 43, ... ) == 0x80008
 02745  1292   NtUserCallOneParam  (8, 43, ... ) == 0x80000
 02746  1292   NtUserPeekMessage  (393540, 0, 0, 9961475, ... {0x7e470254, WM_USER+0x156a18, 0x15a028, 0xb0102, 0x0, {2118223026, 2118313942}}, ) == 0x0
 02747  1292   NtUserCallOneParam  (8, 43, ... ) == 0x80000
 02748  1292   NtUserPeekMessage  (0, 49313, 49313, 9961475, ... {0x0, WM_USER+0xbca1, 0x11, 0xb0102, 0xbb0d60, {0, 0}}, ) == 0x1
 02749  1292   NtUserPeekMessage  (0, 49313, 49313, 9961475, ... {0x0, WM_USER+0xbca1, 0x11, 0xb0102, 0xbb0d60, {0, 0}}, ) == 0x0
 02750  1292   NtUserCallOneParam  (8, 43, ... ) == 0x80000
 02751  1292   NtUserPeekMessage  (0, 49318, 49318, 9961475, ... {0x0, WM_USER+0xbca1, 0x11, 0xb0102, 0xbb0d60, {0, 0}}, ) == 0x0
 02752  1292   NtUserCallOneParam  (8, 43, ... ) == 0x80000
 02753  1292   NtUserPeekMessage  (0, 49319, 49319, 9961475, ... {0x0, WM_USER+0xbca1, 0x11, 0xb0102, 0xbb0d60, {0, 0}}, ) == 0x0
 02754  1292   NtUserCallOneParam  (8, 43, ... ) == 0x80000
 02755  1292   NtUserPeekMessage  (0, 49321, 49321, 9961475, ... {0x0, WM_USER+0xbca1, 0x11, 0xb0102, 0xbb0d60, {0, 0}}, ) == 0x0
 02756  1292   NtUserBuildHwndList  (0, 0, 0, 1292, 64, ... (0xb0102, 0x12012c, 0x90114, 0x1, ), 4, ) == 0x0
 02757  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02758  1292   NtUserValidateHandleSecure  (1179948, ... ) == 0x1
 02759  1292   NtUserDestroyCursor  (65545, 1, ... ) == 0x1
 02760  1292   NtUserValidateHandleSecure  (590100, ... ) == 0x1
 02761  1292   NtUserValidateHandleSecure  (590100, ... ) == 0x1
 02762  1292   NtUserGetThreadState  (0, ... ) == 0x0
 02763  1292   NtUserBuildHwndList  (0, 0, 0, 1292, 64, ... (0xb0102, 0x12012c, 0x90114, 0x1, ), 4, ) == 0x0
 02764  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02765  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02766  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02767  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02768  1292   NtUserValidateHandleSecure  (1179948, ... ) == 0x1
 02769  1292   NtUserValidateHandleSecure  (1179948, ... ) == 0x1
 02770  1292   NtUserValidateHandleSecure  (590100, ... ) == 0x1
 02771  1292   NtUserCallOneParam  (8, 43, ... ) == 0x80000
 02772  1292   NtUserCallOneParam  (8, 43, ... ) == 0x80000
 02773  1292   NtUserPeekMessage  (393540, 0, 0, 9961475, ... {0x7e470254, WM_USER+0x156a18, 0x15a028, 0x90114, 0x0, {2118223026, 2118313942}}, ) == 0x0
 02774  1292   NtUserCallOneParam  (8, 43, ... ) == 0x80000
 02775  1292   NtUserPeekMessage  (0, 49313, 49313, 9961475, ... {0x7e470254, WM_USER+0x156a18, 0x15a028, 0x90114, 0x0, {2118223026, 2118313942}}, ) == 0x0
 02776  1292   NtUserCallOneParam  (8, 43, ... ) == 0x80000
 02777  1292   NtUserPeekMessage  (0, 49318, 49318, 9961475, ... {0x7e470254, WM_USER+0x156a18, 0x15a028, 0x90114, 0x0, {2118223026, 2118313942}}, ) == 0x0
 02778  1292   NtUserCallOneParam  (8, 43, ... ) == 0x80000
 02779  1292   NtUserPeekMessage  (0, 49319, 49319, 9961475, ... {0x7e470254, WM_USER+0x156a18, 0x15a028, 0x90114, 0x0, {2118223026, 2118313942}}, ) == 0x0
 02780  1292   NtUserCallOneParam  (8, 43, ... ) == 0x80000
 02781  1292   NtUserPeekMessage  (0, 49321, 49321, 9961475, ... {0x7e470254, WM_USER+0x156a18, 0x15a028, 0x90114, 0x0, {2118223026, 2118313942}}, ) == 0x0
 02782  1292   NtUserBuildHwndList  (0, 0, 0, 1292, 64, ... (0xb0102, 0x12012c, 0x90114, 0x1, ), 4, ) == 0x0
 02783  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02784  1292   NtUserValidateHandleSecure  (1179948, ... ) == 0x1
 02785  1292   NtUserValidateHandleSecure  (1179948, ... ) == 0x1
 02786  1292   NtUserBuildHwndList  (0, 0, 0, 1292, 64, ... (0xb0102, 0x12012c, 0x90114, 0x1, ), 4, ) == 0x0
 02787  1292   NtUserValidateHandleSecure  (721154, ... ) == 0x1
 02788  1292   NtUserKillTimer  (0, 0, ... ) == 0x0
 02789  1292   NtUserValidateHandleSecure  (0, ... ) == 0x0
 02790  1292   NtUserKillTimer  (0, 0, ... ) == 0x0
 02791  1292   NtUserValidateHandleSecure  (0, ... ) == 0x0
 02792  1292   NtUserKillTimer  (0, 0, ... ) == 0x0
 02793  1292   NtUserValidateHandleSecure  (0, ... ) == 0x0
 02794  1292   NtUserKillTimer  (0, 0, ... ) == 0x0
 02795  1292   NtUserValidateHandleSecure  (0, ... ) == 0x0
 02796  1292   NtUserSetWindowLong  (1179948, 4, 0, 1, ... ) == 0x156938
 02797  1292   NtUserKillTimer  (0, 0, ... ) == 0x0
 02798  1292   NtUserValidateHandleSecure  (0, ... ) == 0x0
 02799  1292   NtUserKillTimer  (0, 0, ... ) == 0x0
 02800  1292   NtUserValidateHandleSecure  (0, ... ) == 0x0
 02801  1292   NtUserKillTimer  (0, 0, ... ) == 0x0
 02802  1292   NtUserValidateHandleSecure  (0, ... ) == 0x0
 02803  1292   NtUserKillTimer  (0, 0, ... ) == 0x0
 02804  1292   NtUserValidateHandleSecure  (0, ... ) == 0x0
 02805  1292   NtUserKillTimer  (0, 0, ... ) == 0x0
 02806  1292   NtUserKillTimer  (0, 0, ... ) == 0x0
 02807  1292   NtUserKillTimer  (0, 0, ... ) == 0x0
 02808  1292   NtUserKillTimer  (0, 0, ... ) == 0x0
 02809  1292   NtUserRemoveProp  (1179948, 43288, ... ) == 0xffffffff
 02810  1292   NtUserRemoveProp  (1179948, 43282, ... ) == 0x0
 02811  1292   NtUserRemoveProp  (1179948, 43287, ... ) == 0x0
 02812  1292   NtUserBuildHwndList  (0, 0, 0, 1292, 64, ... (0xb0102, 0x90114, 0x1, ), 3, ) == 0x0
 02813  1292   NtUserValidateHandleSecure  (1179948, ... ) == 0x0
