Analysis Date2013-11-03 06:59:13
MD50c533224df8a212e3705f0d2a4aea998
SHA1d4d1ca5b4d7df84f7e9ad13048c575b03a9e8d2a

Static Details:

File typePE32 executable for MS Windows (GUI) Intel 80386 32-bit
Section.text md5: 9dc7a4ec54ae2e986f708874cb462760 sha1: bd99a08495118089672425ef45b916af97a60f7c size: 16384
Section.rdata md5: 9618b778fded9b4c3d36ce7074c92228 sha1: e7b569d4a9d2548b151b67c8cfea0f459b99e241 size: 4096
Section.data md5: c92dcb95e42de624b70a20e2544db935 sha1: b16f32115db8b93ccd575326b7f6a452c1209907 size: 4096
Section.rsrc md5: 4e28f7bbe7bcc3cf96300957d9593e29 sha1: 0866f093f8dd3eb8fb90900e535f39da687e8795 size: 77824
Timestamp2013-08-01 08:14:47
VersionLegalCopyright: Copyright (C) 2010
InternalName: asdfghj
FileVersion: 45, 52, 80, 1
CompanyName:
PrivateBuild:
LegalTrademarks:
Comments:
ProductName: dfghjk
SpecialBuild:
ProductVersion: 45, 52, 80, 1
FileDescription: sdfgh
OriginalFilename: fdghhjj.EXE
PackerMicrosoft Visual C++ v6.0
PEhashc1017ba97cf6287d1b82d2221ec39c39624dd120
AVavgInject.BEUZ
AVaviraTR/Dropper.Gen

Runtime Details:

