GMER 2.1.19357 - http://www.gmer.net Rootkit scan 2014-04-26 16:47:10 Windows 6.2.9200 x64 \Device\Harddisk0\DR0 -> \Device\00000037 ST9750420AS rev.0002SDM1 698,64GB Running: gmer.exe; Driver: C:\Users\Lukasz\AppData\Local\Temp\ugroapoc.sys ---- User code sections - GMER 2.1 ---- .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\System32\smss.exe[472] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\system32\csrss.exe[672] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\system32\wininit.exe[768] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\system32\wininit.exe[768] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\system32\csrss.exe[784] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\system32\winlogon.exe[828] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\system32\services.exe[864] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\system32\services.exe[864] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\system32\lsass.exe[880] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\system32\lsass.exe[880] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\system32\svchost.exe[948] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\system32\svchost.exe[948] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\system32\svchost.exe[992] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\system32\svchost.exe[992] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\system32\dwm.exe[688] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\system32\dwm.exe[688] C:\Windows\system32\KERNEL32.DLL!K32GetModuleInformation 00007ffe06e628c0 7 bytes JMP 00007fff05b30260 .text C:\Windows\system32\dwm.exe[688] C:\Windows\system32\KERNEL32.DLL!RegQueryValueExW 00007ffe06e643d8 7 bytes JMP 00007fff05b30298 .text C:\Windows\system32\dwm.exe[688] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\system32\dwm.exe[688] C:\Windows\system32\KERNEL32.DLL!RegSetValueExA 00007ffe06f11f20 7 bytes JMP 00007fff05b30308 .text C:\Windows\system32\dwm.exe[688] C:\Windows\system32\KERNEL32.DLL!RegSetValueExW 00007ffe06f140b4 7 bytes JMP 00007fff05b30340 .text C:\Windows\system32\dwm.exe[688] C:\Windows\system32\KERNEL32.DLL!RegDeleteValueW 00007ffe06f14510 7 bytes JMP 00007fff05b302d0 .text C:\Windows\system32\dwm.exe[688] C:\Windows\system32\KERNEL32.DLL!K32EnumProcessModulesEx 00007ffe06f3cea0 7 bytes JMP 00007fff05b301f0 .text C:\Windows\system32\dwm.exe[688] C:\Windows\system32\KERNEL32.DLL!K32GetMappedFileNameW 00007ffe06f3cf10 7 bytes JMP 00007fff05b30228 .text C:\Windows\system32\dwm.exe[688] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW 00007ffe05b92300 7 bytes JMP 00007fff05b300d8 .text C:\Windows\system32\dwm.exe[688] C:\Windows\system32\KERNELBASE.dll!FreeLibrary 00007ffe05b95770 5 bytes JMP 00007fff05b30180 .text C:\Windows\system32\dwm.exe[688] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW 00007ffe05b95860 5 bytes JMP 00007fff05b30148 .text C:\Windows\system32\dwm.exe[688] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW 00007ffe05b95a30 5 bytes JMP 00007fff05b30110 .text C:\Windows\system32\dwm.exe[688] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW 00007ffe05c0a3f0 5 bytes JMP 00007fff05b301b8 .text C:\Windows\system32\dwm.exe[688] C:\Windows\system32\USER32.dll!CreateWindowExW 00007ffe067cb6f4 10 bytes JMP 00007fff05b30420 .text C:\Windows\system32\dwm.exe[688] C:\Windows\system32\USER32.dll!EnumDisplayDevicesW 00007ffe067d45d8 5 bytes JMP 00007fff05b303e8 .text C:\Windows\system32\dwm.exe[688] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo 00007ffe067d4750 9 bytes JMP 00007fff05b30378 .text C:\Windows\system32\dwm.exe[688] C:\Windows\system32\USER32.dll!EnumDisplayDevicesA 00007ffe067e4fc0 5 bytes JMP 00007fff05b303b0 .text C:\Windows\system32\dwm.exe[688] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList 00007ffe06fa1500 3 bytes JMP 00007fff05b30458 .text C:\Windows\system32\dwm.exe[688] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 4 00007ffe06fa1504 4 bytes [FE, CC, CC, CC] .text C:\Windows\system32\dwm.exe[688] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo 00007ffe06fa1750 3 bytes JMP 00007fff05b30490 .text C:\Windows\system32\dwm.exe[688] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo + 4 00007ffe06fa1754 4 bytes [FE, CC, CC, CC] .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\system32\nvvsvc.exe[664] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\system32\KERNEL32.DLL!K32GetModuleInformation 00007ffe06e628c0 7 bytes JMP 00007fff05b30260 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\system32\KERNEL32.DLL!RegQueryValueExW 00007ffe06e643d8 7 bytes JMP 00007fff05b30298 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\system32\KERNEL32.DLL!RegSetValueExA 00007ffe06f11f20 7 bytes JMP 00007fff05b30308 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\system32\KERNEL32.DLL!RegSetValueExW 00007ffe06f140b4 7 bytes JMP 00007fff05b30340 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\system32\KERNEL32.DLL!RegDeleteValueW 00007ffe06f14510 7 bytes JMP 00007fff05b302d0 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\system32\KERNEL32.DLL!K32EnumProcessModulesEx 00007ffe06f3cea0 7 bytes JMP 00007fff05b301f0 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\system32\KERNEL32.DLL!K32GetMappedFileNameW 00007ffe06f3cf10 7 bytes JMP 00007fff05b30228 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW 00007ffe05b92300 7 bytes JMP 00007fff05b300d8 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\system32\KERNELBASE.dll!FreeLibrary 00007ffe05b95770 5 bytes JMP 00007fff05b30180 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW 00007ffe05b95860 5 bytes JMP 00007fff05b30148 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW 00007ffe05b95a30 5 bytes JMP 00007fff05b30110 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW 00007ffe05c0a3f0 5 bytes JMP 00007fff05b301b8 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\combase.dll!CoSetProxyBlanket 00007ffe06a09318 7 bytes JMP 00007fff05b30500 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\SYSTEM32\combase.dll!CoCreateInstance 00007ffe06a0cbe0 7 bytes JMP 00007fff05b304c8 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\system32\USER32.dll!CreateWindowExW 00007ffe067cb6f4 10 bytes JMP 00007fff05b30420 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\system32\USER32.dll!EnumDisplayDevicesW 00007ffe067d45d8 5 bytes JMP 00007fff05b303e8 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo 00007ffe067d4750 9 bytes JMP 00007fff05b30378 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\system32\USER32.dll!EnumDisplayDevicesA 00007ffe067e4fc0 5 bytes JMP 00007fff05b303b0 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList 00007ffe06fa1500 3 bytes JMP 00007fff05b30458 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 4 00007ffe06fa1504 4 bytes [FE, CC, CC, CC] .