Jump to content


 


Register a free account to unlock additional features at BleepingComputer.com
Welcome to BleepingComputer, a free community where people like yourself come together to discuss and learn how to use their computers. Using the site is easy and fun. As a guest, you can browse and view the various discussions in the forums, but can not create a new topic or reply to an existing one unless you are logged in. Other benefits of registering an account are subscribing to topics and forums, creating a blog, and having no ads shown anywhere on the site.


Click here to Register a free account now! or read our Welcome Guide to learn how to use this site.

Photo

Ongoing issues with PUMS and possible rootkit infection


  • Please log in to reply
2 replies to this topic

#1 nebnebos

nebnebos

  • Members
  • 3 posts
  • OFFLINE
  •  
  • Local time:03:01 AM

Posted 08 July 2016 - 04:30 PM

Around Feb 16 I scanned with malwarebytes antirootkit and found a rootkit infection. Considering I only use my computer for gaming purposes only and school work, I think this infection could be the result of someone having access to my network. I flashed my router and the bios of my pc. But, was unable to reinstall windows from a restore disc

 

 
Operating System : Windows 8.1 (6.3.9600) 64 bits version
Started in : Normal mode
User : nbnb [Administrator]
Started from : C:\Program Files\RogueKiller\RogueKiller64.exe
Mode : Scan -- Date : 07/03/2016 18:49:45
 
¤¤¤ Processes : 1 ¤¤¤
[VT.Unknown] ChromeSetup(1).exe(3632) -- C:\Users\nbnb\Downloads\ChromeSetup(1).exe[x] -> Found
 
¤¤¤ Registry : 0 ¤¤¤
 
¤¤¤ Tasks : 1 ¤¤¤
[Suspicious.Path] \JetCleanLoginCheckUpdate -- C:\Users\nbnb\AppData\Local\tific\Toolkit\JetClean\AutoUpdate.exe (/AutoRun) -> Found
 
¤¤¤ Files : 0 ¤¤¤
 
¤¤¤ Hosts File : 0 ¤¤¤
 
¤¤¤ Antirootkit : 0 (Driver: Loaded) ¤¤¤
 
¤¤¤ Web browsers : 0 ¤¤¤
 
¤¤¤ MBR Check : ¤¤¤
+++++ PhysicalDrive0: TOSHIBA THNSNJ128GMCU +++++
--- User ---
[MBR] 148923fad5d8682900188e5c7514c865
[BSP] e99078c1608e80663f54ed72b5e47f99 : Windows Vista/7/8|VT.Unknown MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 350 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 718848 | Size: 121752 MB [Unknown Bootstrap | Unknown Bootloader]
User = LL1 ... OK
User = LL2 ... OK
 
+++++ PhysicalDrive1: WDC WD10JPVX-22JC3T0 +++++
--- User ---
[MBR] 3e0c452552db4407d0cac08d6a0b732a
[BSP] d3f3c2a1b2bca8cbae8ad5af01d599fc : Empty|VT.Unknown MBR Code
Partition table:
0 - Basic data partition | Offset (sectors): 2048 | Size: 938156 MB
1 - [SYSTEM][MAN-MOUNT] Basic data partition | Offset (sectors): 1921347584 | Size: 15711 MB
User = LL1 ... OK
User = LL2 ... OK
 
+++++ PhysicalDrive2: SanDisk Ultra USB Device +++++
--- User ---
[MBR] 49841dc22f10fd4c33eeae0bd77f84f6
[BSP] 9e3b3c473b1db0daa516427cdae6e1cc : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] FAT32-LBA (0xc) [VISIBLE] Offset (sectors): 2048 | Size: 32768 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] The request is not supported. )
 
 
RogueKiller V12.3.7.0 (x64) [Jul  4 2016] (Premium) by Adlice Software
 
Operating System : Windows 8.1 (6.3.9600) 64 bits version
Started in : Safe mode
User : nbnb [Administrator]
Started from : C:\Program Files\RogueKiller\RogueKiller64.exe
Mode : Scan -- Date : 07/06/2016 11:47:44
 
¤¤¤ Processes : 0 ¤¤¤
 
¤¤¤ Registry : 6 ¤¤¤
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters | DhcpNameServer : 10.200.255.251 10.200.255.252 ([X][X])  -> Found
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters | DhcpNameServer : 10.200.255.251 10.200.255.252 ([X][X])  -> Found
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{6B705791-4D7F-4D38-AC0F-833F8FE2CF13} | NameServer : 77.234.40.79 ([X])  -> Found
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{C01AA109-609F-4779-92A6-99AB2B80EC26} | DhcpNameServer : 10.200.255.251 10.200.255.252 ([X][X])  -> Found
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{6B705791-4D7F-4D38-AC0F-833F8FE2CF13} | NameServer : 77.234.40.79 ([X])  -> Found
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{C01AA109-609F-4779-92A6-99AB2B80EC26} | DhcpNameServer : 10.200.255.251 10.200.255.252 ([X][X])  -> Found
 
¤¤¤ Tasks : 0 ¤¤¤
 
¤¤¤ Files : 0 ¤¤¤
 
¤¤¤ Hosts File : 0 ¤¤¤
 
¤¤¤ Antirootkit : 0 (Driver: Not loaded [0xc000035f]) ¤¤¤
 
¤¤¤ Web browsers : 0 ¤¤¤
 
¤¤¤ MBR Check : ¤¤¤
+++++ PhysicalDrive0: TOSHIBA THNSNJ128GMCU +++++
--- User ---
[MBR] 148923fad5d8682900188e5c7514c865
[BSP] e99078c1608e80663f54ed72b5e47f99 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 350 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 718848 | Size: 121752 MB [Unknown Bootstrap | Unknown Bootloader]
User = LL1 ... OK
User = LL2 ... OK
 
+++++ PhysicalDrive1: WDC WD10JPVX-22JC3T0 +++++
--- User ---
[MBR] 3e0c452552db4407d0cac08d6a0b732a
[BSP] d3f3c2a1b2bca8cbae8ad5af01d599fc : Empty MBR Code
Partition table:
0 - Basic data partition | Offset (sectors): 2048 | Size: 938156 MB
1 - [SYSTEM][MAN-MOUNT] Basic data partition | Offset (sectors): 1921347584 | Size: 15711 MB
User = LL1 ... OK
User = LL2 ... OK
 
+++++ PhysicalDrive2: SanDisk Ultra USB Device +++++
--- User ---
[MBR] 49841dc22f10fd4c33eeae0bd77f84f6
[BSP] 9e3b3c473b1db0daa516427cdae6e1cc : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] FAT32-LBA (0xc) [VISIBLE] Offset (sectors): 2048 | Size: 32768 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] The request is not supported. )
 