Screenshot

Process
↳ C:\malware.exe

RegistryHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Adobe Update ➝
C:\Documents and Settings\Administrator\Application Data\InstallDir\adobe.exe\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\xd0\\xa8\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\xe2\\xba\\x9b\\xe7\\xf2\\x91\\xe8\\x83\\xab\\x00\\xea\\x8f\\xbc\\x12\\x00\\x16\\xea\\x9d\\xa8\\x12\\xee\\xa4\\x80\\xe7\\xf2\\x90\\xe4\\x8a\\x98\\xe7\\xf2\\x91\\xef\\xff\\xbf\\xef\\xff\\xbf\\xe4\\x8a\\x8f\\xe7\\xf2\\x91\\xed\\xc2\\x9c\\x01E\\x00\\xea\\x97\\xb0\\x12\\xc2\\x80\\xec\\x80\\x90\\xea\\x9d\\xa8\\x12\\xee\\xa4\\x80\\xe7\\xf2\\x90@\\xe7\\xf2\\x91\\xef\\xff\\xbf\\xef\\xff\\xbf\\x00\\x00\\xef\\xfc\\x8d\\xe7\\xf2\\x90\\xea\\x9c\\xa4\\x12\\xe0\\xa7\\xaf\\xe7\\xf2\\x81\\x00\\x00\\xea\\x9f\\x90\\x12\\xed\\xce\\x8c\\xe7\\xf2\\x90\\xe1\\xc2\\x9d\\xe7\\xf2\\x84X\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\xed\\xfd\\xac\\xe7\\xf2\\x90\\xe3\\xde\\x94\\xe6\\x95\\xad@\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\xea\\x9c\\x9c\\x12\\xea\\x9e\\x80\\x12\\xc8\\xb2\\x00\\x00\\x00\\xe0\\xba\\xa6\\xe7\\xf2\\x81\\xc8\\xb2\\x00l\\x00\\xe2\\x91\\x80\\xe7\\xdf\\x86\\xea\\x9d\\xa8\\x12\\xed\\xfd\\xac\\xe7\\xf2\\x90\\xe3\\xde\\x94\\xe6\\x95\\xad@\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\xea\\x9d\\x98\\x12\\xea\\x9e\\xbc\\x12\\xc8\\x85\\x00\\x00\\x00\\xe0\\xba\\xa6\\xe7\\xf2\\x81\\xc8\\x85\\x00l\\x00\\xe2\\x91\\x80\\xe7\\xdf\\x86\\xea\\x9f\\x98\\x12\\xc3\\x81\\x00\\x00\\x00\\xc8\\x85\\x00\\xea\\x9d\\x84\\x12l\\x00\\xea\\xaf\\xb0\\x12\\xe9\\xeb\\x80\\xe7\\xf2\\x83\\xe0\\xba\\xb0\\xe7\\xf2\\x81\\xef\\xff\\xbf\\xef\\xff\\xbf\\xe0\\xba\\xa6\\xe7\\xf2\\x81\\xd0\\x98\\xe7\\xdf\\x83@\\x00\\xea\\x9e\\xbc\\x12\\xc8\\x85\\x00\\xea\\x9e\\xa0\\x12\\x00\\x00l\\x00\\x03\\x00\\xd3\\xbc\\xe7\\xdf\\x83Software\Microsoft\Windows\CurrentVersion\Explorer\Shell F
RegistryHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Adobe Update ➝
C:\Documents and Settings\Administrator\Application Data\InstallDir\adobe.exe\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\xd0\\xa8\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\xe2\\xba\\x9b\\xe7\\xf2\\x91\\xe8\\x83\\xab\\x00\\xea\\x8f\\xbc\\x12\\x00\\x16\\xea\\x9d\\xa8\\x12\\xee\\xa4\\x80\\xe7\\xf2\\x90\\xe4\\x8a\\x98\\xe7\\xf2\\x91\\xef\\xff\\xbf\\xef\\xff\\xbf\\xe4\\x8a\\x8f\\xe7\\xf2\\x91\\xed\\xc2\\x9c\\x01E\\x00\\xea\\x97\\xb0\\x12\\xc2\\x80\\xec\\x80\\x90\\xea\\x9d\\xa8\\x12\\xee\\xa4\\x80\\xe7\\xf2\\x90@\\xe7\\xf2\\x91\\xef\\xff\\xbf\\xef\\xff\\xbf\\x00\\x00\\xef\\xfc\\x8d\\xe7\\xf2\\x90\\xea\\x9c\\xa4\\x12\\xe0\\xa7\\xaf\\xe7\\xf2\\x81\\x00\\x00\\xea\\x9f\\x90\\x12\\xed\\xce\\x8c\\xe7\\xf2\\x90\\xe1\\xc2\\x9d\\xe7\\xf2\\x84X\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\xed\\xfd\\xac\\xe7\\xf2\\x90\\xe3\\xde\\x94\\xe6\\x95\\xad@\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\xea\\x9c\\x9c\\x12\\xea\\x9e\\x80\\x12\\xc8\\xb2\\x00\\x00\\x00\\xe0\\xba\\xa6\\xe7\\xf2\\x81\\xc8\\xb2\\x00l\\x00\\xe2\\x91\\x80\\xe7\\xdf\\x86\\xea\\x9d\\xa8\\x12\\xed\\xfd\\xac\\xe7\\xf2\\x90\\xe3\\xde\\x94\\xe6\\x95\\xad@\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\xea\\x9d\\x98\\x12\\xea\\x9e\\xbc\\x12\\xc8\\x85\\x00\\x00\\x00\\xe0\\xba\\xa6\\xe7\\xf2\\x81\\xc8\\x85\\x00l\\x00\\xe2\\x91\\x80\\xe7\\xdf\\x86\\xea\\x9f\\x98\\x12\\xc3\\x81\\x00\\x00\\x00\\xc8\\x85\\x00\\xea\\x9d\\x84\\x12l\\x00\\xea\\xaf\\xb0\\x12\\xe9\\xeb\\x80\\xe7\\xf2\\x83\\xe0\\xba\\xb0\\xe7\\xf2\\x81\\xef\\xff\\xbf\\xef\\xff\\xbf\\xe0\\xba\\xa6\\xe7\\xf2\\x81\\xd0\\x98\\xe7\\xdf\\x83@\\x00\\xea\\x9e\\xbc\\x12\\xc8\\x85\\x00\\xea\\x9e\\xa0\\x12\\x00\\x00l\\x00\\x03\\x00\\xd3\\xbc\\xe7\\xdf\\x83Software\Microsoft\Windows\CurrentVersion\Explorer\Shell F
Creates FileC:\Documents and Settings\All Users\Start Menu\Programs\Startup\system.pif
Creates FileC:\Documents and Settings\Administrator\Start Menu\Programs\Startup\system.pif
Creates FileC:\Documents and Settings\Administrator\Application Data\InstallDir\adobe.exe
Creates ProcessC:\malware.exe
Creates Process/c net stop MpsSvc
Creates ProcessC:\Program Files\Internet Explorer\iexplore.exe

Process
↳ C:\Program Files\Internet Explorer\iexplore.exe

Process
↳ C:\malware.exe

Process
↳ /c net stop MpsSvc

Creates Processnet stop MpsSvc

Process
↳ net stop MpsSvc

Creates Processnet1 stop MpsSvc

Process
↳ net1 stop MpsSvc

Network Details:


Raw Pcap

Strings
040804b0
45, 52, 80, 1
7Arrange icons at the bottom of the window
About4Quit the application; prompts to save documents
&About S4...
About S4
Activate Task List
Activate this window
&Arrange Icons
Arrange Icons/Arrange windows so they overlap
asdfghj
&Cascade
Cascade Windows5Arrange windows as non-overlapping tiles
Change the window position
Change the window size
Close
&Close
Close the active document
Comments
CompanyName
Copy1Cut the selection and put it on the Clipboard
&Copy	Ctrl+C
Copyright (C) 2010
Copyright (C) 2013
Create a new document
Cu&t	Ctrl+X
dfghjk
?Display program information, version number and copyright
&Edit
Enlarge the window to full size"Switch to the next document window&Switch to the previous document window9Close the active window and prompts to save the documents
Erase
Erase All3Copy the selection and put it on the Clipboard
Erase everything
Erase the selection
Exit
E&xit
fdghhjj.EXE
&File
FileDescription
FileVersion
Find
Find the specified text
&Help
Insert Clipboard contents
InternalName
jjjj
LegalCopyright
LegalTrademarks
MS Sans Serif
&New	Ctrl+N
Next Pane5Switch back to the previous window pane
OriginalFilename
Paste
&Paste	Ctrl+V
Previous Pane
PrivateBuild
ProductName
ProductVersion
Ready
Redo
Reduce the window to an icon
Repeat1Replace specific text with different text
Repeat the last action
Replace%Select the entire document
!Restore the window to normal size
S4 Version 1.0
SCRL
sdfgh
Select All
'Show or hide the toolbar
SpecialBuild
Split
&Status Bar
StringFileInfo
(Switch to the next window pane
&Tile
Tile Windows5Arrange windows as non-overlapping tiles
Tile Windows(Split the active window into panes
Toggle StatusBar
Toggle ToolBar,Show or hide the status bar
&Toolbar
Translation
&Undo	Ctrl+Z
Undo&Redo the previously undone action
Undo the last action
VarFileInfo
&View
VS_VERSION_INFO
&Window
0UGP]%
#0wpVC3
11`I9E 
1461~aBh6
1%@6kx
1Grj"-]
(1LCk`LOC
1T-8uv
;1}U6Q
1'v_|T=
1VWvB/
,2709c
2D[3S*
)2O5J3
=34Ir^
;35+O!s
!=(`3H
3'[JS4
3@?K*.Xa
,3>QPu
3W9FApN
47C=,)
$)48^u'
4ACmBo
4#[J:pt
,4^= sH
.5cX_(
^5M3#pWC
5 [s4]/
^*64ST
/6j4Fa
6y7@hc
777777
7Ia{tW%
7JDVEV
*>7ZQe
	[;8=@
81k,RL	L
8ix83@HV
/8MsE~
=8NwG/
8Or{dG
8rl]%2
8Xkog%{=
[9E#	O
9Hf>4S"t<#
9^O:K@%+
!>9+qB
?9%)Y}DF7
:a3 Js
"ABoHD
aC0f>@
_acmdln
_adjust_fdiv
AGS}OHUD
Ag+w/R
a<!I=J-
*\AIWm
aNMD#%
a'OnUug
.As0p\
&B7T]Kt?
!b-a)Fl.
b&!= j
bJ t9:
*B_n|(
Bn{w)r
B=qU]?	a
bveU#d
@By<-a