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo 00007ffe06fa1750 3 bytes JMP 00007fff05b30490 .text C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[1032] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo + 4 00007ffe06fa1754 4 bytes [FE, CC, CC, CC] .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffe072d169a 4 bytes [2D, 07, FE, 7F] .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffe072d16a2 4 bytes [2D, 07, FE, 7F] .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffe072d181a 4 bytes [2D, 07, FE, 7F] .text C:\Windows\system32\nvvsvc.exe[1040] C:\Windows\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffe072d1832 4 bytes [2D, 07, FE, 7F] .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\System32\svchost.exe[1064] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\System32\svchost.exe[1096] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\system32\svchost.exe[1112] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\system32\svchost.exe[1136] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\system32\svchost.exe[1376] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\System32\spoolsv.exe[1828] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\system32\svchost.exe[1868] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\system32\AdminService.exe[1312] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\system32\dashost.exe[2096] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2124] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[2204] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\system32\conhost.exe[2212] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\system32\psapi.dll!GetModuleBaseNameA + 506 00007ffe072d169a 4 bytes [2D, 07, FE, 7F] .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\system32\psapi.dll!GetModuleBaseNameA + 514 00007ffe072d16a2 4 bytes [2D, 07, FE, 7F] .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\system32\psapi.dll!QueryWorkingSet + 118 00007ffe072d181a 4 bytes [2D, 07, FE, 7F] .text C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe[2228] C:\Windows\system32\psapi.dll!QueryWorkingSet + 142 00007ffe072d1832 4 bytes [2D, 07, FE, 7F] .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\system32\svchost.exe[2256] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\system32\vmms.exe[2580] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\System32\WUDFHost.exe[3048] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\system32\svchost.exe[1988] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\system32\svchost.exe[2576] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\system32\KERNEL32.DLL!K32GetModuleInformation 00007ffe06e628c0 7 bytes JMP 00007fff05b10260 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\system32\KERNEL32.DLL!RegQueryValueExW 00007ffe06e643d8 7 bytes JMP 00007fff05b10298 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\system32\KERNEL32.DLL!RegSetValueExA 00007ffe06f11f20 7 bytes JMP 00007fff05b10308 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\system32\KERNEL32.DLL!RegSetValueExW 00007ffe06f140b4 7 bytes JMP 00007fff05b10340 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\system32\KERNEL32.DLL!RegDeleteValueW 00007ffe06f14510 7 bytes JMP 00007fff05b102d0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\system32\KERNEL32.DLL!K32EnumProcessModulesEx 00007ffe06f3cea0 7 bytes JMP 00007fff05b101f0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\system32\KERNEL32.DLL!K32GetMappedFileNameW 00007ffe06f3cf10 7 bytes JMP 00007fff05b10228 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW 00007ffe05b92300 7 bytes JMP 00007fff05b100d8 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\system32\KERNELBASE.dll!FreeLibrary 00007ffe05b95770 5 bytes JMP 00007fff05b10180 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW 00007ffe05b95860 5 bytes JMP 00007fff05b10148 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW 00007ffe05b95a30 5 bytes JMP 00007fff05b10110 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW 00007ffe05c0a3f0 5 bytes JMP 00007fff05b101b8 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\system32\USER32.dll!CreateWindowExW 00007ffe067cb6f4 10 bytes JMP 00007fff05b10420 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\system32\USER32.dll!EnumDisplayDevicesW 00007ffe067d45d8 5 bytes JMP 00007fff05b103e8 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo 00007ffe067d4750 9 bytes JMP 00007fff05b10378 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\system32\USER32.dll!EnumDisplayDevicesA 00007ffe067e4fc0 5 bytes JMP 00007fff05b103b0 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\d3d9.dll!Direct3DCreate9Ex 00007ffdfd93a364 4 bytes JMP 00007ffe05b10570 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\d3d9.dll!Direct3DCreate9 00007ffdfd95def8 6 bytes JMP 00007ffe05b10538 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList 00007ffe06fa1500 8 bytes JMP 00007fff05b10458 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo 00007ffe06fa1750 8 bytes JMP 00007fff05b10490 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\combase.dll!CoSetProxyBlanket 00007ffe06a09318 7 bytes JMP 00007fff05b10500 .text C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe[3736] C:\Windows\SYSTEM32\combase.dll!CoCreateInstance 00007ffe06a0cbe0 7 bytes JMP 00007fff05b104c8 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\system32\conhost.exe[3744] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\system32\KERNEL32.DLL!K32GetModuleInformation 00007ffe06e628c0 7 bytes JMP 00007fff05b30260 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\system32\KERNEL32.DLL!RegQueryValueExW 00007ffe06e643d8 7 bytes JMP 00007fff05b30298 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\system32\KERNEL32.DLL!RegSetValueExA 00007ffe06f11f20 7 bytes JMP 00007fff05b30308 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\system32\KERNEL32.DLL!RegSetValueExW 00007ffe06f140b4 7 bytes JMP 00007fff05b30340 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\system32\KERNEL32.DLL!RegDeleteValueW 00007ffe06f14510 7 bytes JMP 00007fff05b302d0 