RogueKiller V12.3.7.0 (x64) [Jul  4 2016] (Premium) by Adlice Software
 
Operating System : Windows 8.1 (6.3.9600) 64 bits version
Started in : Normal mode
User : nbnb [Administrator]
Started from : C:\Program Files\RogueKiller\RogueKiller64.exe
Mode : Scan -- Date : 07/06/2016 13:48:27
 
¤¤¤ Processes : 1 ¤¤¤
[Suspicious.Path] IntelWiDiAudioHelper64.exe(5288) -- C:\Windows\Temp\sefEDF.tmp\IntelWiDiAudioHelper64.exe[x] -> Found
 
¤¤¤ Registry : 6 ¤¤¤
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\aswVmm (\??\C:\Users\nbnb\AppData\Local\Temp\aswVmm.sys) -> Found
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\aswVmm (\??\C:\Users\nbnb\AppData\Local\Temp\aswVmm.sys) -> Found
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters | DhcpNameServer : 10.200.255.251 10.200.255.252 ([][])  -> Found
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters | DhcpNameServer : 10.200.255.251 10.200.255.252 ([][])  -> Found
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{C01AA109-609F-4779-92A6-99AB2B80EC26} | DhcpNameServer : 10.200.255.251 10.200.255.252 ([][])  -> Found
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{C01AA109-609F-4779-92A6-99AB2B80EC26} | DhcpNameServer : 10.200.255.251 10.200.255.252 ([][])  -> Found
 
¤¤¤ Tasks : 1 ¤¤¤
[Suspicious.Path] \JetCleanLoginCheckUpdate -- C:\Users\nbnb\AppData\Local\Tific\Toolkit\JetClean\AutoUpdate.exe (/AutoRun) -> Found
 
¤¤¤ Files : 0 ¤¤¤
 
¤¤¤ Hosts File : 0 ¤¤¤
 
¤¤¤ Antirootkit : 0 (Driver: Loaded) ¤¤¤
 
¤¤¤ Web browsers : 0 ¤¤¤
 
¤¤¤ MBR Check : ¤¤¤
+++++ PhysicalDrive0: TOSHIBA THNSNJ128GMCU +++++
--- User ---
[MBR] 148923fad5d8682900188e5c7514c865
[BSP] e99078c1608e80663f54ed72b5e47f99 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 350 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 718848 | Size: 121752 MB [Unknown Bootstrap | Unknown Bootloader]
User = LL1 ... OK
User = LL2 ... OK
 
+++++ PhysicalDrive1: WDC WD10JPVX-22JC3T0 +++++
--- User ---
[MBR] 3e0c452552db4407d0cac08d6a0b732a
[BSP] d3f3c2a1b2bca8cbae8ad5af01d599fc : Empty MBR Code
Partition table:
0 - Basic data partition | Offset (sectors): 2048 | Size: 938156 MB
1 - [SYSTEM][MAN-MOUNT] Basic data partition | Offset (sectors): 1921347584 | Size: 15711 MB
User = LL1 ... OK
User = LL2 ... OK
 
+++++ PhysicalDrive2: SanDisk Ultra USB Device +++++
--- User ---
[MBR] 49841dc22f10fd4c33eeae0bd77f84f6
[BSP] 9e3b3c473b1db0daa516427cdae6e1cc : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] FAT32-LBA (0xc) [VISIBLE] Offset (sectors): 2048 | Size: 32768 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] The request is not supported. )
 
RogueKiller V12.3.7.0 (x64) [Jul  4 2016] (Premium) by Adlice Software
 
Operating System : Windows 8.1 (6.3.9600) 64 bits version
Started in : Normal mode
User : nbnb [Administrator]
Started from : C:\Program Files\RogueKiller\RogueKiller64.exe
Mode : Delete -- Date : 07/06/2016 13:48:28
 
¤¤¤ Processes : 1 ¤¤¤
[Suspicious.Path] IntelWiDiAudioHelper64.exe(5288) -- C:\Windows\Temp\sefEDF.tmp\IntelWiDiAudioHelper64.exe[x] -> Killed [TermThr]
 
¤¤¤ Registry : 6 ¤¤¤
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\aswVmm (\??\C:\Users\nbnb\AppData\Local\Temp\aswVmm.sys) -> ERROR [5]
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\aswVmm (\??\C:\Users\nbnb\AppData\Local\Temp\aswVmm.sys) -> ERROR [5]
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters | DhcpNameServer : 10.200.255.251 10.200.255.252 ([][])  -> Replaced ()
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters | DhcpNameServer : 10.200.255.251 10.200.255.252 ([][])  -> Replaced ()
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{C01AA109-609F-4779-92A6-99AB2B80EC26} | DhcpNameServer : 10.200.255.251 10.200.255.252 ([][])  -> Replaced ()
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{C01AA109-609F-4779-92A6-99AB2B80EC26} | DhcpNameServer : 10.200.255.251 10.200.255.252 ([][])  -> Replaced ()
 
¤¤¤ Tasks : 1 ¤¤¤
[Suspicious.Path] \JetCleanLoginCheckUpdate -- C:\Users\nbnb\AppData\Local\Tific\Toolkit\JetClean\AutoUpdate.exe (/AutoRun) -> Deleted
 
¤¤¤ Files : 0 ¤¤¤
 
¤¤¤ Hosts File : 0 ¤¤¤
 
¤¤¤ Antirootkit : 0 (Driver: Loaded) ¤¤¤
 
¤¤¤ Web browsers : 0 ¤¤¤
 
¤¤¤ MBR Check : ¤¤¤
+++++ PhysicalDrive0: TOSHIBA THNSNJ128GMCU +++++
--- User ---
 
I have more logs if needed these are just some recent ones I have ran within the past week.
 