 02814  1292   NtUserSetWindowFNID  (590100, 16384, ... ) == 0x1
 02815  1292   NtUserRemoveProp  (590100, 43288, ... ) == 0xffffffff
 02816  1292   NtUserRemoveProp  (590100, 43282, ... ) == 0x0
 02817  1292   NtUserRemoveProp  (590100, 43287, ... ) == 0x0
 02818  1292   NtUserSetWindowLong  (1573108, 0, 0, 0, ... ) == 0x156a58
 02819  1292   NtUserRemoveProp  (1573108, 43288, ... ) == 0xffffffff
 02820  1292   NtUserRemoveProp  (1573108, 43282, ... ) == 0x10002
 02821  1292   NtUserRemoveProp  (1573108, 43287, ... ) == 0x0
 02822  1292   NtUserSetWindowLong  (327932, 0, 0, 0, ... ) == 0x15a630
 02823  1292   NtUserRemoveProp  (327932, 43288, ... ) == 0xffffffff
 02824  1292   NtUserRemoveProp  (327932, 43282, ... ) == 0x0
 02825  1292   NtUserRemoveProp  (327932, 43287, ... ) == 0x0
 02826  1292   NtUserSetWindowLong  (852250, 0, 0, 0, ... ) == 0x156d78
 02827  1292   NtUserRemoveProp  (852250, 43288, ... ) == 0xffffffff
 02828  1292   NtUserRemoveProp  (852250, 43282, ... ) == 0x0
 02829  1292   NtUserRemoveProp  (852250, 43287, ... ) == 0x0
 02830  1292   NtUserSetThreadState  (0, 16384, ... ) == 0x816d4020
 02831  1292   NtGdiDeleteObjectApp  (-1660287378, ... ) == 0x1
 02832  1292   NtUserCallHwndParam  (721154, 0, 79, ... ) == 0x0
 02833  1292   NtUserRemoveProp  (721154, 43285, ... ) == 0x0
 02834  1292   NtUserRemoveProp  (721154, 43288, ... ) == 0x3329d8
 02835  1292   NtGdiDeleteObjectApp  (-1778121036, ... ) == 0x1
 02836  1292   NtUserRemoveProp  (721154, 43282, ... ) == 0x0
 02837  1292   NtUserRemoveProp  (721154, 43287, ... ) == 0x2
 02733  1292   NtUserDestroyWindow  ... ) == 0x1
 02838  1292   NtUserSetCursor  (65557, ... ) == 0x10015
 02839  1292   NtTerminateProcess  (0, 2, ... ) == 0x0
 02840  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\Msctf.dll"}, 1241736, ... ) }, 1241736, ... ) == 0x0
 02841  1292   NtQueryAttributesFile  ({24, 0, 0x40, 0, 0,  ({24, 0, 0x40, 0, 0, "\??\C:\WINDOWS\system32\Msctf.dll"}, 1241644, ... ) }, 1241644, ... ) == 0x0
 02842  1292   NtUserGetClassInfo  (1968963584, 1243972, 1244536, 1243968, 0, ... ) == 0xc079
 02843  1292   NtUserUnregisterClass  (1243976, 1968963584, 1243964, ... ) == 0x1
 02844  1292   NtUserDestroyCursor  (65539, 1, ... ) == 0x1
 02845  1292   NtUserDestroyCursor  (4522213, 1, ... ) == 0x0
 02846  1292   NtUserGetClassInfo  (1968963584, 1243972, 1244536, 1243968, 0, ... ) == 0xc07a
 02847  1292   NtUserUnregisterClass  (1243976, 1968963584, 1243964, ... ) == 0x1
 02848  1292   NtUserDestroyCursor  (0, 1, ... ) == 0x0
 02849  1292   NtUserDestroyCursor  (0, 1, ... ) == 0x0
 02850  1292   NtSetInformationThread  (-2, ZeroTlsCell, {ZeroTlsCell=0xa,}, 4, ... ) == 0x0
 02851  1292   NtGdiDeleteObjectApp  (1023477100, ... ) == 0x1
 02852  1292   NtGdiDeleteObjectApp  (-956234582, ... ) == 0x1
 02853  1292   NtGdiDeleteObjectApp  (-1694431919, ... ) == 0x1
 02854  1292   NtUserPostThreadMessage  (1748, 49315, 0, 1292, ... ) == 0x1
 02855  1292   NtUserPostThreadMessage  (416, 49315, 0, 1292, ... ) == 0x1
 02856  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 02857  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 02858  1292   NtUserValidateHandleSecure  (393540, ... ) == 0x1
 02859  1292   NtUserSetWindowLong  (393540, -4, 2118243566, 1, ... ) == 0x7473f99e
 02860  1292   NtUserUnhookWindowsHookEx  (1638959, ... ) == 0x1
 02861  1292   NtUserUnhookWindowsHookEx  (459231, ... ) == 0x1
 02862  1292   NtUserPostThreadMessage  (1748, 49316, 0, 1292, ... ) == 0x1
 02863  1292   NtUserPostThreadMessage  (416, 49316, 0, 1292, ... ) == 0x1
 02864  1292   NtUserDestroyCursor  (590411, 1, ... ) == 0x1
 02865  1292   NtUserPostThreadMessage  (1748, 49316, 0, 1292, ... ) == 0x1
 02866  1292   NtUserPostThreadMessage  (416, 49316, 0, 1292, ... ) == 0x1
 02867  1292   NtUserValidateHandleSecure  (65742, ... ) == 0x1
 02868  1292   NtUserPostMessage  (65742, 49321, 12258343, 12, ... ) == 0x1
 02869  1292   NtUserValidateHandleSecure  (65742, ... ) == 0x1
 02870  1292   NtUserPostMessage  (65742, 49321, 12258343, 13, ... ) == 0x1
 02871  1292   NtUserValidateHandleSecure  (65742, ... ) == 0x1
 02872  1292   NtUserPostMessage  (65742, 49321, 12258343, 14, ... ) == 0x1
 02873  1292   NtUnmapViewOfSection  (-1, 0xa00000, ... ) == 0x0
 02874  1292   NtClose  (128, ... ) == 0x0
 02875  1292   NtClose  (120, ... ) == 0x0
 02876  1292   NtSetInformationThread  (-2, ZeroTlsCell, {ZeroTlsCell=0x9,}, 4, ... ) == 0x0
 02877  1292   NtUnmapViewOfSection  (-1, 0x930000, ... ) == 0x0
 02878  1292   NtClose  (104, ... ) == 0x0
 02879  1292   NtClose  (100, ... ) == 0x0
 02880  1292   NtClose  (76, ... ) == 0x0
 02881  1292   NtClose  (80, ... ) == 0x0
 02882  1292   NtClose  (84, ... ) == 0x0
 02883  1292   NtClose  (88, ... ) == 0x0
 02884  1292   NtClose  (92, ... ) == 0x0
 02885  1292   NtUnmapViewOfSection  (-1, 0x3e0000, ... ) == 0x0
 02886  1292   NtClose  (72, ... ) == 0x0
 02887  1292   NtSetInformationThread  (-2, ZeroTlsCell, {ZeroTlsCell=0x8,}, 4, ... ) == 0x0
 02888  1292   NtUnmapViewOfSection  (-1, 0x390000, ... ) == 0x0
 02889  1292   NtClose  (64, ... ) == 0x0
 02890  1292   NtGdiDeleteObjectApp  (1930430360, ... ) == 0x1
 02891  1292   NtUserGetProcessWindowStation  (... ) == 0x1c