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\system32\KERNEL32.DLL!K32EnumProcessModulesEx 00007ffe06f3cea0 7 bytes JMP 00007fff05b301f0 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\system32\KERNEL32.DLL!K32GetMappedFileNameW 00007ffe06f3cf10 7 bytes JMP 00007fff05b30228 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW 00007ffe05b92300 7 bytes JMP 00007fff05b300d8 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\system32\KERNELBASE.dll!FreeLibrary 00007ffe05b95770 5 bytes JMP 00007fff05b30180 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW 00007ffe05b95860 5 bytes JMP 00007fff05b30148 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW 00007ffe05b95a30 5 bytes JMP 00007fff05b30110 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW 00007ffe05c0a3f0 5 bytes JMP 00007fff05b301b8 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\user32.dll!CreateWindowExW 00007ffe067cb6f4 10 bytes JMP 00007fff05b30420 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\user32.dll!EnumDisplayDevicesW 00007ffe067d45d8 5 bytes JMP 00007fff05b303e8 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\user32.dll!DisplayConfigGetDeviceInfo 00007ffe067d4750 9 bytes JMP 00007fff05b30378 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\SYSTEM32\user32.dll!EnumDisplayDevicesA 00007ffe067e4fc0 5 bytes JMP 00007fff05b303b0 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList 00007ffe06fa1500 3 bytes JMP 00007fff05b30458 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 4 00007ffe06fa1504 4 bytes [FE, CC, CC, CC] .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo 00007ffe06fa1750 3 bytes JMP 00007fff05b30490 .text C:\Windows\system32\taskhostex.exe[3768] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo + 4 00007ffe06fa1754 4 bytes [FE, CC, CC, CC] .text C:\Programy\P4G\BatteryLife.exe[3848] C:\Windows\system32\KERNEL32.DLL!K32GetModuleInformation 00007ffe06e628c0 7 bytes JMP 00007fff05b30260 .text C:\Programy\P4G\BatteryLife.exe[3848] C:\Windows\system32\KERNEL32.DLL!RegQueryValueExW 00007ffe06e643d8 7 bytes JMP 00007fff05b30298 .text C:\Programy\P4G\BatteryLife.exe[3848] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Programy\P4G\BatteryLife.exe[3848] C:\Windows\system32\KERNEL32.DLL!RegSetValueExA 00007ffe06f11f20 7 bytes JMP 00007fff05b30308 .text C:\Programy\P4G\BatteryLife.exe[3848] C:\Windows\system32\KERNEL32.DLL!RegSetValueExW 00007ffe06f140b4 7 bytes JMP 00007fff05b30340 .text C:\Programy\P4G\BatteryLife.exe[3848] C:\Windows\system32\KERNEL32.DLL!RegDeleteValueW 00007ffe06f14510 7 bytes JMP 00007fff05b302d0 .text C:\Programy\P4G\BatteryLife.exe[3848] C:\Windows\system32\KERNEL32.DLL!K32EnumProcessModulesEx 00007ffe06f3cea0 7 bytes JMP 00007fff05b301f0 .text C:\Programy\P4G\BatteryLife.exe[3848] C:\Windows\system32\KERNEL32.DLL!K32GetMappedFileNameW 00007ffe06f3cf10 7 bytes JMP 00007fff05b30228 .text C:\Programy\P4G\BatteryLife.exe[3848] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW 00007ffe05b92300 7 bytes JMP 00007fff05b300d8 .text C:\Programy\P4G\BatteryLife.exe[3848] C:\Windows\system32\KERNELBASE.dll!FreeLibrary 00007ffe05b95770 5 bytes JMP 00007fff05b30180 .text C:\Programy\P4G\BatteryLife.exe[3848] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW 00007ffe05b95860 5 bytes JMP 00007fff05b30148 .text C:\Programy\P4G\BatteryLife.exe[3848] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW 00007ffe05b95a30 5 bytes JMP 00007fff05b30110 .text C:\Programy\P4G\BatteryLife.exe[3848] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW 00007ffe05c0a3f0 5 bytes JMP 00007fff05b301b8 .text C:\Programy\P4G\BatteryLife.exe[3848] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList 00007ffe06fa1500 3 bytes JMP 00007fff05b30458 .text C:\Programy\P4G\BatteryLife.exe[3848] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 4 00007ffe06fa1504 4 bytes [FE, CC, CC, CC] .text C:\Programy\P4G\BatteryLife.exe[3848] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo 00007ffe06fa1750 3 bytes JMP 00007fff05b30490 .text C:\Programy\P4G\BatteryLife.exe[3848] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo + 4 00007ffe06fa1754 4 bytes [FE, CC, CC, CC] .text C:\Programy\P4G\BatteryLife.exe[3848] C:\Windows\SYSTEM32\combase.dll!CoSetProxyBlanket 00007ffe06a09318 7 bytes JMP 00007fff05b30500 .text C:\Programy\P4G\BatteryLife.exe[3848] C:\Windows\SYSTEM32\combase.dll!CoCreateInstance 00007ffe06a0cbe0 7 bytes JMP 00007fff05b304c8 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\Explorer.EXE[3908] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\Explorer.EXE[3908] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\Explorer.EXE[3908] C:\Windows\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffe072d169a 4 bytes [2D, 07, FE, 7F] .text C:\Windows\Explorer.EXE[3908] C:\Windows\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffe072d16a2 4 bytes [2D, 07, FE, 7F] .text C:\Windows\Explorer.EXE[3908] C:\Windows\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffe072d181a 4 bytes [2D, 07, FE, 7F] .text C:\Windows\Explorer.EXE[3908] C:\Windows\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffe072d1832 4 bytes [2D, 07, FE, 7F] .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\system32\KERNEL32.DLL!K32GetModuleInformation 00007ffe06e628c0 7 bytes JMP 00007fff05b30260 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\system32\KERNEL32.DLL!RegQueryValueExW 00007ffe06e643d8 7 bytes JMP 00007fff05b30298 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\system32\KERNEL32.DLL!RegSetValueExA 00007ffe06f11f20 7 bytes JMP 00007fff05b30308 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\system32\KERNEL32.DLL!RegSetValueExW 00007ffe06f140b4 7 bytes JMP 00007fff05b30340 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\system32\KERNEL32.DLL!RegDeleteValueW 00007ffe06f14510 7 bytes JMP 00007fff05b302d0 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\system32\KERNEL32.DLL!K32EnumProcessModulesEx 00007ffe06f3cea0 7 bytes JMP 00007fff05b301f0 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\system32\KERNEL32.DLL!K32GetMappedFileNameW 00007ffe06f3cf10 7 bytes JMP 00007fff05b30228 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW 00007ffe05b92300 7 bytes JMP 00007fff05b300d8 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\system32\KERNELBASE.dll!FreeLibrary 00007ffe05b95770 5 bytes JMP 00007fff05b30180 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW 00007ffe05b95860 5 bytes JMP 00007fff05b30148 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW 00007ffe05b95a30 5 bytes JMP 00007fff05b30110 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW 00007ffe05c0a3f0 5 bytes JMP 00007fff05b301b8 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\system32\USER32.dll!CreateWindowExW 00007ffe067cb6f4 10 bytes JMP 00007fff05b30420 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\system32\USER32.dll!EnumDisplayDevicesW 00007ffe067d45d8 5 bytes JMP 00007fff05b303e8 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo 00007ffe067d4750 9 bytes JMP 00007fff05b30378 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\system32\USER32.dll!EnumDisplayDevicesA 00007ffe067e4fc0 5 bytes JMP 00007fff05b303b0 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList 00007ffe06fa1500 3 bytes JMP 00007fff05b30458 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 4 00007ffe06fa1504 4 bytes [FE, CC, CC, CC] .