 
 

 



BC AdBot (Login to Remove)

 


#2 nebnebos

nebnebos
  • Topic Starter

  • Members
  • 3 posts
  • OFFLINE
  •  
  • Local time:03:01 AM

Posted 08 July 2016 - 04:33 PM

When I run GMER this is the log that comes up

GMER 2.2.19882 - http://www.gmer.net
Rootkit scan 2016-07-08 17:18:39
Windows 6.2.9200  x64 \Device\Harddisk0\DR0 -> \Device\00000034  rev. 0.00MB
Running: gmer.exe; Driver: C:\Users\nbnb\AppData\Local\Temp\pxldqpow.sys
 
 
---- User code sections - GMER 2.2 ----
 
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort                                                                                                                                      00007ff92a990760 5 bytes JMP 00007ff8aaac0480
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject                                                                                                                                               00007ff92a9907b0 5 bytes JMP 00007ff8aaac0470
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                                                               00007ff92a990910 5 bytes JMP 00007ff8aaac0360
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx                                                                                                                                    00007ff92a990960 5 bytes JMP 00007ff8aaac0490
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                          00007ff92a990970 5 bytes JMP 00007ff8aaac03d0
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                               00007ff92a990a20 5 bytes JMP 00007ff8aaac0310
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory                                                                                                                                        00007ff92a990a50 5 bytes JMP 00007ff8aaac03a0
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject                                                                                                                                           00007ff92a990a70 5 bytes JMP 00007ff8aaac0380
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent                                                                                                                                                 00007ff92a990ab0 5 bytes JMP 00007ff8aaac02d0
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                               00007ff92a990b30 1 byte JMP 00007ff8aaac02c0
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent + 2                                                                                                                                           00007ff92a990b32 3 bytes {JMP 0xffffffff8012f790}
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                             00007ff92a990b50 5 bytes JMP 00007ff8aaac0300
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                              00007ff92a990b90 5 bytes JMP 00007ff8aaac03b0
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtResumeThread                                                                                                                                              00007ff92a990bd0 5 bytes JMP 00007ff8aaac0440
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                           00007ff92a990be0 5 bytes JMP 00007ff8aaac03e0
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry                                                                                                                                              00007ff92a990d40 5 bytes JMP 00007ff8aaac0220
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                   00007ff92a990f30 5 bytes JMP 00007ff8aaac04a0
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject                                                                                                                                  00007ff92a990f60 5 bytes JMP 00007ff8aaac0390
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                           00007ff92a991080 5 bytes JMP 00007ff8aaac02e0
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion                                                                                                                                        00007ff92a9910a0 5 bytes JMP 00007ff8aaac0340
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                              00007ff92a991110 5 bytes JMP 00007ff8aaac0280
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                           00007ff92a9911a0 5 bytes JMP 00007ff8aaac02a0
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                            00007ff92a9911c0 5 bytes JMP 00007ff8aaac03c0
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer                                                                                                                                               00007ff92a9911d0 5 bytes JMP 00007ff8aaac0320
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess                                                                                                                                        00007ff92a991280 1 byte JMP 00007ff8aaac0410
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess + 2                                                                                                                                    00007ff92a991282 3 bytes {JMP 0xffffffff8012f190}
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry                                                                                                                                           00007ff92a9912b0 5 bytes JMP 00007ff8aaac0230
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtGetContextThread                                                                                                                                          00007ff92a9914c0 5 bytes JMP 00007ff8aaac03f0
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                00007ff92a9915d0 5 bytes JMP 00007ff8aaac01d0
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry                                                                                                                                           00007ff92a991690 5 bytes JMP 00007ff8aaac0240
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey                                                                                                                                           00007ff92a9916c0 5 bytes JMP 00007ff8aaac04b0
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys                                                                                                                                  00007ff92a9916d0 5 bytes JMP 00007ff8aaac04c0
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair                                                                                                                                             00007ff92a991700 5 bytes JMP 00007ff8aaac02f0
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion                                                                                                                                          00007ff92a991710 5 bytes JMP 00007ff8aaac0350
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant                                                                                                                                                00007ff92a991770 5 bytes JMP 00007ff8aaac0290
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore                                                                                                                                             00007ff92a9917c0 5 bytes JMP 00007ff8aaac02b0
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                                                                                                                00007ff92a9917f0 5 bytes JMP 00007ff8aaac0370
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer                                                                                                                                                 00007ff92a991800 5 bytes JMP 00007ff8aaac0330
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx                                                                                                                                          00007ff92a991b10 5 bytes JMP 00007ff8aaac0460
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtResumeProcess                                                                                                                                             00007ff92a991c70 5 bytes JMP 00007ff8aaac0420
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder                                                                                                                                         00007ff92a991d10 5 bytes JMP 00007ff8aaac0250
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions                                                                                                                                            00007ff92a991d20 5 bytes JMP 00007ff8aaac0260
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread                                                                                                                                          00007ff92a991d40 5 bytes JMP 00007ff8aaac0400
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                      00007ff92a991f20 5 bytes JMP 00007ff8aaac01e0
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState                                                                                                                                       00007ff92a991f30 5 bytes JMP 00007ff8aaac0200
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                            00007ff92a991fc0 5 bytes JMP 00007ff8aaac01f0
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess                                                                                                                                            00007ff92a992030 5 bytes JMP 00007ff8aaac0430
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread                                                                                                                                             00007ff92a992040 5 bytes JMP 00007ff8aaac0450
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                        00007ff92a992050 5 bytes JMP 00007ff8aaac0210
.text   C:\Windows\system32\lsass.exe[736] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl                                                                                                                                                00007ff92a992160 5 bytes JMP 00007ff8aaac0270
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort                                                                                                                                    00007ff92a990760 5 bytes JMP 00007ff8aaac0480
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject                                                                                                                                             00007ff92a9907b0 5 bytes JMP 00007ff8aaac0470
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                                                             00007ff92a990910 5 bytes JMP 00007ff8aaac0360
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx                                                                                                                                  00007ff92a990960 5 bytes JMP 00007ff8aaac0490
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                        00007ff92a990970 5 bytes JMP 00007ff8aaac03d0
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                             00007ff92a990a20 5 bytes JMP 00007ff8aaac0310
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory                                                                                                                                      00007ff92a990a50 5 bytes JMP 00007ff8aaac03a0
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject                                                                                                                                         00007ff92a990a70 5 bytes JMP 00007ff8aaac0380
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent                                                                                                                                               00007ff92a990ab0 5 bytes JMP 00007ff8aaac02d0
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                             00007ff92a990b30 1 byte JMP 00007ff8aaac02c0
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent + 2                                                                                                                                         00007ff92a990b32 3 bytes {JMP 0xffffffff8012f790}
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                           00007ff92a990b50 5 bytes JMP 00007ff8aaac0300
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                            00007ff92a990b90 5 bytes JMP 00007ff8aaac03b0
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtResumeThread                                                                                                                                            00007ff92a990bd0 5 bytes JMP 00007ff8aaac0440
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                         00007ff92a990be0 5 bytes JMP 00007ff8aaac03e0
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry                                                                                                                                            00007ff92a990d40 5 bytes JMP 00007ff8aaac0220
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                 00007ff92a990f30 5 bytes JMP 00007ff8aaac04a0