 02892  1292   NtUserBuildNameList  (28, 522, 1419152, 1244176, ... ) == 0x0
 02893  1292   NtUserGetProcessWindowStation  (... ) == 0x1c
 02894  1292   NtUserOpenDesktop  ({24, 28, 0x40, 0, 0,  ({24, 28, 0x40, 0, 0, "Default"}, 1, 0x41, ... ) }, 1, 0x41, ... ) == 0x40
 02895  1292   NtUserBuildHwndList  (64, 0, 0, 0, 64, ... (0x5009e, 0x400fa, 0x10074, 0x10080, 0x10070, 0x10084, 0x30048, 0x10072, 0x20052, 0x5009c, 0x10090, 0x500a2, 0x100d0, 0x200b0, 0x100cc, 0x70104, 0x70100, 0x20118, 0x3014c, 0x1011c, 0x100e6, 0x100d6, 0x100d2, 0x100ca, 0x100c8, 0x100ba, 0x100ae, 0x100ac, 0x300a6, 0x10078, 0x30062, 0x50036, 0x5005c, 0x100be, 0x400fe, 0x10092, 0x10086, 0x40034, 0x50050, 0x1013c, 0x10120, 0x100c2, 0x100bc, 0x2014e, 0x100d8, 0x100b6, 0x100b8, 0x100b4, 0x100c0, 0x1009a, 0x5005e, 0x1, ), 52, ) == 0x0
 02896  1292   NtUserValidateHandleSecure  (327838, ... ) == 0x1
 02897  1292   NtUserQueryWindow  (327838, 0, ... ) == 0x6b8
 02898  1292   NtUserQueryWindow  (327838, 1, ... ) == 0x6d4
 02899  1292   NtUserValidateHandleSecure  (327838, ... ) == 0x1
 02900  1292   NtUserValidateHandleSecure  (262394, ... ) == 0x1
 02901  1292   NtUserQueryWindow  (262394, 0, ... ) == 0x6b8
 02902  1292   NtUserQueryWindow  (262394, 1, ... ) == 0x6d4
 02903  1292   NtUserValidateHandleSecure  (262394, ... ) == 0x1
 02904  1292   NtUserBuildHwndList  (0, 262394, 1, 0, 64, ... (0x80064, 0x60068, 0x6006c, 0x50094, 0x50096, 0x60066, 0x7006a, 0x90058, 0x6006e, 0x5008a, 0x50088, 0x500a0, 0x1, ), 13, ) == 0x0
 02905  1292   NtUserValidateHandleSecure  (524388, ... ) == 0x1
 02906  1292   NtUserQueryWindow  (524388, 0, ... ) == 0x6b8
 02907  1292   NtUserQueryWindow  (524388, 1, ... ) == 0x6d4
 02908  1292   NtUserValidateHandleSecure  (393320, ... ) == 0x1
 02909  1292   NtUserQueryWindow  (393320, 0, ... ) == 0x6b8
 02910  1292   NtUserQueryWindow  (393320, 1, ... ) == 0x6d4
 02911  1292   NtUserValidateHandleSecure  (393324, ... ) == 0x1
 02912  1292   NtUserQueryWindow  (393324, 0, ... ) == 0x6b8
 02913  1292   NtUserQueryWindow  (393324, 1, ... ) == 0x6d4
 02914  1292   NtUserValidateHandleSecure  (327828, ... ) == 0x1
 02915  1292   NtUserQueryWindow  (327828, 0, ... ) == 0x6b8
 02916  1292   NtUserQueryWindow  (327828, 1, ... ) == 0x6d4
 02917  1292   NtUserValidateHandleSecure  (327830, ... ) == 0x1
 02918  1292   NtUserQueryWindow  (327830, 0, ... ) == 0x6b8
 02919  1292   NtUserQueryWindow  (327830, 1, ... ) == 0x6d4
 02920  1292   NtUserValidateHandleSecure  (393318, ... ) == 0x1
 02921  1292   NtUserQueryWindow  (393318, 0, ... ) == 0x6b8
 02922  1292   NtUserQueryWindow  (393318, 1, ... ) == 0x6d4
 02923  1292   NtUserValidateHandleSecure  (458858, ... ) == 0x1
 02924  1292   NtUserQueryWindow  (458858, 0, ... ) == 0x6b8
 02925  1292   NtUserQueryWindow  (458858, 1, ... ) == 0x6d4
 02926  1292   NtUserValidateHandleSecure  (589912, ... ) == 0x1
 02927  1292   NtUserQueryWindow  (589912, 0, ... ) == 0x6b8
 02928  1292   NtUserQueryWindow  (589912, 1, ... ) == 0x6d4
 02929  1292   NtUserValidateHandleSecure  (393326, ... ) == 0x1
 02930  1292   NtUserQueryWindow  (393326, 0, ... ) == 0x6b8
 02931  1292   NtUserQueryWindow  (393326, 1, ... ) == 0x6d4
 02932  1292   NtUserValidateHandleSecure  (327818, ... ) == 0x1
 02933  1292   NtUserQueryWindow  (327818, 0, ... ) == 0x6b8
 02934  1292   NtUserQueryWindow  (327818, 1, ... ) == 0x6d4
 02935  1292   NtUserValidateHandleSecure  (327816, ... ) == 0x1
 02936  1292   NtUserQueryWindow  (327816, 0, ... ) == 0x6b8
 02937  1292   NtUserQueryWindow  (327816, 1, ... ) == 0x6d4
 02938  1292   NtUserValidateHandleSecure  (327840, ... ) == 0x1
 02939  1292   NtUserQueryWindow  (327840, 0, ... ) == 0x6b8
 02940  1292   NtUserQueryWindow  (327840, 1, ... ) == 0x6d4
 02941  1292   NtUserValidateHandleSecure  (65652, ... ) == 0x1
 02942  1292   NtUserQueryWindow  (65652, 0, ... ) == 0x6b8
 02943  1292   NtUserQueryWindow  (65652, 1, ... ) == 0x6d4
 02944  1292   NtUserValidateHandleSecure  (65652, ... ) == 0x1
 02945  1292   NtUserValidateHandleSecure  (65664, ... ) == 0x1
 02946  1292   NtUserQueryWindow  (65664, 0, ... ) == 0x6b8
 02947  1292   NtUserQueryWindow  (65664, 1, ... ) == 0x6d4
 02948  1292   NtUserValidateHandleSecure  (65664, ... ) == 0x1
 02949  1292   NtUserValidateHandleSecure  (65648, ... ) == 0x1
 02950  1292   NtUserQueryWindow  (65648, 0, ... ) == 0x6b8
 02951  1292   NtUserQueryWindow  (65648, 1, ... ) == 0x6d4
 02952  1292   NtUserValidateHandleSecure  (65648, ... ) == 0x1
 02953  1292   NtUserValidateHandleSecure  (65668, ... ) == 0x1
 02954  1292   NtUserQueryWindow  (65668, 0, ... ) == 0x6b8
 02955  1292   NtUserQueryWindow  (65668, 1, ... ) == 0x6d4
 02956  1292   NtUserValidateHandleSecure  (65668, ... ) == 0x1
 02957  1292   NtUserValidateHandleSecure  (196680, ... ) == 0x1
 02958  1292   NtUserQueryWindow  (196680, 0, ... ) == 0x6b8
 02959  1292   NtUserQueryWindow  (196680, 1, ... ) == 0x6d4
 02960  1292   NtUserValidateHandleSecure  (196680, ... ) == 0x1
 02961  1292   NtUserValidateHandleSecure  (65650, ... ) == 0x1
 02962  1292   NtUserQueryWindow  (65650, 0, ... ) == 0x6b8
 02963  1292   NtUserQueryWindow  (65650, 1, ... ) == 0x6d4
 02964  1292   NtUserValidateHandleSecure  (65650, ... ) == 0x1
 02965  1292   NtUserValidateHandleSecure  (131154, ... ) == 0x1