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo 00007ffe06fa1750 3 bytes JMP 00007fff05b30490 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo + 4 00007ffe06fa1754 4 bytes [FE, CC, CC, CC] .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\combase.dll!CoSetProxyBlanket 00007ffe06a09318 7 bytes JMP 00007fff05b30500 .text C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4644] C:\Windows\SYSTEM32\combase.dll!CoCreateInstance 00007ffe06a0cbe0 7 bytes JMP 00007fff05b304c8 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\system32\KERNEL32.DLL!K32GetModuleInformation 00007ffe06e628c0 7 bytes JMP 00007fff05b30260 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\system32\KERNEL32.DLL!RegQueryValueExW 00007ffe06e643d8 7 bytes JMP 00007fff05b30298 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\system32\KERNEL32.DLL!RegSetValueExA 00007ffe06f11f20 7 bytes JMP 00007fff05b30308 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\system32\KERNEL32.DLL!RegSetValueExW 00007ffe06f140b4 7 bytes JMP 00007fff05b30340 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\system32\KERNEL32.DLL!RegDeleteValueW 00007ffe06f14510 7 bytes JMP 00007fff05b302d0 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\system32\KERNEL32.DLL!K32EnumProcessModulesEx 00007ffe06f3cea0 7 bytes JMP 00007fff05b301f0 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\system32\KERNEL32.DLL!K32GetMappedFileNameW 00007ffe06f3cf10 7 bytes JMP 00007fff05b30228 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW 00007ffe05b92300 7 bytes JMP 00007fff05b300d8 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\system32\KERNELBASE.dll!FreeLibrary 00007ffe05b95770 5 bytes JMP 00007fff05b30180 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW 00007ffe05b95860 5 bytes JMP 00007fff05b30148 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW 00007ffe05b95a30 5 bytes JMP 00007fff05b30110 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW 00007ffe05c0a3f0 5 bytes JMP 00007fff05b301b8 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffe072d169a 4 bytes [2D, 07, FE, 7F] .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffe072d16a2 4 bytes [2D, 07, FE, 7F] .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffe072d181a 4 bytes [2D, 07, FE, 7F] .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffe072d1832 4 bytes [2D, 07, FE, 7F] .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\system32\USER32.dll!CreateWindowExW 00007ffe067cb6f4 10 bytes JMP 00007fff05b30420 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\system32\USER32.dll!EnumDisplayDevicesW 00007ffe067d45d8 5 bytes JMP 00007fff05b303e8 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo 00007ffe067d4750 9 bytes JMP 00007fff05b30378 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\system32\USER32.dll!EnumDisplayDevicesA 00007ffe067e4fc0 5 bytes JMP 00007fff05b303b0 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList 00007ffe06fa1500 3 bytes JMP 00007fff05b30458 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 4 00007ffe06fa1504 4 bytes [FE, CC, CC, CC] .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo 00007ffe06fa1750 3 bytes JMP 00007fff05b30490 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo + 4 00007ffe06fa1754 4 bytes [FE, CC, CC, CC] .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\combase.dll!CoSetProxyBlanket 00007ffe06a09318 7 bytes JMP 00007fff05b30500 .text C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[3252] C:\Windows\SYSTEM32\combase.dll!CoCreateInstance 00007ffe06a0cbe0 7 bytes JMP 00007fff05b304c8 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\system32\KERNEL32.DLL!K32GetModuleInformation 00007ffe06e628c0 7 bytes JMP 00007fff05b30260 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\system32\KERNEL32.DLL!RegQueryValueExW 00007ffe06e643d8 7 bytes JMP 00007fff05b30298 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\system32\KERNEL32.DLL!RegSetValueExA 00007ffe06f11f20 7 bytes JMP 00007fff05b30308 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\system32\KERNEL32.DLL!RegSetValueExW 00007ffe06f140b4 7 bytes JMP 00007fff05b30340 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\system32\KERNEL32.DLL!RegDeleteValueW 00007ffe06f14510 7 bytes JMP 00007fff05b302d0 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\system32\KERNEL32.DLL!K32EnumProcessModulesEx 00007ffe06f3cea0 7 bytes JMP 00007fff05b301f0 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\system32\KERNEL32.DLL!K32GetMappedFileNameW 00007ffe06f3cf10 7 bytes JMP 00007fff05b30228 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW 00007ffe05b92300 7 bytes JMP 00007fff05b300d8 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\system32\KERNELBASE.dll!FreeLibrary 00007ffe05b95770 5 bytes JMP 00007fff05b30180 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW 00007ffe05b95860 5 bytes JMP 00007fff05b30148 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW 00007ffe05b95a30 5 bytes JMP 00007fff05b30110 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW 00007ffe05c0a3f0 5 bytes JMP 00007fff05b301b8 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffe072d169a 4 bytes [2D, 07, FE, 7F] .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffe072d16a2 4 bytes [2D, 07, FE, 7F] .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffe072d181a 4 bytes [2D, 07, FE, 7F] .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffe072d1832 4 bytes [2D, 07, FE, 7F] .