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject                                                                                                                                00007ff92a990f60 5 bytes JMP 00007ff8aaac0390
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                         00007ff92a991080 5 bytes JMP 00007ff8aaac02e0
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion                                                                                                                                      00007ff92a9910a0 5 bytes JMP 00007ff8aaac0340
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                            00007ff92a991110 5 bytes JMP 00007ff8aaac0280
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                         00007ff92a9911a0 5 bytes JMP 00007ff8aaac02a0
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                          00007ff92a9911c0 5 bytes JMP 00007ff8aaac03c0
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer                                                                                                                                             00007ff92a9911d0 5 bytes JMP 00007ff8aaac0320
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess                                                                                                                                      00007ff92a991280 1 byte JMP 00007ff8aaac0410
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess + 2                                                                                                                                  00007ff92a991282 3 bytes {JMP 0xffffffff8012f190}
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry                                                                                                                                         00007ff92a9912b0 5 bytes JMP 00007ff8aaac0230
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtGetContextThread                                                                                                                                        00007ff92a9914c0 5 bytes JMP 00007ff8aaac03f0
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                              00007ff92a9915d0 5 bytes JMP 00007ff8aaac01d0
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry                                                                                                                                         00007ff92a991690 5 bytes JMP 00007ff8aaac0240
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey                                                                                                                                         00007ff92a9916c0 5 bytes JMP 00007ff8aaac04b0
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys                                                                                                                                00007ff92a9916d0 5 bytes JMP 00007ff8aaac04c0
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair                                                                                                                                           00007ff92a991700 5 bytes JMP 00007ff8aaac02f0
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion                                                                                                                                        00007ff92a991710 5 bytes JMP 00007ff8aaac0350
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant                                                                                                                                              00007ff92a991770 5 bytes JMP 00007ff8aaac0290
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore                                                                                                                                           00007ff92a9917c0 5 bytes JMP 00007ff8aaac02b0
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                                                                                                              00007ff92a9917f0 5 bytes JMP 00007ff8aaac0370
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer                                                                                                                                               00007ff92a991800 5 bytes JMP 00007ff8aaac0330
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx                                                                                                                                        00007ff92a991b10 5 bytes JMP 00007ff8aaac0460
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtResumeProcess                                                                                                                                           00007ff92a991c70 5 bytes JMP 00007ff8aaac0420
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder                                                                                                                                       00007ff92a991d10 5 bytes JMP 00007ff8aaac0250
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions                                                                                                                                          00007ff92a991d20 5 bytes JMP 00007ff8aaac0260
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread                                                                                                                                        00007ff92a991d40 5 bytes JMP 00007ff8aaac0400
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                    00007ff92a991f20 5 bytes JMP 00007ff8aaac01e0
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState                                                                                                                                     00007ff92a991f30 5 bytes JMP 00007ff8aaac0200
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                          00007ff92a991fc0 5 bytes JMP 00007ff8aaac01f0
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess                                                                                                                                          00007ff92a992030 5 bytes JMP 00007ff8aaac0430
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread                                                                                                                                           00007ff92a992040 5 bytes JMP 00007ff8aaac0450
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                      00007ff92a992050 5 bytes JMP 00007ff8aaac0210
.text   C:\Windows\system32\svchost.exe[816] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl                                                                                                                                              00007ff92a992160 5 bytes JMP 00007ff8aaac0270
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort                                                                                                                                    00007ff92a990760 5 bytes JMP 00007ff8aaac0480
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject                                                                                                                                             00007ff92a9907b0 5 bytes JMP 00007ff8aaac0470
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                                                             00007ff92a990910 5 bytes JMP 00007ff8aaac0360
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx                                                                                                                                  00007ff92a990960 5 bytes JMP 00007ff8aaac0490
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                        00007ff92a990970 5 bytes JMP 00007ff8aaac03d0
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                             00007ff92a990a20 5 bytes JMP 00007ff8aaac0310
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory                                                                                                                                      00007ff92a990a50 5 bytes JMP 00007ff8aaac03a0
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject                                                                                                                                         00007ff92a990a70 5 bytes JMP 00007ff8aaac0380
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent                                                                                                                                               00007ff92a990ab0 5 bytes JMP 00007ff8aaac02d0
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                             00007ff92a990b30 1 byte JMP 00007ff8aaac02c0
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent + 2                                                                                                                                         00007ff92a990b32 3 bytes {JMP 0xffffffff8012f790}
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                           00007ff92a990b50 5 bytes JMP 00007ff8aaac0300
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                            00007ff92a990b90 5 bytes JMP 00007ff8aaac03b0
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtResumeThread                                                                                                                                            00007ff92a990bd0 5 bytes JMP 00007ff8aaac0440
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                         00007ff92a990be0 5 bytes JMP 00007ff8aaac03e0
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry                                                                                                                                            00007ff92a990d40 5 bytes JMP 00007ff8aaac0220
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                 00007ff92a990f30 5 bytes JMP 00007ff8aaac04a0
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject                                                                                                                                00007ff92a990f60 5 bytes JMP 00007ff8aaac0390
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                         00007ff92a991080 5 bytes JMP 00007ff8aaac02e0
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion                                                                                                                                      00007ff92a9910a0 5 bytes JMP 00007ff8aaac0340
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                            00007ff92a991110 5 bytes JMP 00007ff8aaac0280
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                         00007ff92a9911a0 5 bytes JMP 00007ff8aaac02a0
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                          00007ff92a9911c0 5 bytes JMP 00007ff8aaac03c0
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer                                                                                                                                             00007ff92a9911d0 5 bytes JMP 00007ff8aaac0320
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess                                                                                                                                      00007ff92a991280 1 byte JMP 00007ff8aaac0410
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess + 2                                                                                                                                  00007ff92a991282 3 bytes {JMP 0xffffffff8012f190}
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry                                                                                                                                         00007ff92a9912b0 5 bytes JMP 00007ff8aaac0230
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtGetContextThread                                                                                                                                        00007ff92a9914c0 5 bytes JMP 00007ff8aaac03f0
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                              00007ff92a9915d0 5 bytes JMP 00007ff8aaac01d0
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry                                                                                                                                         00007ff92a991690 5 bytes JMP 00007ff8aaac0240
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey                                                                                                                                         00007ff92a9916c0 5 bytes JMP 00007ff8aaac04b0
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys                                                                                                                                00007ff92a9916d0 5 bytes JMP 00007ff8aaac04c0
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair                                                                                                                                           00007ff92a991700 5 bytes JMP 00007ff8aaac02f0
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion                                                                                                                                        00007ff92a991710 5 bytes JMP 00007ff8aaac0350
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant                                                                                                                                              00007ff92a991770 5 bytes JMP 00007ff8aaac0290