 02966  1292   NtUserQueryWindow  (131154, 0, ... ) == 0x6b8
 02967  1292   NtUserQueryWindow  (131154, 1, ... ) == 0x6d4
 02968  1292   NtUserValidateHandleSecure  (131154, ... ) == 0x1
 02969  1292   NtUserBuildHwndList  (0, 131154, 1, 0, 64, ... (0x3003e, 0x3003c, 0x30040, 0x30042, 0x30044, 0x30046, 0x10076, 0x10082, 0x1007a, 0x1007e, 0x1, ), 11, ) == 0x0
 02970  1292   NtUserValidateHandleSecure  (196670, ... ) == 0x1
 02971  1292   NtUserQueryWindow  (196670, 0, ... ) == 0x6b8
 02972  1292   NtUserQueryWindow  (196670, 1, ... ) == 0x6d4
 02973  1292   NtUserValidateHandleSecure  (196668, ... ) == 0x1
 02974  1292   NtUserQueryWindow  (196668, 0, ... ) == 0x6b8
 02975  1292   NtUserQueryWindow  (196668, 1, ... ) == 0x6d4
 02976  1292   NtUserValidateHandleSecure  (196672, ... ) == 0x1
 02977  1292   NtUserQueryWindow  (196672, 0, ... ) == 0x6b8
 02978  1292   NtUserQueryWindow  (196672, 1, ... ) == 0x6d4
 02979  1292   NtUserValidateHandleSecure  (196674, ... ) == 0x1
 02980  1292   NtUserQueryWindow  (196674, 0, ... ) == 0x6b8
 02981  1292   NtUserQueryWindow  (196674, 1, ... ) == 0x6d4
 02982  1292   NtUserValidateHandleSecure  (196676, ... ) == 0x1
 02983  1292   NtUserQueryWindow  (196676, 0, ... ) == 0x6b8
 02984  1292   NtUserQueryWindow  (196676, 1, ... ) == 0x6d4
 02985  1292   NtUserValidateHandleSecure  (196678, ... ) == 0x1
 02986  1292   NtUserQueryWindow  (196678, 0, ... ) == 0x6b8
 02987  1292   NtUserQueryWindow  (196678, 1, ... ) == 0x6d4
 02988  1292   NtUserValidateHandleSecure  (65654, ... ) == 0x1
 02989  1292   NtUserQueryWindow  (65654, 0, ... ) == 0x6b8
 02990  1292   NtUserQueryWindow  (65654, 1, ... ) == 0x6d4
 02991  1292   NtUserValidateHandleSecure  (65666, ... ) == 0x1
 02992  1292   NtUserQueryWindow  (65666, 0, ... ) == 0x6b8
 02993  1292   NtUserQueryWindow  (65666, 1, ... ) == 0x6d4
 02994  1292   NtUserValidateHandleSecure  (65658, ... ) == 0x1
 02995  1292   NtUserQueryWindow  (65658, 0, ... ) == 0x6b8
 02996  1292   NtUserQueryWindow  (65658, 1, ... ) == 0x6d4
 02997  1292   NtUserValidateHandleSecure  (65662, ... ) == 0x1
 02998  1292   NtUserQueryWindow  (65662, 0, ... ) == 0x6b8
 02999  1292   NtUserQueryWindow  (65662, 1, ... ) == 0x6d4
 03000  1292   NtUserValidateHandleSecure  (327836, ... ) == 0x1
 03001  1292   NtUserQueryWindow  (327836, 0, ... ) == 0x6b8
 03002  1292   NtUserQueryWindow  (327836, 1, ... ) == 0x6d4
 03003  1292   NtUserValidateHandleSecure  (327836, ... ) == 0x1
 03004  1292   NtUserValidateHandleSecure  (65680, ... ) == 0x1
 03005  1292   NtUserQueryWindow  (65680, 0, ... ) == 0x6b8
 03006  1292   NtUserQueryWindow  (65680, 1, ... ) == 0x6bc
 03007  1292   NtUserValidateHandleSecure  (65680, ... ) == 0x1
 03008  1292   NtUserValidateHandleSecure  (327842, ... ) == 0x1
 03009  1292   NtUserQueryWindow  (327842, 0, ... ) == 0x6b8
 03010  1292   NtUserQueryWindow  (327842, 1, ... ) == 0x6d4
 03011  1292   NtUserValidateHandleSecure  (327842, ... ) == 0x1
 03012  1292   NtUserValidateHandleSecure  (65744, ... ) == 0x1
 03013  1292   NtUserQueryWindow  (65744, 0, ... ) == 0x19c
 03014  1292   NtUserQueryWindow  (65744, 1, ... ) == 0x1a0
 03015  1292   NtUserValidateHandleSecure  (65744, ... ) == 0x1
 03016  1292   NtUserValidateHandleSecure  (131248, ... ) == 0x1
 03017  1292   NtUserQueryWindow  (131248, 0, ... ) == 0xa0
 03018  1292   NtUserQueryWindow  (131248, 1, ... ) == 0xe4
 03019  1292   NtUserValidateHandleSecure  (131248, ... ) == 0x1
 03020  1292   NtUserValidateHandleSecure  (65740, ... ) == 0x1
 03021  1292   NtUserQueryWindow  (65740, 0, ... ) == 0x19c
 03022  1292   NtUserQueryWindow  (65740, 1, ... ) == 0x1a0
 03023  1292   NtUserValidateHandleSecure  (65740, ... ) == 0x1
 03024  1292   NtUserValidateHandleSecure  (459012, ... ) == 0x1
 03025  1292   NtUserQueryWindow  (459012, 0, ... ) == 0x49c
 03026  1292   NtUserQueryWindow  (459012, 1, ... ) == 0x180
 03027  1292   NtUserValidateHandleSecure  (459012, ... ) == 0x1
 03028  1292   NtUserValidateHandleSecure  (459008, ... ) == 0x1
 03029  1292   NtUserQueryWindow  (459008, 0, ... ) == 0x5e8
 03030  1292   NtUserQueryWindow  (459008, 1, ... ) == 0x1dc
 03031  1292   NtUserValidateHandleSecure  (459008, ... ) == 0x1
 03032  1292   NtUserValidateHandleSecure  (131352, ... ) == 0x1
 03033  1292   NtUserQueryWindow  (131352, 0, ... ) == 0x6ac
 03034  1292   NtUserQueryWindow  (131352, 1, ... ) == 0x7f4
 03035  1292   NtUserValidateHandleSecure  (131352, ... ) == 0x1
 03036  1292   NtUserValidateHandleSecure  (196940, ... ) == 0x1
 03037  1292   NtUserQueryWindow  (196940, 0, ... ) == 0x4b4
 03038  1292   NtUserQueryWindow  (196940, 1, ... ) == 0x474
 03039  1292   NtUserValidateHandleSecure  (196940, ... ) == 0x1
 03040  1292   NtUserValidateHandleSecure  (65820, ... ) == 0x1
 03041  1292   NtUserQueryWindow  (65820, 0, ... ) == 0x22c
 03042  1292   NtUserQueryWindow  (65820, 1, ... ) == 0x220
 03043  1292   NtUserValidateHandleSecure  (65820, ... ) == 0x1
 03044  1292   NtUserValidateHandleSecure  (65766, ... ) == 0x1
 03045  1292   NtUserQueryWindow  (65766, 0, ... ) == 0x6b8
 03046  1292   NtUserQueryWindow  (65766, 1, ... ) == 0x13c
 03047  1292   NtUserValidateHandleSecure  (65766, ... ) == 0x1
 03048  1292   NtUserValidateHandleSecure  (65750, ... ) == 0x1