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\system32\USER32.dll!CreateWindowExW 00007ffe067cb6f4 10 bytes JMP 00007fff05b30420 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\system32\USER32.dll!EnumDisplayDevicesW 00007ffe067d45d8 5 bytes JMP 00007fff05b303e8 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo 00007ffe067d4750 9 bytes JMP 00007fff05b30378 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\system32\USER32.dll!EnumDisplayDevicesA 00007ffe067e4fc0 5 bytes JMP 00007fff05b303b0 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList 00007ffe06fa1500 3 bytes JMP 00007fff05b30458 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 4 00007ffe06fa1504 4 bytes [FE, CC, CC, CC] .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo 00007ffe06fa1750 3 bytes JMP 00007fff05b30490 .text C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[4492] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo + 4 00007ffe06fa1754 4 bytes [FE, CC, CC, CC] .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\system32\KERNEL32.DLL!K32GetModuleInformation 00007ffe06e628c0 7 bytes JMP 00007fff05b30260 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\system32\KERNEL32.DLL!RegQueryValueExW 00007ffe06e643d8 7 bytes JMP 00007fff05b30298 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\system32\KERNEL32.DLL!RegSetValueExA 00007ffe06f11f20 7 bytes JMP 00007fff05b30308 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\system32\KERNEL32.DLL!RegSetValueExW 00007ffe06f140b4 7 bytes JMP 00007fff05b30340 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\system32\KERNEL32.DLL!RegDeleteValueW 00007ffe06f14510 7 bytes JMP 00007fff05b302d0 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\system32\KERNEL32.DLL!K32EnumProcessModulesEx 00007ffe06f3cea0 7 bytes JMP 00007fff05b301f0 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\system32\KERNEL32.DLL!K32GetMappedFileNameW 00007ffe06f3cf10 7 bytes JMP 00007fff05b30228 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW 00007ffe05b92300 7 bytes JMP 00007fff05b300d8 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\system32\KERNELBASE.dll!FreeLibrary 00007ffe05b95770 5 bytes JMP 00007fff05b30180 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW 00007ffe05b95860 5 bytes JMP 00007fff05b30148 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW 00007ffe05b95a30 5 bytes JMP 00007fff05b30110 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW 00007ffe05c0a3f0 5 bytes JMP 00007fff05b301b8 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\system32\USER32.dll!CreateWindowExW 00007ffe067cb6f4 10 bytes JMP 00007fff05b30420 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\system32\USER32.dll!EnumDisplayDevicesW 00007ffe067d45d8 5 bytes JMP 00007fff05b303e8 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo 00007ffe067d4750 9 bytes JMP 00007fff05b30378 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\system32\USER32.dll!EnumDisplayDevicesA 00007ffe067e4fc0 5 bytes JMP 00007fff05b303b0 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList 00007ffe06fa1500 3 bytes JMP 00007fff05b30458 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 4 00007ffe06fa1504 4 bytes [FE, CC, CC, CC] .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo 00007ffe06fa1750 3 bytes JMP 00007fff05b30490 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo + 4 00007ffe06fa1754 4 bytes [FE, CC, CC, CC] .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\combase.dll!CoSetProxyBlanket 00007ffe06a09318 7 bytes JMP 00007fff05b30500 .text C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[5020] C:\Windows\SYSTEM32\combase.dll!CoCreateInstance 00007ffe06a0cbe0 7 bytes JMP 00007fff05b304c8 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\system32\KERNEL32.DLL!K32GetModuleInformation 00007ffe06e628c0 7 bytes JMP 00007fff05b30260 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\system32\KERNEL32.DLL!RegQueryValueExW 00007ffe06e643d8 7 bytes JMP 00007fff05b30298 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\system32\KERNEL32.DLL!RegSetValueExA 00007ffe06f11f20 7 bytes JMP 00007fff05b30308 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\system32\KERNEL32.DLL!RegSetValueExW 00007ffe06f140b4 7 bytes JMP 00007fff05b30340 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\system32\KERNEL32.DLL!RegDeleteValueW 00007ffe06f14510 7 bytes JMP 00007fff05b302d0 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\system32\KERNEL32.DLL!K32EnumProcessModulesEx 00007ffe06f3cea0 7 bytes JMP 00007fff05b301f0 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\system32\KERNEL32.DLL!K32GetMappedFileNameW 00007ffe06f3cf10 7 bytes JMP 00007fff05b30228 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW 00007ffe05b92300 7 bytes JMP 00007fff05b300d8 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\system32\KERNELBASE.dll!FreeLibrary 00007ffe05b95770 5 bytes JMP 00007fff05b30180 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW 00007ffe05b95860 5 bytes JMP 00007fff05b30148 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW 00007ffe05b95a30 5 bytes JMP 00007fff05b30110 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW 00007ffe05c0a3f0 5 bytes JMP 00007fff05b301b8 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\system32\USER32.dll!CreateWindowExW 00007ffe067cb6f4 10 bytes JMP 00007fff05b30420 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\system32\USER32.dll!EnumDisplayDevicesW 00007ffe067d45d8 5 bytes JMP 00007fff05b303e8 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo 00007ffe067d4750 9 bytes JMP 00007fff05b30378 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\system32\USER32.dll!EnumDisplayDevicesA 00007ffe067e4fc0 5 bytes JMP 00007fff05b303b0 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList 00007ffe06fa1500 3 bytes JMP 00007fff05b30458 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 4 00007ffe06fa1504 4 bytes [FE, CC, CC, CC] .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo 00007ffe06fa1750 3 bytes JMP 00007fff05b30490 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo + 4 00007ffe06fa1754 4 bytes [FE, CC, CC, CC] .