c4nRae
]c;bt@'J
CChildFrame
cd|}06&0
]cDA>$"
C[:	{_i
^c~;KX+7	
CloseHandle
CMainFrame
_controlfp
CreateFileW
__CxxFrameHandler
_!`[Cz
D2$USt
dAc}?/
@.data
-_`*]Dj]
__dllonexit
DN2/zD%
dnoyTE
{D#O0S#
`DQ)kb
D`v7S)*3
D?XGP{
dy7,c0
%\-!#e
	 e0#E
E1`{[9J
_E>=/2>
E)9,Fq
eAIuVi
E_*A*Y~
>ef{a7
EnableWindow
eQ]G0~
	erU{D
<e,t}Vqd
_except_handler3
ez#O _^
^#/)f?]
f36I&s
f5t7U*F:Y
F!'7*5>
@FB3SO
>^FBtdp
FC8fl.
f cw"tA
F#`,"f
fI zr12
F&jpw(
fKaO_!
F-UYq\"
fw^X{d
+g4S?\
GetFileSize
__getmainargs
GetModuleFileNameW
GetModuleHandleA
GetStartupInfoA
`	GSs+
h0{&nS
h4F`-0
hG,r'vP
hr_D\v}
.(hVCF
~h|w(c+
()I[*2TK
I$9\$$
IA<?;;}
Ieu=2M+
_initterm
i>P;w4R
;Iq<?;;O
IQU(,k
i;.RE_
I`sZXQ
ivj69&T
IvWeLA
;I@Y<?;;
	i~y	e
%i)yi<
;I@Y<?;;M
i] ]z~
j?^0J),
j[1<_x
J-2gh{Yw"
JB4(#C<0
j^B`}O
jCyP>%ta
J=f=J:j
Ji8aK!K
j:iG4D
^Jjo:U+RJ
jl3- |
Jos@~8
JrZaE^
k8_5;;}
KERNEL32.dll
#k.h(C61*'
k?p,7]
k~$rMTiy
>k^RTg
ktjgg$
KV7({-8
kV?< we	
l}_3T\
#l=7wb
lFjS<[?
l']fQU
L$hR9}
Lnc##+
LoadAcceleratorsA
LoadCursorA
LoadMenuA
Local AppWizard-Generated Applications
LocalFree
LTpOl4d
L$tt8Q
{.;]m`
MessageBoxA
MFC42.DLL
M[iZ)i
MJ[Ni[
Ml1ckv
+;mnjk
MOVX4mKu
Mpj>b9
m!(]S'
MSVCRT.dll
M/"~(w/
mZy{|fK<p
n$1@-8
|*N2,]
NB	ioR
\N&CzKV$
NFel#8
/n`$q+
<N@Q<?;;
 N;W/th
NX>|{	
nz!>Bs^
Nz@|I?y
O5]3:O
O5]3:O>O@y<?;;Ipy<?;;
^++,O'b5hJ
'O'}cs
oHPM@2
oMe/]l
_onexit
_:oO5Jm
OPY<?;;M
oQ_v<JP-
o!u~%w
>&;oV7
_'o@"Z-
p2a-'t
p4y*_c
p&6&6(
PAPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDING
__p__commode
__p__fmode
&%pF;S
pGC`Z aH&
P;;j)0
[{-P_Q
%p:?qj
~pyDWL
p]yvW9
PZ]OPl
q64Nc}-
q~9]qG
q:)'*a9
Q-$Dz,+
QkMFdM
Q/Lae-K!q
q`M]kf\|(%
Q[T#]d
q*t%UL.
=qwTsf
~R+)${
R'[5z8
rbONC_
`.rdata
RdR^wIZr
ReadFile
REs"svfN
]Rj`+~@
=/+r]K
r>]MFs
R<o&,,
\r*UJ	
R<WD7"
>rW$U/|1O
rX]nsq
Rz|$if
s01@qpd
s2vjb3c
SendMessageA
__set_app_type
_setmbcp
__setusermatherr
s.fMHp<#
sg873u!\
SoS5w	$:
^s;rvj
sstDDD
s]Z%|h
T0@Wu=S
t9fI m
T$a:3.nyp
!This program cannot be run in DOS mode.
T$(j$;
TjC8S/
T${^m$
.*.ts	
T*zq3BN
#+T^zS
U.m?V0
Unbx/1
;upD1#
UpdateWindow
USER32.dll
_UvpiJ
uyIHQ,
uyOwpa
uZPH{g
V9G`\"
Vc!YVI
vd"hVSJi!
v^F5[2j
vG-zNZ
VirtualAlloc
$v}j	p7
vk}/'q
v+$<"L
~	vL+a
!Vp	I7&
VSBM,i
v(sk~9
Vursl3
	|vv}b
vwvyv;f
v[*XQ3
]wa-,&@
WLo^Vt
ww(k79
WXc&G@
W$Xy6k
>X}/%_
x#3:*L
X7EuSl
_XcptFilter
&xhO{h
xk=h4O	
XK+wK`]
 *)xo21
xOA@L?
X,Q+dt
X&RVZe
X  v{J
y1cONR
Y2.`N?g
YdFrz.
#yg7*k
y$j5/-f
YNqdTh
;"y"p~
!&Y<T\
y`y+:-
y_ Z}=
z(A%0m
zD)"E1
z;iNEa
zP->bNp
#zR=_9
zskkhP
zXq?	V