 03049  1292   NtUserQueryWindow  (65750, 0, ... ) == 0x6b8
 03050  1292   NtUserQueryWindow  (65750, 1, ... ) == 0x13c
 03051  1292   NtUserValidateHandleSecure  (65750, ... ) == 0x1
 03052  1292   NtUserBuildHwndList  (0, 65750, 1, 0, 64, ... (0x100da, 0x100dc, 0x100de, 0x100e0, 0x1, ), 5, ) == 0x0
 03053  1292   NtUserValidateHandleSecure  (65754, ... ) == 0x1
 03054  1292   NtUserQueryWindow  (65754, 0, ... ) == 0x6b8
 03055  1292   NtUserQueryWindow  (65754, 1, ... ) == 0x13c
 03056  1292   NtUserValidateHandleSecure  (65756, ... ) == 0x1
 03057  1292   NtUserQueryWindow  (65756, 0, ... ) == 0x6b8
 03058  1292   NtUserQueryWindow  (65756, 1, ... ) == 0x13c
 03059  1292   NtUserValidateHandleSecure  (65758, ... ) == 0x1
 03060  1292   NtUserQueryWindow  (65758, 0, ... ) == 0x6b8
 03061  1292   NtUserQueryWindow  (65758, 1, ... ) == 0x13c
 03062  1292   NtUserValidateHandleSecure  (65760, ... ) == 0x1
 03063  1292   NtUserQueryWindow  (65760, 0, ... ) == 0x6b8
 03064  1292   NtUserQueryWindow  (65760, 1, ... ) == 0x13c
 03065  1292   NtUserValidateHandleSecure  (65746, ... ) == 0x1
 03066  1292   NtUserQueryWindow  (65746, 0, ... ) == 0x6b8
 03067  1292   NtUserQueryWindow  (65746, 1, ... ) == 0x6d4
 03068  1292   NtUserValidateHandleSecure  (65746, ... ) == 0x1
 03069  1292   NtUserValidateHandleSecure  (65738, ... ) == 0x1
 03070  1292   NtUserQueryWindow  (65738, 0, ... ) == 0x19c
 03071  1292   NtUserQueryWindow  (65738, 1, ... ) == 0x1a0
 03072  1292   NtUserValidateHandleSecure  (65738, ... ) == 0x1
 03073  1292   NtUserValidateHandleSecure  (65736, ... ) == 0x1
 03074  1292   NtUserQueryWindow  (65736, 0, ... ) == 0xa0
 03075  1292   NtUserQueryWindow  (65736, 1, ... ) == 0xe4
 03076  1292   NtUserValidateHandleSecure  (65736, ... ) == 0x1
 03077  1292   NtUserValidateHandleSecure  (65722, ... ) == 0x1
 03078  1292   NtUserQueryWindow  (65722, 0, ... ) == 0x104
 03079  1292   NtUserQueryWindow  (65722, 1, ... ) == 0x108
 03080  1292   NtUserValidateHandleSecure  (65722, ... ) == 0x1
 03081  1292   NtUserValidateHandleSecure  (65710, ... ) == 0x1
 03082  1292   NtUserQueryWindow  (65710, 0, ... ) == 0x104
 03083  1292   NtUserQueryWindow  (65710, 1, ... ) == 0x108
 03084  1292   NtUserValidateHandleSecure  (65710, ... ) == 0x1
 03085  1292   NtUserValidateHandleSecure  (65708, ... ) == 0x1
 03086  1292   NtUserQueryWindow  (65708, 0, ... ) == 0x120
 03087  1292   NtUserQueryWindow  (65708, 1, ... ) == 0x124
 03088  1292   NtUserValidateHandleSecure  (65708, ... ) == 0x1
 03089  1292   NtUserValidateHandleSecure  (196774, ... ) == 0x1
 03090  1292   NtUserQueryWindow  (196774, 0, ... ) == 0xc4
 03091  1292   NtUserQueryWindow  (196774, 1, ... ) == 0xc8
 03092  1292   NtUserValidateHandleSecure  (196774, ... ) == 0x1
 03093  1292   NtUserValidateHandleSecure  (65656, ... ) == 0x1
 03094  1292   NtUserQueryWindow  (65656, 0, ... ) == 0x6b8
 03095  1292   NtUserQueryWindow  (65656, 1, ... ) == 0x6ec
 03096  1292   NtUserValidateHandleSecure  (65656, ... ) == 0x1
 03097  1292   NtUserValidateHandleSecure  (196706, ... ) == 0x1
 03098  1292   NtUserQueryWindow  (196706, 0, ... ) == 0x6b8
 03099  1292   NtUserQueryWindow  (196706, 1, ... ) == 0x6bc
 03100  1292   NtUserValidateHandleSecure  (196706, ... ) == 0x1
 03101  1292   NtUserValidateHandleSecure  (327734, ... ) == 0x1
 03102  1292   NtUserQueryWindow  (327734, 0, ... ) == 0x6b8
 03103  1292   NtUserQueryWindow  (327734, 1, ... ) == 0x6bc
 03104  1292   NtUserValidateHandleSecure  (327734, ... ) == 0x1
 03105  1292   NtUserValidateHandleSecure  (327772, ... ) == 0x1
 03106  1292   NtUserQueryWindow  (327772, 0, ... ) == 0x6b8
 03107  1292   NtUserQueryWindow  (327772, 1, ... ) == 0x6bc
 03108  1292   NtUserValidateHandleSecure  (327772, ... ) == 0x1
 03109  1292   NtUserValidateHandleSecure  (65726, ... ) == 0x1
 03110  1292   NtUserQueryWindow  (65726, 0, ... ) == 0x19c
 03111  1292   NtUserQueryWindow  (65726, 1, ... ) == 0x1a0
 03112  1292   NtUserValidateHandleSecure  (65726, ... ) == 0x1
 03113  1292   NtUserValidateHandleSecure  (262398, ... ) == 0x1
 03114  1292   NtUserQueryWindow  (262398, 0, ... ) == 0x6b8
 03115  1292   NtUserQueryWindow  (262398, 1, ... ) == 0x6d4
 03116  1292   NtUserValidateHandleSecure  (262398, ... ) == 0x1
 03117  1292   NtUserValidateHandleSecure  (65682, ... ) == 0x1
 03118  1292   NtUserQueryWindow  (65682, 0, ... ) == 0x6b8
 03119  1292   NtUserQueryWindow  (65682, 1, ... ) == 0x6bc
 03120  1292   NtUserValidateHandleSecure  (65682, ... ) == 0x1
 03121  1292   NtUserValidateHandleSecure  (65670, ... ) == 0x1
 03122  1292   NtUserQueryWindow  (65670, 0, ... ) == 0x6b8
 03123  1292   NtUserQueryWindow  (65670, 1, ... ) == 0x6bc
 03124  1292   NtUserValidateHandleSecure  (65670, ... ) == 0x1
 03125  1292   NtUserBuildHwndList  (0, 65670, 1, 0, 64, ... (0x1008c, 0x1008e, 0x1, ), 3, ) == 0x0
 03126  1292   NtUserValidateHandleSecure  (65676, ... ) == 0x1
 03127  1292   NtUserQueryWindow  (65676, 0, ... ) == 0x6b8
 03128  1292   NtUserQueryWindow  (65676, 1, ... ) == 0x6bc
 03129  1292   NtUserValidateHandleSecure  (65678, ... ) == 0x1
 03130  1292   NtUserQueryWindow  (65678, 0, ... ) == 0x6b8
 03131  1292   NtUserQueryWindow  (65678, 1, ... ) == 0x6bc