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore                                                                                                                                           00007ff92a9917c0 5 bytes JMP 00007ff8aaac02b0
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                                                                                                              00007ff92a9917f0 5 bytes JMP 00007ff8aaac0370
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer                                                                                                                                               00007ff92a991800 5 bytes JMP 00007ff8aaac0330
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx                                                                                                                                        00007ff92a991b10 5 bytes JMP 00007ff8aaac0460
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtResumeProcess                                                                                                                                           00007ff92a991c70 5 bytes JMP 00007ff8aaac0420
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder                                                                                                                                       00007ff92a991d10 5 bytes JMP 00007ff8aaac0250
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions                                                                                                                                          00007ff92a991d20 5 bytes JMP 00007ff8aaac0260
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread                                                                                                                                        00007ff92a991d40 5 bytes JMP 00007ff8aaac0400
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                    00007ff92a991f20 5 bytes JMP 00007ff8aaac01e0
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState                                                                                                                                     00007ff92a991f30 5 bytes JMP 00007ff8aaac0200
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                          00007ff92a991fc0 5 bytes JMP 00007ff8aaac01f0
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess                                                                                                                                          00007ff92a992030 5 bytes JMP 00007ff8aaac0430
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread                                                                                                                                           00007ff92a992040 5 bytes JMP 00007ff8aaac0450
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                      00007ff92a992050 5 bytes JMP 00007ff8aaac0210
.text   C:\Windows\system32\svchost.exe[860] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl                                                                                                                                              00007ff92a992160 5 bytes JMP 00007ff8aaac0270
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort                                                                                                                                    00007ff92a990760 5 bytes JMP 00007ff8aaac0480
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject                                                                                                                                             00007ff92a9907b0 5 bytes JMP 00007ff8aaac0470
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                                                             00007ff92a990910 5 bytes JMP 00007ff8aaac0360
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx                                                                                                                                  00007ff92a990960 5 bytes JMP 00007ff8aaac0490
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                        00007ff92a990970 5 bytes JMP 00007ff8aaac03d0
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                             00007ff92a990a20 5 bytes JMP 00007ff8aaac0310
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory                                                                                                                                      00007ff92a990a50 5 bytes JMP 00007ff8aaac03a0
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject                                                                                                                                         00007ff92a990a70 5 bytes JMP 00007ff8aaac0380
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent                                                                                                                                               00007ff92a990ab0 5 bytes JMP 00007ff8aaac02d0
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                             00007ff92a990b30 1 byte JMP 00007ff8aaac02c0
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent + 2                                                                                                                                         00007ff92a990b32 3 bytes {JMP 0xffffffff8012f790}
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                           00007ff92a990b50 5 bytes JMP 00007ff8aaac0300
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                            00007ff92a990b90 5 bytes JMP 00007ff8aaac03b0
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtResumeThread                                                                                                                                            00007ff92a990bd0 5 bytes JMP 00007ff8aaac0440
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                         00007ff92a990be0 5 bytes JMP 00007ff8aaac03e0
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry                                                                                                                                            00007ff92a990d40 5 bytes JMP 00007ff8aaac0220
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                 00007ff92a990f30 5 bytes JMP 00007ff8aaac04a0
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject                                                                                                                                00007ff92a990f60 5 bytes JMP 00007ff8aaac0390
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                         00007ff92a991080 5 bytes JMP 00007ff8aaac02e0
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion                                                                                                                                      00007ff92a9910a0 5 bytes JMP 00007ff8aaac0340
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                            00007ff92a991110 5 bytes JMP 00007ff8aaac0280
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                         00007ff92a9911a0 5 bytes JMP 00007ff8aaac02a0
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                          00007ff92a9911c0 5 bytes JMP 00007ff8aaac03c0
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer                                                                                                                                             00007ff92a9911d0 5 bytes JMP 00007ff8aaac0320
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess                                                                                                                                      00007ff92a991280 1 byte JMP 00007ff8aaac0410
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess + 2                                                                                                                                  00007ff92a991282 3 bytes {JMP 0xffffffff8012f190}
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry                                                                                                                                         00007ff92a9912b0 5 bytes JMP 00007ff8aaac0230
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtGetContextThread                                                                                                                                        00007ff92a9914c0 5 bytes JMP 00007ff8aaac03f0
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                              00007ff92a9915d0 5 bytes JMP 00007ff8aaac01d0
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry                                                                                                                                         00007ff92a991690 5 bytes JMP 00007ff8aaac0240
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey                                                                                                                                         00007ff92a9916c0 5 bytes JMP 00007ff8aaac04b0
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys                                                                                                                                00007ff92a9916d0 5 bytes JMP 00007ff8aaac04c0
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair                                                                                                                                           00007ff92a991700 5 bytes JMP 00007ff8aaac02f0
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion                                                                                                                                        00007ff92a991710 5 bytes JMP 00007ff8aaac0350
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant                                                                                                                                              00007ff92a991770 5 bytes JMP 00007ff8aaac0290
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore                                                                                                                                           00007ff92a9917c0 5 bytes JMP 00007ff8aaac02b0
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                                                                                                              00007ff92a9917f0 5 bytes JMP 00007ff8aaac0370
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer                                                                                                                                               00007ff92a991800 5 bytes JMP 00007ff8aaac0330
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx                                                                                                                                        00007ff92a991b10 5 bytes JMP 00007ff8aaac0460
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtResumeProcess                                                                                                                                           00007ff92a991c70 5 bytes JMP 00007ff8aaac0420
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder                                                                                                                                       00007ff92a991d10 5 bytes JMP 00007ff8aaac0250
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions                                                                                                                                          00007ff92a991d20 5 bytes JMP 00007ff8aaac0260
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread                                                                                                                                        00007ff92a991d40 5 bytes JMP 00007ff8aaac0400
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                    00007ff92a991f20 5 bytes JMP 00007ff8aaac01e0
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState                                                                                                                                     00007ff92a991f30 5 bytes JMP 00007ff8aaac0200
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                          00007ff92a991fc0 5 bytes JMP 00007ff8aaac01f0
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess                                                                                                                                          00007ff92a992030 5 bytes JMP 00007ff8aaac0430
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread                                                                                                                                           00007ff92a992040 5 bytes JMP 00007ff8aaac0450
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                      00007ff92a992050 5 bytes JMP 00007ff8aaac0210
.text   C:\Windows\System32\svchost.exe[500] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl                                                                                                                                              00007ff92a992160 5 bytes JMP 00007ff8aaac0270
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort                                                                                                                                    00007ff92a990760 5 bytes JMP 00007ff8aaac0480
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject                                                                                                                                             00007ff92a9907b0 5 bytes JMP 00007ff8aaac0470
 