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\combase.dll!CoSetProxyBlanket 00007ffe06a09318 7 bytes JMP 00007fff05b30500 .text C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe[5212] C:\Windows\SYSTEM32\combase.dll!CoCreateInstance 00007ffe06a0cbe0 7 bytes JMP 00007fff05b304c8 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\System32\igfxtray.exe[5288] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\System32\hkcmd.exe[5360] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\system32\KERNEL32.DLL!K32GetModuleInformation 00007ffe06e628c0 7 bytes JMP 00007fff05b30260 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\system32\KERNEL32.DLL!RegQueryValueExW 00007ffe06e643d8 7 bytes JMP 00007fff05b30298 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\system32\KERNEL32.DLL!RegSetValueExA 00007ffe06f11f20 7 bytes JMP 00007fff05b30308 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\system32\KERNEL32.DLL!RegSetValueExW 00007ffe06f140b4 7 bytes JMP 00007fff05b30340 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\system32\KERNEL32.DLL!RegDeleteValueW 00007ffe06f14510 7 bytes JMP 00007fff05b302d0 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\system32\KERNEL32.DLL!K32EnumProcessModulesEx 00007ffe06f3cea0 7 bytes JMP 00007fff05b301f0 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\system32\KERNEL32.DLL!K32GetMappedFileNameW 00007ffe06f3cf10 7 bytes JMP 00007fff05b30228 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW 00007ffe05b92300 7 bytes JMP 00007fff05b300d8 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\system32\KERNELBASE.dll!FreeLibrary 00007ffe05b95770 5 bytes JMP 00007fff05b30180 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW 00007ffe05b95860 5 bytes JMP 00007fff05b30148 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW 00007ffe05b95a30 5 bytes JMP 00007fff05b30110 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW 00007ffe05c0a3f0 5 bytes JMP 00007fff05b301b8 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\system32\USER32.dll!CreateWindowExW 00007ffe067cb6f4 10 bytes JMP 00007fff05b30420 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\system32\USER32.dll!EnumDisplayDevicesW 00007ffe067d45d8 5 bytes JMP 00007fff05b303e8 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo 00007ffe067d4750 9 bytes JMP 00007fff05b30378 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\system32\USER32.dll!EnumDisplayDevicesA 00007ffe067e4fc0 5 bytes JMP 00007fff05b303b0 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList 00007ffe06fa1500 3 bytes JMP 00007fff05b30458 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 4 00007ffe06fa1504 4 bytes [FE, CC, CC, CC] .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo 00007ffe06fa1750 3 bytes JMP 00007fff05b30490 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo + 4 00007ffe06fa1754 4 bytes [FE, CC, CC, CC] .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\combase.dll!CoSetProxyBlanket 00007ffe06a09318 7 bytes JMP 00007fff05b30500 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\SYSTEM32\combase.dll!CoCreateInstance 00007ffe06a0cbe0 7 bytes JMP 00007fff05b304c8 .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\system32\PSAPI.DLL!GetModuleBaseNameA + 506 00007ffe072d169a 4 bytes [2D, 07, FE, 7F] .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\system32\PSAPI.DLL!GetModuleBaseNameA + 514 00007ffe072d16a2 4 bytes [2D, 07, FE, 7F] .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\system32\PSAPI.DLL!QueryWorkingSet + 118 00007ffe072d181a 4 bytes [2D, 07, FE, 7F] .text C:\Windows\System32\igfxpers.exe[5460] C:\Windows\system32\PSAPI.DLL!QueryWorkingSet + 142 00007ffe072d1832 4 bytes [2D, 07, FE, 7F] .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort 00007ffe0879ac30 5 bytes JMP 00007ffe888c0460 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject 00007ffe0879ac80 5 bytes JMP 00007ffe888c0450 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess 00007ffe0879ade0 1 byte JMP 00007ffe888c0370 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 2 00007ffe0879ade2 3 bytes {JMP 0xffffffff80125590} .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx 00007ffe0879ae30 5 bytes JMP 00007ffe888c0470 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess 00007ffe0879ae40 5 bytes JMP 00007ffe888c03e0 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection 00007ffe0879aef0 5 bytes JMP 00007ffe888c0320 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory 00007ffe0879af20 1 byte JMP 00007ffe888c03b0 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory + 2 00007ffe0879af22 3 bytes {JMP 0xffffffff80125490} .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject 00007ffe0879af40 5 bytes JMP 00007ffe888c0390 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent 00007ffe0879af80 5 bytes JMP 00007ffe888c02e0 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent 00007ffe0879b000 5 bytes JMP 00007ffe888c02d0 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection 00007ffe0879b020 5 bytes JMP 00007ffe888c0310 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread 00007ffe0879b060 5 bytes JMP 00007ffe888c03c0 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread 00007ffe0879b0b0 5 bytes JMP 00007ffe888c03f0 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry 00007ffe0879b210 5 bytes JMP 00007ffe888c0230 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort 00007ffe0879b400 5 bytes JMP 00007ffe888c0480 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject 00007ffe0879b430 5 bytes JMP 00007ffe888c03a0 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair 00007ffe0879b550 5 bytes JMP 00007ffe888c02f0 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion 00007ffe0879b570 5 bytes JMP 00007ffe888c0350 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant 00007ffe0879b5e0 5 bytes JMP 00007ffe888c0290 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore 00007ffe0879b670 5 bytes JMP 00007ffe888c02b0 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx 00007ffe0879b690 5 bytes JMP 00007ffe888c03d0 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer 00007ffe0879b6a0 1 byte JMP 00007ffe888c0330 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer + 2 00007ffe0879b6a2 3 bytes {JMP 0xffffffff80124c90} .