 03132  1292   NtUserValidateHandleSecure  (262196, ... ) == 0x1
 03133  1292   NtUserQueryWindow  (262196, 0, ... ) == 0x6b8
 03134  1292   NtUserQueryWindow  (262196, 1, ... ) == 0x6d4
 03135  1292   NtUserValidateHandleSecure  (262196, ... ) == 0x1
 03136  1292   NtUserValidateHandleSecure  (327760, ... ) == 0x1
 03137  1292   NtUserQueryWindow  (327760, 0, ... ) == 0x6b8
 03138  1292   NtUserQueryWindow  (327760, 1, ... ) == 0x6d4
 03139  1292   NtUserValidateHandleSecure  (327760, ... ) == 0x1
 03140  1292   NtUserValidateHandleSecure  (65852, ... ) == 0x1
 03141  1292   NtUserQueryWindow  (65852, 0, ... ) == 0x22c
 03142  1292   NtUserQueryWindow  (65852, 1, ... ) == 0x220
 03143  1292   NtUserValidateHandleSecure  (65852, ... ) == 0x1
 03144  1292   NtUserValidateHandleSecure  (65824, ... ) == 0x1
 03145  1292   NtUserQueryWindow  (65824, 0, ... ) == 0x22c
 03146  1292   NtUserQueryWindow  (65824, 1, ... ) == 0x220
 03147  1292   NtUserValidateHandleSecure  (65824, ... ) == 0x1
 03148  1292   NtUserValidateHandleSecure  (65730, ... ) == 0x1
 03149  1292   NtUserQueryWindow  (65730, 0, ... ) == 0xa0
 03150  1292   NtUserQueryWindow  (65730, 1, ... ) == 0xe4
 03151  1292   NtUserValidateHandleSecure  (65730, ... ) == 0x1
 03152  1292   NtUserValidateHandleSecure  (65724, ... ) == 0x1
 03153  1292   NtUserQueryWindow  (65724, 0, ... ) == 0xa0
 03154  1292   NtUserQueryWindow  (65724, 1, ... ) == 0xe4
 03155  1292   NtUserValidateHandleSecure  (65724, ... ) == 0x1
 03156  1292   NtUserValidateHandleSecure  (131406, ... ) == 0x1
 03157  1292   NtUserQueryWindow  (131406, 0, ... ) == 0x4b4
 03158  1292   NtUserQueryWindow  (131406, 1, ... ) == 0x474
 03159  1292   NtUserValidateHandleSecure  (131406, ... ) == 0x1
 03160  1292   NtUserValidateHandleSecure  (65752, ... ) == 0x1
 03161  1292   NtUserQueryWindow  (65752, 0, ... ) == 0x6b8
 03162  1292   NtUserQueryWindow  (65752, 1, ... ) == 0x13c
 03163  1292   NtUserValidateHandleSecure  (65752, ... ) == 0x1
 03164  1292   NtUserValidateHandleSecure  (65718, ... ) == 0x1
 03165  1292   NtUserQueryWindow  (65718, 0, ... ) == 0x104
 03166  1292   NtUserQueryWindow  (65718, 1, ... ) == 0x108
 03167  1292   NtUserValidateHandleSecure  (65718, ... ) == 0x1
 03168  1292   NtUserValidateHandleSecure  (65720, ... ) == 0x1
 03169  1292   NtUserQueryWindow  (65720, 0, ... ) == 0x120
 03170  1292   NtUserQueryWindow  (65720, 1, ... ) == 0x124
 03171  1292   NtUserValidateHandleSecure  (65720, ... ) == 0x1
 03172  1292   NtUserValidateHandleSecure  (65716, ... ) == 0x1
 03173  1292   NtUserQueryWindow  (65716, 0, ... ) == 0xc4
 03174  1292   NtUserQueryWindow  (65716, 1, ... ) == 0xc8
 03175  1292   NtUserValidateHandleSecure  (65716, ... ) == 0x1
 03176  1292   NtUserValidateHandleSecure  (65728, ... ) == 0x1
 03177  1292   NtUserQueryWindow  (65728, 0, ... ) == 0x19c
 03178  1292   NtUserQueryWindow  (65728, 1, ... ) == 0x1a0
 03179  1292   NtUserValidateHandleSecure  (65728, ... ) == 0x1
 03180  1292   NtUserValidateHandleSecure  (65690, ... ) == 0x1
 03181  1292   NtUserQueryWindow  (65690, 0, ... ) == 0x6b8
 03182  1292   NtUserQueryWindow  (65690, 1, ... ) == 0x6bc
 03183  1292   NtUserValidateHandleSecure  (65690, ... ) == 0x1
 03184  1292   NtUserValidateHandleSecure  (327774, ... ) == 0x1
 03185  1292   NtUserQueryWindow  (327774, 0, ... ) == 0x6b8
 03186  1292   NtUserQueryWindow  (327774, 1, ... ) == 0x6bc
 03187  1292   NtUserValidateHandleSecure  (327774, ... ) == 0x1
 03188  1292   NtUserCloseDesktop  (64, ... ) == 0x1
 03189  1292   NtUserGetProcessWindowStation  (... ) == 0x1c
 03190  1292   NtUserOpenDesktop  ({24, 28, 0x40, 0, 0,  ({24, 28, 0x40, 0, 0, "Disconnect"}, 1, 0x41, ... ) }, 1, 0x41, ... ) == 0x0
 03191  1292   NtUserGetProcessWindowStation  (... ) == 0x1c
 03192  1292   NtUserOpenDesktop  ({24, 28, 0x40, 0, 0,  ({24, 28, 0x40, 0, 0, "Winlogon"}, 1, 0x41, ... ) }, 1, 0x41, ... ) == 0x0
 03193  1292   NtGdiDeleteObjectApp  (873071841, ... ) == 0x1
 03194  1292   NtGdiDeleteObjectApp  (1376388660, ... ) == 0x1
 03195  1292   NtClose  (68, ... ) == 0x0
 03196  1292   NtSetInformationThread  (-2, ZeroTlsCell, {ZeroTlsCell=0x7,}, 4, ... ) == 0x0
 03197  1292   NtSetInformationThread  (-2, ZeroTlsCell, {ZeroTlsCell=0x6,}, 4, ... ) == 0x0
 03198  1292   NtUserQueryWindow  (65670, 0, ... ) == 0x6b8
 03199  1292   NtUserQueryWindow  (65670, 1, ... ) == 0x6bc
 03200  1292   NtUnmapViewOfSection  (-1, 0x370000, ... ) == 0x0
 03201  1292   NtClose  (56, ... ) == 0x0
 03202  1292   NtSetInformationThread  (-2, ZeroTlsCell, {ZeroTlsCell=0x5,}, 4, ... ) == 0x0
 03203  1292   NtUserGetAtomName  (49211, 1243932, ... ) == 0xf
 03204  1292   NtUserUnregisterClass  (1243992, 2000486400, 1243980, ... ) == 0x1
 03205  1292   NtUserGetAtomName  (49213, 1243932, ... ) == 0xd
 03206  1292   NtUserUnregisterClass  (1243992, 2000486400, 1243980, ... ) == 0x1
 03207  1292   NtUserGetAtomName  (49215, 1243932, ... ) == 0x10
 03208  1292   NtUserUnregisterClass  (1243992, 2000486400, 1243980, ... ) == 0x1
 03209  1292   NtUserGetAtomName  (49217, 1243932, ... ) == 0x12
 03210  1292   NtUserUnregisterClass  (1243992, 2000486400, 1243980, ... ) == 0x1
 03211  1292   NtUserGetAtomName  (49219, 1243932, ... ) == 0xd
 03212  1292   NtUserUnregisterClass  (1243992, 2000486400, 1243980, ... ) == 0x1