#3 nebnebos

nebnebos
  • Topic Starter

  • Members
  • 3 posts
  • OFFLINE
  •  
  • Local time:03:01 AM

Posted 08 July 2016 - 04:41 PM

.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                                                             00007ff92a990910 5 bytes JMP 00007ff8aaac0360
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx                                                                                                                                  00007ff92a990960 5 bytes JMP 00007ff8aaac0490
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                        00007ff92a990970 5 bytes JMP 00007ff8aaac03d0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                             00007ff92a990a20 5 bytes JMP 00007ff8aaac0310
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory                                                                                                                                      00007ff92a990a50 5 bytes JMP 00007ff8aaac03a0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject                                                                                                                                         00007ff92a990a70 5 bytes JMP 00007ff8aaac0380
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent                                                                                                                                               00007ff92a990ab0 5 bytes JMP 00007ff8aaac02d0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                             00007ff92a990b30 1 byte JMP 00007ff8aaac02c0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent + 2                                                                                                                                         00007ff92a990b32 3 bytes {JMP 0xffffffff8012f790}
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                           00007ff92a990b50 5 bytes JMP 00007ff8aaac0300
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                            00007ff92a990b90 5 bytes JMP 00007ff8aaac03b0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtResumeThread                                                                                                                                            00007ff92a990bd0 5 bytes JMP 00007ff8aaac0440
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                         00007ff92a990be0 5 bytes JMP 00007ff8aaac03e0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry                                                                                                                                            00007ff92a990d40 5 bytes JMP 00007ff8aaac0220
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                 00007ff92a990f30 5 bytes JMP 00007ff8aaac04a0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject                                                                                                                                00007ff92a990f60 5 bytes JMP 00007ff8aaac0390
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                         00007ff92a991080 5 bytes JMP 00007ff8aaac02e0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion                                                                                                                                      00007ff92a9910a0 5 bytes JMP 00007ff8aaac0340
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                            00007ff92a991110 5 bytes JMP 00007ff8aaac0280
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                         00007ff92a9911a0 5 bytes JMP 00007ff8aaac02a0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                          00007ff92a9911c0 5 bytes JMP 00007ff8aaac03c0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer                                                                                                                                             00007ff92a9911d0 5 bytes JMP 00007ff8aaac0320
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess                                                                                                                                      00007ff92a991280 1 byte JMP 00007ff8aaac0410
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess + 2                                                                                                                                  00007ff92a991282 3 bytes {JMP 0xffffffff8012f190}
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry                                                                                                                                         00007ff92a9912b0 5 bytes JMP 00007ff8aaac0230
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtGetContextThread                                                                                                                                        00007ff92a9914c0 5 bytes JMP 00007ff8aaac03f0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                              00007ff92a9915d0 5 bytes JMP 00007ff8aaac01d0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry                                                                                                                                         00007ff92a991690 5 bytes JMP 00007ff8aaac0240
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey                                                                                                                                         00007ff92a9916c0 5 bytes JMP 00007ff8aaac04b0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys                                                                                                                                00007ff92a9916d0 5 bytes JMP 00007ff8aaac04c0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair                                                                                                                                           00007ff92a991700 5 bytes JMP 00007ff8aaac02f0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion                                                                                                                                        00007ff92a991710 5 bytes JMP 00007ff8aaac0350
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant                                                                                                                                              00007ff92a991770 5 bytes JMP 00007ff8aaac0290
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore                                                                                                                                           00007ff92a9917c0 5 bytes JMP 00007ff8aaac02b0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                                                                                                              00007ff92a9917f0 5 bytes JMP 00007ff8aaac0370
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer                                                                                                                                               00007ff92a991800 5 bytes JMP 00007ff8aaac0330
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx                                                                                                                                        00007ff92a991b10 5 bytes JMP 00007ff8aaac0460
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtResumeProcess                                                                                                                                           00007ff92a991c70 5 bytes JMP 00007ff8aaac0420
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder                                                                                                                                       00007ff92a991d10 5 bytes JMP 00007ff8aaac0250
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions                                                                                                                                          00007ff92a991d20 5 bytes JMP 00007ff8aaac0260
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread                                                                                                                                        00007ff92a991d40 5 bytes JMP 00007ff8aaac0400
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                    00007ff92a991f20 5 bytes JMP 00007ff8aaac01e0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState                                                                                                                                     00007ff92a991f30 5 bytes JMP 00007ff8aaac0200
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                          00007ff92a991fc0 5 bytes JMP 00007ff8aaac01f0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess                                                                                                                                          00007ff92a992030 5 bytes JMP 00007ff8aaac0430
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread                                                                                                                                           00007ff92a992040 5 bytes JMP 00007ff8aaac0450
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                      00007ff92a992050 5 bytes JMP 00007ff8aaac0210
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl                                                                                                                                              00007ff92a992160 5 bytes JMP 00007ff8aaac0270
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort                                                                                                                                   00007ff92a990760 5 bytes JMP 00007ff8aaac0480
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject                                                                                                                                            00007ff92a9907b0 5 bytes JMP 00007ff8aaac0470
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                                                            00007ff92a990910 5 bytes JMP 00007ff8aaac0360
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx                                                                                                                                 00007ff92a990960 5 bytes JMP 00007ff8aaac0490
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                       00007ff92a990970 5 bytes JMP 00007ff8aaac03d0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                            00007ff92a990a20 5 bytes JMP 00007ff8aaac0310
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory                                                                                                                                     00007ff92a990a50 5 bytes JMP 00007ff8aaac03a0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject                                                                                                                                        00007ff92a990a70 5 bytes JMP 00007ff8aaac0380
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent                                                                                                                                              00007ff92a990ab0 5 bytes JMP 00007ff8aaac02d0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                            00007ff92a990b30 1 byte JMP 00007ff8aaac02c0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent + 2                                                                                                                                        00007ff92a990b32 3 bytes {JMP 0xffffffff8012f790}
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                          00007ff92a990b50 5 bytes JMP 00007ff8aaac0300
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                           00007ff92a990b90 5 bytes JMP 00007ff8aaac03b0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtResumeThread                                                                                                                                           00007ff92a990bd0 5 bytes JMP 00007ff8aaac0440