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess 00007ffe0879b750 5 bytes JMP 00007ffe888c0410 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry 00007ffe0879b780 5 bytes JMP 00007ffe888c0240 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver 00007ffe0879baa0 5 bytes JMP 00007ffe888c01e0 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry 00007ffe0879bb60 5 bytes JMP 00007ffe888c0250 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey 00007ffe0879bb90 5 bytes JMP 00007ffe888c0490 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys 00007ffe0879bba0 5 bytes JMP 00007ffe888c04a0 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair 00007ffe0879bbd0 5 bytes JMP 00007ffe888c0300 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion 00007ffe0879bbe0 5 bytes JMP 00007ffe888c0360 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant 00007ffe0879bc40 5 bytes JMP 00007ffe888c02a0 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore 00007ffe0879bc90 5 bytes JMP 00007ffe888c02c0 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread 00007ffe0879bcc0 5 bytes JMP 00007ffe888c0380 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer 00007ffe0879bcd0 5 bytes JMP 00007ffe888c0340 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx 00007ffe0879bfe0 5 bytes JMP 00007ffe888c0440 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder 00007ffe0879c1e0 5 bytes JMP 00007ffe888c0260 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions 00007ffe0879c1f0 5 bytes JMP 00007ffe888c0270 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread 00007ffe0879c210 5 bytes JMP 00007ffe888c0400 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation 00007ffe0879c3f0 5 bytes JMP 00007ffe888c01f0 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState 00007ffe0879c400 5 bytes JMP 00007ffe888c0210 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem 00007ffe0879c490 5 bytes JMP 00007ffe888c0200 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess 00007ffe0879c500 5 bytes JMP 00007ffe888c0420 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread 00007ffe0879c510 5 bytes JMP 00007ffe888c0430 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl 00007ffe0879c520 5 bytes JMP 00007ffe888c0220 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl 00007ffe0879c630 5 bytes JMP 00007ffe888c0280 .text C:\Windows\system32\AUDIODG.EXE[3284] C:\Windows\SYSTEM32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\System32\skydrive.exe[4600] C:\Windows\system32\KERNEL32.DLL!K32GetModuleInformation 00007ffe06e628c0 7 bytes JMP 00007fff05b30260 .text C:\Windows\System32\skydrive.exe[4600] C:\Windows\system32\KERNEL32.DLL!RegQueryValueExW 00007ffe06e643d8 7 bytes JMP 00007fff05b30298 .text C:\Windows\System32\skydrive.exe[4600] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\System32\skydrive.exe[4600] C:\Windows\system32\KERNEL32.DLL!RegSetValueExA 00007ffe06f11f20 7 bytes JMP 00007fff05b30308 .text C:\Windows\System32\skydrive.exe[4600] C:\Windows\system32\KERNEL32.DLL!RegSetValueExW 00007ffe06f140b4 7 bytes JMP 00007fff05b30340 .text C:\Windows\System32\skydrive.exe[4600] C:\Windows\system32\KERNEL32.DLL!RegDeleteValueW 00007ffe06f14510 7 bytes JMP 00007fff05b302d0 .text C:\Windows\System32\skydrive.exe[4600] C:\Windows\system32\KERNEL32.DLL!K32EnumProcessModulesEx 00007ffe06f3cea0 7 bytes JMP 00007fff05b301f0 .text C:\Windows\System32\skydrive.exe[4600] C:\Windows\system32\KERNEL32.DLL!K32GetMappedFileNameW 00007ffe06f3cf10 7 bytes JMP 00007fff05b30228 .text C:\Windows\System32\skydrive.exe[4600] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW 00007ffe05b92300 7 bytes JMP 00007fff05b300d8 .text C:\Windows\System32\skydrive.exe[4600] C:\Windows\system32\KERNELBASE.dll!FreeLibrary 00007ffe05b95770 5 bytes JMP 00007fff05b30180 .text C:\Windows\System32\skydrive.exe[4600] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW 00007ffe05b95860 5 bytes JMP 00007fff05b30148 .text C:\Windows\System32\skydrive.exe[4600] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW 00007ffe05b95a30 5 bytes JMP 00007fff05b30110 .text C:\Windows\System32\skydrive.exe[4600] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW 00007ffe05c0a3f0 5 bytes JMP 00007fff05b301b8 .text C:\Windows\System32\skydrive.exe[4600] C:\Windows\SYSTEM32\combase.dll!CoSetProxyBlanket 00007ffe06a09318 7 bytes JMP 00007fff05b30500 .text C:\Windows\System32\skydrive.exe[4600] C:\Windows\SYSTEM32\combase.dll!CoCreateInstance 00007ffe06a0cbe0 7 bytes JMP 00007fff05b304c8 .text C:\Windows\System32\skydrive.exe[4600] C:\Windows\system32\USER32.dll!CreateWindowExW 00007ffe067cb6f4 10 bytes JMP 00007fff05b30420 .text C:\Windows\System32\skydrive.exe[4600] C:\Windows\system32\USER32.dll!EnumDisplayDevicesW 00007ffe067d45d8 5 bytes JMP 00007fff05b303e8 .text C:\Windows\System32\skydrive.exe[4600] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo 00007ffe067d4750 9 bytes JMP 00007fff05b30378 .text C:\Windows\System32\skydrive.exe[4600] C:\Windows\system32\USER32.dll!EnumDisplayDevicesA 00007ffe067e4fc0 5 bytes JMP 00007fff05b303b0 .text C:\Windows\System32\skydrive.exe[4600] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList 00007ffe06fa1500 3 bytes JMP 00007fff05b30458 .text C:\Windows\System32\skydrive.exe[4600] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 4 00007ffe06fa1504 4 bytes [FE, CC, CC, CC] .text C:\Windows\System32\skydrive.exe[4600] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo 00007ffe06fa1750 3 bytes JMP 00007fff05b30490 .text C:\Windows\System32\skydrive.exe[4600] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo + 4 00007ffe06fa1754 4 bytes [FE, CC, CC, CC] .text C:\Windows\System32\SettingSyncHost.exe[2872] C:\Windows\system32\KERNEL32.DLL!K32GetModuleInformation 00007ffe06e628c0 7 bytes JMP 00007fff05b30260 .text C:\Windows\System32\SettingSyncHost.exe[2872] C:\Windows\system32\KERNEL32.DLL!RegQueryValueExW 00007ffe06e643d8 7 bytes JMP 00007fff05b30298 .text C:\Windows\System32\SettingSyncHost.exe[2872] C:\Windows\system32\KERNEL32.DLL!GetBinaryTypeW + 165 00007ffe06e7553d 1 byte [62] .text C:\Windows\System32\SettingSyncHost.exe[2872] C:\Windows\system32\KERNEL32.DLL!RegSetValueExA 00007ffe06f11f20 7 bytes JMP 00007fff05b30308 .text C:\Windows\System32\SettingSyncHost.exe[2872] C:\Windows\system32\KERNEL32.DLL!RegSetValueExW 00007ffe06f140b4 7 bytes JMP 00007fff05b30340 .text C:\Windows\System32\SettingSyncHost.exe[2872] C:\Windows\system32\KERNEL32.DLL!RegDeleteValueW 00007ffe06f14510 7 bytes JMP 00007fff05b302d0 .text C:\Windows\System32\SettingSyncHost.exe[2872] C:\Windows\system32\KERNEL32.DLL!K32EnumProcessModulesEx 00007ffe06f3cea0 7 bytes JMP 00007fff05b301f0 .text C:\Windows\System32\SettingSyncHost.exe[2872] C:\Windows\system32\KERNEL32.DLL!K32GetMappedFileNameW 00007ffe06f3cf10 7 bytes JMP 00007fff05b30228 .text C:\Windows\System32\SettingSyncHost.exe[2872] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW 00007ffe05b92300 7 bytes JMP 00007fff05b300d8 .text C:\Windows\System32\SettingSyncHost.exe[2872] C:\Windows\system32\KERNELBASE.dll!FreeLibrary 00007ffe05b95770 5 bytes JMP 00007fff05b30180 .text C:\Windows\System32\SettingSyncHost.exe[2872] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW 00007ffe05b95860 5 bytes JMP 00007fff05b30148 .text C:\Windows\System32\SettingSyncHost.exe[2872] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW 00007ffe05b95a30 5 bytes JMP 00007fff05b30110 .text C:\Windows\System32\SettingSyncHost.exe[2872] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW 00007ffe05c0a3f0 5 bytes JMP 00007fff05b301b8 ---- Threads - GMER 2.1 ---- Thread C:\Windows\system32\csrss.exe [784:808] fffff96000960b90 Thread C:\Windows\System32\SettingSyncHost.exe [2872:3576] 00007ffdfbc34b30 ---- Registry - GMER 2.1 ---- Reg HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData@SystemStartTime 0x59 0x07 0xEE 0x88 ... Reg HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData@SystemLastStartTime 0x3E 0xB2 0x6B 0x53 ... Reg HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData@CMFStartTime 0x59 0x07 0xEE 0x88 ... Reg HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData@CMFLastStartTime 0x3E 0xB2 0x6B 0x53 ... Reg HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData\BootLanguages@pl-PL 213 Reg HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\Configuration\LGD02DC0_00_07DA_79^43DE932A75FD237B0BDE555D6E837849@Timestamp 0x62 0x66 0x59 0x89 ... Reg HKLM\SYSTEM\CurrentControlSet\Control\Lsa@LsaPid 844 Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\RNG@RNGAuxiliarySeed -887461780 Reg HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server@InstanceID dae747f1-bd6b-4b0a-bd2a-2f97583 Reg HKLM\SYSTEM\CurrentControlSet\Control\WDI\Config@ServerName \BaseNamedObjects\WDI_{a56ac2e9-2237-4b32-8616-5e607db5fc65} Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\742f68e2074f Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\742f68e2074f@a8e018e2b6a8 0x15 0x9D 0x8C 0x59 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\742f68e2074f@04e451902c86 0x6F 0x68 0xA8 0xEF ... Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\742f68e2074f@bc72b1edc7a0 0x7A 0x7E 0x05 0x6E ... Reg HKLM\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\Probe\{32024853-ce12-4a8a-a268-31f3045abd3d}@LastProbeTime 1398523178 Reg HKLM\SYSTEM\CurrentControlSet\Services\ialm\Device0@ProfilingToolValues 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\rdyboost\Parameters@ReadyBootPlanAge 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\rdyboost\Parameters@LastBootPlanUserTime ?So?, ?kwi ?26 ?14, 02:42:30??????????????????????????????????? Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch@Epoch 3710 Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch2@Epoch 1864 Reg HKLM\SYSTEM\CurrentControlSet\Services\srvnet\Parameters@MajorSequence 214 Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Live\Roaming\RegistrarData@LastRenewCollectionsInterest 0x79 0x81 0xDC 0xF1 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\SettingSync\SyncData@PendingOperations 2 Reg HKCU\Software\Microsoft\Windows\Windows Error Reporting\Debug\UIHandles@CheckingForSolutionDialog 0x4E 0x03 0x08 0x00 ... Reg HKCU\Software\Microsoft\Windows\Windows Error Reporting\Debug\UIHandles@CloseDialog 0xEE 0x23 0x25 0x00 ... ---- Disk sectors - GMER 2.1 ---- Disk \Device\Harddisk0\DR0 unknown MBR code ---- Files - GMER 2.1 ---- File C:\Users\Lukasz\Dysk Google\STUDIA\Prace komputerowe\Kolko i krzyzyk 2013\Postêpy\kolkoikrzyzyk\code:block\1 0 bytes File C:\Users\Lukasz\Dysk Google\STUDIA\Prace komputerowe\Kolko i krzyzyk 2013\Postêpy\kolkoikrzyzyk\code:block\1\nazwa 0 bytes File C:\Users\Lukasz\Dysk Google\STUDIA\Prace komputerowe\Kolko i krzyzyk 2013\Postêpy\kolkoikrzyzyk\code:block\1\nazwa\bin 0 bytes File C:\Users\Lukasz\Dysk Google\STUDIA\Prace komputerowe\Kolko i krzyzyk 2013\Postêpy\kolkoikrzyzyk\code:block\1\nazwa\bin\Debug 0 bytes File C:\Users\Lukasz\Dysk Google\STUDIA\Prace komputerowe\Kolko i krzyzyk 2013\Postêpy\kolkoikrzyzyk\code:block\1\nazwa\bin\Debug\nazwa 17111 bytes File C:\Users\Lukasz\Dysk Google\STUDIA\Prace komputerowe\Kolko i krzyzyk 2013\Postêpy\kolkoikrzyzyk\code:block\1\nazwa\main.c 99 bytes File C:\Users\Lukasz\Dysk Google\STUDIA\Prace komputerowe\Kolko i krzyzyk 2013\Postêpy\kolkoikrzyzyk\code:block\1\nazwa\nazwa.cbp 1054 bytes File C:\Users\Lukasz\Dysk Google\STUDIA\Prace komputerowe\Kolko i krzyzyk 2013\Postêpy\kolkoikrzyzyk\code:block\1\nazwa\nazwa.depend 137 bytes File C:\Users\Lukasz\Dysk Google\STUDIA\Prace komputerowe\Kolko i krzyzyk 2013\Postêpy\kolkoikrzyzyk\code:block\1\nazwa\nazwa.layout 328 bytes File C:\Users\Lukasz\Dysk Google\STUDIA\Prace komputerowe\Kolko i krzyzyk 2013\Postêpy\kolkoikrzyzyk\code:block\1\nazwa\obj 0 bytes File C:\Users\Lukasz\Dysk Google\STUDIA\Prace komputerowe\Kolko i krzyzyk 2013\Postêpy\kolkoikrzyzyk\code:block\1\nazwa\obj\Debug 0 bytes File C:\Users\Lukasz\Dysk Google\STUDIA\Prace komputerowe\Kolko i krzyzyk 2013\Postêpy\kolkoikrzyzyk\code:block\1\nazwa\obj\Debug\ci.o 14184 bytes File C:\Users\Lukasz\Dysk Google\STUDIA\Prace komputerowe\Kolko i krzyzyk 2013\Postêpy\kolkoikrzyzyk\code:block\2 0 bytes File C:\Users\Lukasz\Dysk Google\STUDIA\Prace komputerowe\Kolko i krzyzyk 2013\Postêpy\kolkoikrzyzyk\code:block\2\nowy 0 bytes File C:\Users\Lukasz\Dysk Google\STUDIA\Prace komputerowe\Kolko i krzyzyk 2013\Postêpy\kolkoikrzyzyk\code:block\2\nowy\bin 0 bytes File C:\Users\Lukasz\Dysk Google\STUDIA\Prace komputerowe\Kolko i krzyzyk 2013\Postêpy\kolkoikrzyzyk\code:block\2\nowy\bin\Debug 0 bytes File C:\Users\Lukasz\Dysk Google\STUDIA\Prace komputerowe\Kolko i krzyzyk 2013\Postêpy\kolkoikrzyzyk\code:block\2\nowy\bin\Debug\nowy 15355 bytes File C:\Users\Lukasz\Dysk Google\STUDIA\Prace komputerowe\Kolko i krzyzyk 2013\Postêpy\kolkoikrzyzyk\code:block\2\nowy\main.c 2708 bytes File C:\Users\Lukasz\Dysk Google\STUDIA\Prace komputerowe\Kolko i krzyzyk 2013\Postêpy\kolkoikrzyzyk\code:block\2\nowy\nowy.cbp 1051 bytes File C:\Users\Lukasz\Dysk Google\STUDIA\Prace komputerowe\Kolko i krzyzyk 2013\Postêpy\kolkoikrzyzyk\code:block\2\nowy\nowy.depend 144 bytes File C:\Users\Lukasz\Dysk Google\STUDIA\Prace komputerowe\Kolko i krzyzyk 2013\Postêpy\kolkoikrzyzyk\code:block\2\nowy\nowy.layout 321 bytes File C:\Users\Lukasz\Dysk Google\STUDIA\Prace komputerowe\Kolko i krzyzyk 2013\Postêpy\kolkoikrzyzyk\code:block\2\nowy\obj 0 bytes File C:\Users\Lukasz\Dysk Google\STUDIA\Prace komputerowe\Kolko i krzyzyk 2013\Postêpy\kolkoikrzyzyk\code:block\2\nowy\obj\Debug 0 bytes File C:\Users\Lukasz\Dysk Google\STUDIA\Prace komputerowe\Kolko i krzyzyk 2013\Postêpy\kolkoikrzyzyk\code:block\2\nowy\obj\Debug\main.o 7656 bytes ---- EOF - GMER 2.1 ----