 03213  1292   NtUserGetAtomName  (49221, 1243932, ... ) == 0xb
 03214  1292   NtUserUnregisterClass  (1243992, 2000486400, 1243980, ... ) == 0x1
 03215  1292   NtUserGetAtomName  (49223, 1243932, ... ) == 0xf
 03216  1292   NtUserUnregisterClass  (1243992, 2000486400, 1243980, ... ) == 0x1
 03217  1292   NtUserGetAtomName  (49225, 1243932, ... ) == 0xd
 03218  1292   NtUserUnregisterClass  (1243992, 2000486400, 1243980, ... ) == 0x1
 03219  1292   NtUserGetAtomName  (49227, 1243932, ... ) == 0x11
 03220  1292   NtUserUnregisterClass  (1243992, 2000486400, 1243980, ... ) == 0x1
 03221  1292   NtUserGetAtomName  (49229, 1243932, ... ) == 0xf
 03222  1292   NtUserUnregisterClass  (1243992, 2000486400, 1243980, ... ) == 0x1
 03223  1292   NtUserGetAtomName  (49231, 1243932, ... ) == 0x11
 03224  1292   NtUserUnregisterClass  (1243992, 2000486400, 1243980, ... ) == 0x1
 03225  1292   NtUserGetAtomName  (49233, 1243932, ... ) == 0xf
 03226  1292   NtUserUnregisterClass  (1243992, 2000486400, 1243980, ... ) == 0x1
 03227  1292   NtUserGetAtomName  (49235, 1243932, ... ) == 0xc
 03228  1292   NtUserUnregisterClass  (1243992, 2000486400, 1243980, ... ) == 0x1
 03229  1292   NtUserGetAtomName  (49237, 1243924, ... ) == 0xd
 03230  1292   NtUserUnregisterClass  (1243984, 2000486400, 1243972, ... ) == 0x1
 03231  1292   NtUserGetAtomName  (49239, 1243924, ... ) == 0x11
 03232  1292   NtUserUnregisterClass  (1243984, 2000486400, 1243972, ... ) == 0x1
 03233  1292   NtUserGetAtomName  (49241, 1243932, ... ) == 0xc
 03234  1292   NtUserUnregisterClass  (1243992, 2000486400, 1243980, ... ) == 0x1
 03235  1292   NtUserGetAtomName  (49243, 1243932, ... ) == 0xe
 03236  1292   NtUserUnregisterClass  (1243992, 2000486400, 1243980, ... ) == 0x1
 03237  1292   NtUserGetAtomName  (49245, 1243932, ... ) == 0x8
 03238  1292   NtUserUnregisterClass  (1243992, 2000486400, 1243980, ... ) == 0x1
 03239  1292   NtUserGetAtomName  (49247, 1243932, ... ) == 0xd
 03240  1292   NtUserUnregisterClass  (1243992, 2000486400, 1243980, ... ) == 0x1
 03241  1292   NtUserGetAtomName  (49175, 1243932, ... ) == 0x6
 03242  1292   NtUserUnregisterClass  (1243992, 2000486400, 1243980, ... ) == 0x1
 03243  1292   NtUserGetAtomName  (49177, 1243932, ... ) == 0x6
 03244  1292   NtUserUnregisterClass  (1243992, 2000486400, 1243980, ... ) == 0x1
 03245  1292   NtUserGetAtomName  (49176, 1243932, ... ) == 0x4
 03246  1292   NtUserUnregisterClass  (1243992, 2000486400, 1243980, ... ) == 0x1
 03247  1292   NtUserGetAtomName  (49178, 1243932, ... ) == 0x7
 03248  1292   NtUserUnregisterClass  (1243992, 2000486400, 1243980, ... ) == 0x1
 03249  1292   NtUserGetAtomName  (49180, 1243932, ... ) == 0x8
 03250  1292   NtUserUnregisterClass  (1243992, 2000486400, 1243980, ... ) == 0x1
 03251  1292   NtUserGetAtomName  (49182, 1243932, ... ) == 0x9
 03252  1292   NtUserUnregisterClass  (1243992, 2000486400, 1243980, ... ) == 0x1
 03253  1292   NtUserGetAtomName  (49179, 1243924, ... ) == 0x9
 03254  1292   NtUserUnregisterClass  (1243984, 2000486400, 1243972, ... ) == 0x1
 03255  1292   NtUserGetAtomName  (49256, 1243932, ... ) == 0x7
 03256  1292   NtUserUnregisterClass  (1243992, 2000486400, 1243980, ... ) == 0x1
 03257  1292   NtUserGetAtomName  (49258, 1243932, ... ) == 0xd
 03258  1292   NtUserUnregisterClass  (1243992, 2000486400, 1243980, ... ) == 0x1
 03259  1292   NtUnmapViewOfSection  (-1, 0x380000, ... ) == 0x0
 03260  1292   NtSetInformationThread  (-2, ZeroTlsCell, {ZeroTlsCell=0x2,}, 4, ... ) == 0x0
 03261  1292   NtSetInformationThread  (-2, ZeroTlsCell, {ZeroTlsCell=0x3,}, 4, ... ) == 0x0
 03262  1292   NtSetInformationThread  (-2, ZeroTlsCell, {ZeroTlsCell=0x4,}, 4, ... ) == 0x0
 03263  1292   NtClose  (52, ... ) == 0x0
 03264  1292   NtOpenKey  (0x20019, {24, 0, 0x40, 0, 0,  (0x20019, {24, 0, 0x40, 0, 0, "\Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\GRE_Initialize"}, ... 52, ) }, ... 52, ) == 0x0
 03265  1292   NtQueryValueKey  (52,  (52, "DisableMetaFiles", Partial, 20, ... ) , Partial, 20, ... ) == STATUS_OBJECT_NAME_NOT_FOUND
 03266  1292   NtClose  (52, ... ) == 0x0
 03267  1292   NtClose  (60, ... ) == 0x0
 03268  1292   NtFreeVirtualMemory  (-1, (0x0), 0, 32768, ... ) == STATUS_MEMORY_NOT_ALLOCATED
 03269  1292   NtQueryInformationProcess  (-1, 36, 4, ... {process info, class 36, size 4}, 0x0, ) == 0x0
 03270  1292   NtQueryInformationProcess  (-1, 36, 4, ... {process info, class 36, size 4}, 0x0, ) == 0x0
 03271  1292   NtQueryVirtualMemory  (-1, 0x77c2807c, Basic, 28, ... {BaseAddress=0x77c28000,AllocationBase=0x77c10000,AllocationProtect=0x80,RegionSize=0x35000,State=0x1000,Protect=0x20,Type=0x1000000,}, 28, ) == 0x0
 03272  1292   NtRequestWaitReplyPort  (24, {20, 48, new_msg, 0, 0, 16517, 1244928, 32}  (24, {20, 48, new_msg, 0, 0, 16517, 1244928, 32} "\0\0\0\0\3\0\1\0\0\0\0\0\0\0\0\0\2\0\0\0" ... {20, 48, reply, 0, 1756, 1292, 57990, 0} "\0\0\0\0\3\0\1\0\0\0\0\0\0\0\0\0\2\0\0\0" )  ... {20, 48, reply, 0, 1756, 1292, 57990, 0}  (24, {20, 48, new_msg, 0, 0, 16517, 1244928, 32} "\0\0\0\0\3\0\1\0\0\0\0\0\0\0\0\0\2\0\0\0" ... {20, 48, reply, 0, 1756, 1292, 57990, 0} "\0\0\0\0\3\0\1\0\0\0\0\0\0\0\0\0\2\0\0\0" )  ) == 0x0
 03273  1292   NtTerminateProcess  (-1, 2, ...