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                        00007ff92a990be0 5 bytes JMP 00007ff8aaac03e0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry                                                                                                                                           00007ff92a990d40 5 bytes JMP 00007ff8aaac0220
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                00007ff92a990f30 5 bytes JMP 00007ff8aaac04a0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject                                                                                                                               00007ff92a990f60 5 bytes JMP 00007ff8aaac0390
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                        00007ff92a991080 5 bytes JMP 00007ff8aaac02e0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion                                                                                                                                     00007ff92a9910a0 5 bytes JMP 00007ff8aaac0340
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                           00007ff92a991110 5 bytes JMP 00007ff8aaac0280
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                        00007ff92a9911a0 5 bytes JMP 00007ff8aaac02a0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                         00007ff92a9911c0 5 bytes JMP 00007ff8aaac03c0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer                                                                                                                                            00007ff92a9911d0 5 bytes JMP 00007ff8aaac0320
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess                                                                                                                                     00007ff92a991280 1 byte JMP 00007ff8aaac0410
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess + 2                                                                                                                                 00007ff92a991282 3 bytes {JMP 0xffffffff8012f190}
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry                                                                                                                                        00007ff92a9912b0 5 bytes JMP 00007ff8aaac0230
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtGetContextThread                                                                                                                                       00007ff92a9914c0 5 bytes JMP 00007ff8aaac03f0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                             00007ff92a9915d0 5 bytes JMP 00007ff8aaac01d0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry                                                                                                                                        00007ff92a991690 5 bytes JMP 00007ff8aaac0240
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey                                                                                                                                        00007ff92a9916c0 5 bytes JMP 00007ff8aaac04b0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys                                                                                                                               00007ff92a9916d0 5 bytes JMP 00007ff8aaac04c0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair                                                                                                                                          00007ff92a991700 5 bytes JMP 00007ff8aaac02f0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion                                                                                                                                       00007ff92a991710 5 bytes JMP 00007ff8aaac0350
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant                                                                                                                                             00007ff92a991770 5 bytes JMP 00007ff8aaac0290
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore                                                                                                                                          00007ff92a9917c0 5 bytes JMP 00007ff8aaac02b0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                                                                                                             00007ff92a9917f0 5 bytes JMP 00007ff8aaac0370
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer                                                                                                                                              00007ff92a991800 5 bytes JMP 00007ff8aaac0330
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx                                                                                                                                       00007ff92a991b10 5 bytes JMP 00007ff8aaac0460
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtResumeProcess                                                                                                                                          00007ff92a991c70 5 bytes JMP 00007ff8aaac0420
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder                                                                                                                                      00007ff92a991d10 5 bytes JMP 00007ff8aaac0250
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions                                                                                                                                         00007ff92a991d20 5 bytes JMP 00007ff8aaac0260
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread                                                                                                                                       00007ff92a991d40 5 bytes JMP 00007ff8aaac0400
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                   00007ff92a991f20 5 bytes JMP 00007ff8aaac01e0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState                                                                                                                                    00007ff92a991f30 5 bytes JMP 00007ff8aaac0200
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                         00007ff92a991fc0 5 bytes JMP 00007ff8aaac01f0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess                                                                                                                                         00007ff92a992030 5 bytes JMP 00007ff8aaac0430
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread                                                                                                                                          00007ff92a992040 5 bytes JMP 00007ff8aaac0450
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                     00007ff92a992050 5 bytes JMP 00007ff8aaac0210
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl                                                                                                                                             00007ff92a992160 5 bytes JMP 00007ff8aaac0270
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort                                                                                                                                   00007ff92a990760 5 bytes JMP 00007ff8aaac0480
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject                                                                                                                                            00007ff92a9907b0 5 bytes JMP 00007ff8aaac0470
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                                                            00007ff92a990910 5 bytes JMP 00007ff8aaac0360
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx                                                                                                                                 00007ff92a990960 5 bytes JMP 00007ff8aaac0490
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                       00007ff92a990970 5 bytes JMP 00007ff8aaac03d0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                            00007ff92a990a20 5 bytes JMP 00007ff8aaac0310
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory                                                                                                                                     00007ff92a990a50 5 bytes JMP 00007ff8aaac03a0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject                                                                                                                                        00007ff92a990a70 5 bytes JMP 00007ff8aaac0380
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent                                                                                                                                              00007ff92a990ab0 5 bytes JMP 00007ff8aaac02d0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                            00007ff92a990b30 1 byte JMP 00007ff8aaac02c0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent + 2                                                                                                                                        00007ff92a990b32 3 bytes {JMP 0xffffffff8012f790}
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                          00007ff92a990b50 5 bytes JMP 00007ff8aaac0300
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                           00007ff92a990b90 5 bytes JMP 00007ff8aaac03b0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtResumeThread                                                                                                                                           00007ff92a990bd0 5 bytes JMP 00007ff8aaac0440
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                        00007ff92a990be0 5 bytes JMP 00007ff8aaac03e0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry                                                                                                                                           00007ff92a990d40 5 bytes JMP 00007ff8aaac0220
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                00007ff92a990f30 5 bytes JMP 00007ff8aaac04a0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject                                                                                                                               00007ff92a990f60 5 bytes JMP 00007ff8aaac0390
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                        00007ff92a991080 5 bytes JMP 00007ff8aaac02e0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion                                                                                                                                     00007ff92a9910a0 5 bytes JMP 00007ff8aaac0340
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                           00007ff92a991110 5 bytes JMP 00007ff8aaac0280
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                        00007ff92a9911a0 5 bytes JMP 00007ff8aaac02a0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                         00007ff92a9911c0 5 bytes JMP 00007ff8aaac03c0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer                                                                                                                                            00007ff92a9911d0 5 bytes JMP 00007ff8aaac0320
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess                                                                                                                                     00007ff92a991280 1 byte JMP 00007ff8aaac0410
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess + 2                                                                                                                                 00007ff92a991282 3 bytes {JMP 0xffffffff8012f190}
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry                                                                                                                                        00007ff92a9912b0 5 bytes JMP 00007ff8aaac0230
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtGetContextThread                                                                                                                                       00007ff92a9914c0 5 bytes JMP 00007ff8aaac03f0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                             00007ff92a9915d0 5 bytes JMP 00007ff8aaac01d0
 