NtCallbackReturn(>)	1	NtUserCallHwndParam(>)	2	NtUserGetForegroundWindow(>)	6	NtUserSelectPalette(>)	16
NtConnectPort(>)	1	NtUserDispatchMessage(>)	2	NtUserGetKeyboardLayoutList(>)	6	NtUserGetThreadState(>)	17
NtCreateEvent(>)	1	NtUserGetImeInfoEx(>)	2	NtUserGetObjectInformation(>)	6	NtUserSetProp(>)	17
NtCreateSemaphore(>)	1	NtUserNotifyIMEStatus(>)	2	NtUserGetThreadDesktop(>)	6	NtQueryDefaultLocale(>)	18
NtDuplicateObject(>)	1	NtUserQueryInputContext(>)	2	NtUserSetCursorIconData(>)	6	NtUserBuildHwndList(>)	18
NtEnumerateValueKey(>)	1	NtUserSetTimer(>)	2	NtUserSetWindowPos(>)	6	NtGdiCreateCompatibleDC(>)	19
NtFlushVirtualMemory(>)	1	NtUserSetWindowRgn(>)	2	NtCreateFile(>)	7	NtGdiDrawStream(>)	20
NtFsControlFile(>)	1	NtUserShowWindow(>)	2	NtCreateMutant(>)	7	NtGdiIntersectClipRect(>)	20
NtGdiExtCreateRegion(>)	1	NtAddAtom(>)	3	NtSetInformationProcess(>)	7	NtQueryInformationToken(>)	20
NtGdiGetDCDword(>)	1	NtDuplicateToken(>)	3	NtUserBeginPaint(>)	7	NtUserCallMsgFilter(>)	22
NtGdiInit(>)	1	NtGdiExcludeClipRect(>)	3	NtCreateKey(>)	8	NtUserPostThreadMessage(>)	22
NtGdiOffsetRgn(>)	1	NtGdiGetWidthTable(>)	3	NtGdiCreateBitmap(>)	8	NtOpenSection(>)	24
NtGdiQueryFontAssocInfo(>)	1	NtOpenThreadToken(>)	3	NtGdiGetBitmapBits(>)	8	NtSetEvent(>)	24
NtOpenKeyedEvent(>)	1	NtQueryDirectoryFile(>)	3	NtGdiGetDCforBitmap(>)	8	NtOpenEvent(>)	25
NtOpenMutant(>)	1	NtQueryInformationFile(>)	3	NtGdiRestoreDC(>)	8	NtOpenFile(>)	25
NtOpenSymbolicLinkObject(>)	1	NtSetInformationObject(>)	3	NtGdiSaveDC(>)	8	NtUserGetWindowDC(>)	25
NtQueryObject(>)	1	NtUserOpenDesktop(>)	3	NtGdiSetDIBitsToDeviceInternal(>)	8	NtUserRegisterWindowMessage(>)	26
NtQuerySymbolicLinkObject(>)	1	NtUserSetCursor(>)	3	NtSetValueKey(>)	8	NtCreateSection(>)	28
NtQueryVolumeInformationFile(>)	1	NtUserSetWindowFNID(>)	3	NtUserFillWindow(>)	8	NtAllocateVirtualMemory(>)	29
NtRegisterThreadTerminatePort(>)	1	NtUserUpdateInputContext(>)	3	NtUserInternalGetWindowText(>)	8	NtGdiExtGetObjectW(>)	31
NtSecureConnectPort(>)	1	NtGdiGetDIBitsInternal(>)	4	NtGdiGetDCObject(>)	9	NtUnmapViewOfSection(>)	31
NtSetInformationFile(>)	1	NtGdiGetTextCharsetInfo(>)	4	NtOpenProcessToken(>)	9	NtUserRemoveProp(>)	31
NtTestAlert(>)	1	NtUserCallHwndLock(>)	4	NtQueryVirtualMemory(>)	9	NtUserUnregisterClass(>)	31
NtUserBuildNameList(>)	1	NtUserEndPaint(>)	4	NtUserGetAncestor(>)	9	NtUserGetAtomName(>)	33
NtUserCallHwnd(>)	1	NtUserGetClassName(>)	4	NtUserWaitMessage(>)	9	NtQueryAttributesFile(>)	37
NtUserCloseDesktop(>)	1	NtUserGetDCEx(>)	4	NtGdiCreateCompatibleBitmap(>)	10	NtUserPeekMessage(>)	40
NtUserDrawIconEx(>)	1	NtUserInvalidateRect(>)	4	NtSetInformationThread(>)	10	NtQueryValueKey(>)	41
NtUserFindWindowEx(>)	1	NtUserSetWindowsHookEx(>)	4	NtUserDestroyCursor(>)	10	NtUserFindExistingCursorIcon(>)	44
NtUserGetCursorFrameInfo(>)	1	NtUserUnhookWindowsHookEx(>)	4	NtGdiBitBlt(>)	11	NtUserRegisterClassExWOW(>)	47
NtUserGetGUIThreadInfo(>)	1	NtAccessCheck(>)	5	NtUserCallNoParam(>)	11	NtMapViewOfSection(>)	51
NtUserGetIconSize(>)	1	NtGdiGetTextMetricsW(>)	5	NtUserGetIconInfo(>)	11	NtGdiDeleteObjectApp(>)	58
NtUserModifyUserStartupInfoFlags(>)	1	NtUserCalcMenuBar(>)	5	NtQueryDefaultUILanguage(>)	12	NtWaitForSingleObject(>)	61
NtUserSetCapture(>)	1	NtUserGetProcessWindowStation(>)	5	NtUserSystemParametersInfo(>)	12	NtReleaseMutant(>)	63
NtUserSetImeOwnerWindow(>)	1	NtUserGetTitleBarInfo(>)	5	NtQueryInformationProcess(>)	13	NtFlushInstructionCache(>)	66
NtUserSetThreadState(>)	1	NtUserPostMessage(>)	5	NtOpenProcessTokenEx(>)	14	NtGdiSelectBitmap(>)	73
NtUserTranslateMessage(>)	1	NtUserSetFocus(>)	5	NtOpenThreadTokenEx(>)	14	NtQuerySystemInformation(>)	73
NtContinue(>)	2	NtGdiCombineRgn(>)	6	NtQueryDebugFilterState(>)	14	NtUserCallOneParam(>)	74
NtFreeVirtualMemory(>)	2	NtGdiCreateDIBitmapInternal(>)	6	NtUserGetDC(>)	14	NtUserMessageCall(>)	77
NtGdiCreatePatternBrushInternal(>)	2	NtGdiCreateRectRgn(>)	6	NtUserSetWindowLong(>)	14	NtOpenKey(>)	81
NtGdiCreateSolidBrush(>)	2	NtGdiGetCharSet(>)	6	NtUserKillTimer(>)	15	NtProtectVirtualMemory(>)	132
NtGdiDoPalette(>)	2	NtGdiGetStockObject(>)	6	NtDeviceIoControlFile(>)	16	NtReadFile(>)	149
NtGdiStretchDIBitsInternal(>)	2	NtGdiHfontCreate(>)	6	NtGdiExtSelectClipRgn(>)	16	NtUserQueryWindow(>)	181
NtOpenDirectoryObject(>)	2	NtQuerySection(>)	6	NtGdiGetRandomRgn(>)	16	NtClose(>)	189
NtQueryInstallUILanguage(>)	2	NtUserDestroyWindow(>)	6	NtRequestWaitReplyPort(>)	16	NtUserValidateHandleSecure(>)	547
NtTerminateProcess(>)	2	NtUserGetClassInfo(>)	6	NtUserCreateWindowEx(>)	16