.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry                                                                                                                                        00007ff92a991690 5 bytes JMP 00007ff8aaac0240
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey                                                                                                                                        00007ff92a9916c0 5 bytes JMP 00007ff8aaac04b0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys                                                                                                                               00007ff92a9916d0 5 bytes JMP 00007ff8aaac04c0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair                                                                                                                                          00007ff92a991700 5 bytes JMP 00007ff8aaac02f0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion                                                                                                                                       00007ff92a991710 5 bytes JMP 00007ff8aaac0350
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant                                                                                                                                             00007ff92a991770 5 bytes JMP 00007ff8aaac0290
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore                                                                                                                                          00007ff92a9917c0 5 bytes JMP 00007ff8aaac02b0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                                                                                                             00007ff92a9917f0 5 bytes JMP 00007ff8aaac0370
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer                                                                                                                                              00007ff92a991800 5 bytes JMP 00007ff8aaac0330
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx                                                                                                                                       00007ff92a991b10 5 bytes JMP 00007ff8aaac0460
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtResumeProcess                                                                                                                                          00007ff92a991c70 5 bytes JMP 00007ff8aaac0420
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder                                                                                                                                      00007ff92a991d10 5 bytes JMP 00007ff8aaac0250
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions                                                                                                                                         00007ff92a991d20 5 bytes JMP 00007ff8aaac0260
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread                                                                                                                                       00007ff92a991d40 5 bytes JMP 00007ff8aaac0400
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                   00007ff92a991f20 5 bytes JMP 00007ff8aaac01e0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState                                                                                                                                    00007ff92a991f30 5 bytes JMP 00007ff8aaac0200
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                         00007ff92a991fc0 5 bytes JMP 00007ff8aaac01f0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess                                                                                                                                         00007ff92a992030 5 bytes JMP 00007ff8aaac0430
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread                                                                                                                                          00007ff92a992040 5 bytes JMP 00007ff8aaac0450
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                     00007ff92a992050 5 bytes JMP 00007ff8aaac0210
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl                                                                                                                                             00007ff92a992160 5 bytes JMP 00007ff8aaac0270
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort                                                                                                                                   00007ff92a990760 5 bytes JMP 00007ff8aaac0480
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject                                                                                                                                            00007ff92a9907b0 5 bytes JMP 00007ff8aaac0470
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                                                            00007ff92a990910 5 bytes JMP 00007ff8aaac0360
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx                                                                                                                                 00007ff92a990960 5 bytes JMP 00007ff8aaac0490
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                       00007ff92a990970 5 bytes JMP 00007ff8aaac03d0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                            00007ff92a990a20 5 bytes JMP 00007ff8aaac0310
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory                                                                                                                                     00007ff92a990a50 5 bytes JMP 00007ff8aaac03a0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject                                                                                                                                        00007ff92a990a70 5 bytes JMP 00007ff8aaac0380
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent                                                                                                                                              00007ff92a990ab0 5 bytes JMP 00007ff8aaac02d0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                            00007ff92a990b30 1 byte JMP 00007ff8aaac02c0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent + 2                                                                                                                                        00007ff92a990b32 3 bytes {JMP 0xffffffff8012f790}
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                          00007ff92a990b50 5 bytes JMP 00007ff8aaac0300
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                           00007ff92a990b90 5 bytes JMP 00007ff8aaac03b0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtResumeThread                                                                                                                                           00007ff92a990bd0 5 bytes JMP 00007ff8aaac0440
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                        00007ff92a990be0 5 bytes JMP 00007ff8aaac03e0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry                                                                                                                                           00007ff92a990d40 5 bytes JMP 00007ff8aaac0220
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                00007ff92a990f30 5 bytes JMP 00007ff8aaac04a0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject                                                                                                                               00007ff92a990f60 5 bytes JMP 00007ff8aaac0390
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                        00007ff92a991080 5 bytes JMP 00007ff8aaac02e0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion                                                                                                                                     00007ff92a9910a0 5 bytes JMP 00007ff8aaac0340
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                           00007ff92a991110 5 bytes JMP 00007ff8aaac0280
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                        00007ff92a9911a0 5 bytes JMP 00007ff8aaac02a0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                         00007ff92a9911c0 5 bytes JMP 00007ff8aaac03c0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer                                                                                                                                            00007ff92a9911d0 5 bytes JMP 00007ff8aaac0320
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess                                                                                                                                     00007ff92a991280 1 byte JMP 00007ff8aaac0410
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess + 2                                                                                                                                 00007ff92a991282 3 bytes {JMP 0xffffffff8012f190}
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry                                                                                                                                        00007ff92a9912b0 5 bytes JMP 00007ff8aaac0230
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtGetContextThread                                                                                                                                       00007ff92a9914c0 5 bytes JMP 00007ff8aaac03f0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                             00007ff92a9915d0 5 bytes JMP 00007ff8aaac01d0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry                                                                                                                                        00007ff92a991690 5 bytes JMP 00007ff8aaac0240
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey                                                                                                                                        00007ff92a9916c0 5 bytes JMP 00007ff8aaac04b0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys                                                                                                                               00007ff92a9916d0 5 bytes JMP 00007ff8aaac04c0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair                                                                                                                                          00007ff92a991700 5 bytes JMP 00007ff8aaac02f0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion                                                                                                                                       00007ff92a991710 5 bytes JMP 00007ff8aaac0350
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant                                                                                                                                             00007ff92a991770 5 bytes JMP 00007ff8aaac0290
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore                                                                                                                                          00007ff92a9917c0 5 bytes JMP 00007ff8aaac02b0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                                                                                                             00007ff92a9917f0 5 bytes JMP 00007ff8aaac0370
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer                                                                                                                                              00007ff92a991800 5 bytes JMP 00007ff8aaac0330
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx                                                                                                                                       00007ff92a991b10 5 bytes JMP 00007ff8aaac0460
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtResumeProcess                                                                                                                                          00007ff92a991c70 5 bytes JMP 00007ff8aaac0420
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder                                                                                                                                      00007ff92a991d10 5 bytes JMP 00007ff8aaac0250
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions                                                                                                                                         00007ff92a991d20 5 bytes JMP 00007ff8aaac0260
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread                                                                                                                                       00007ff92a991d40 5 bytes JMP 00007ff8aaac0400
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                   00007ff92a991f20 5 bytes JMP 00007ff8aaac01e0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState                                                                                                                                    00007ff92a991f30 5 bytes JMP 00007ff8aaac0200
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                         00007ff92a991fc0 5 bytes JMP 00007ff8aaac01f0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess                                                                                                                                         00007ff92a992030 5 bytes JMP 00007ff8aaac0430
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread                                                                                                                                          00007ff92a992040 5 bytes JMP 00007ff8aaac0450
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                     00007ff92a992050 5 bytes JMP 00007ff8aaac0210
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl                                                                                                                                             00007ff92a992160 5 bytes JMP 00007ff8aaac0270
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort                                                                                                                                   00007ff92a990760 5 bytes JMP 00007ff8aaac0480
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject                                                                                                                                            00007ff92a9907b0 5 bytes JMP 00007ff8aaac0470
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                                                            00007ff92a990910 5 bytes JMP 00007ff8aaac0360
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx                                                                                                                                 00007ff92a990960 5 bytes JMP 00007ff8aaac0490
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                       00007ff92a990970 5 bytes JMP 00007ff8aaac03d0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                            00007ff92a990a20 5 bytes JMP 00007ff8aaac0310
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory                                                                                                                                     00007ff92a990a50 5 bytes JMP 00007ff8aaac03a0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject                                                                                                                                        00007ff92a990a70 5 bytes JMP 00007ff8aaac0380
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent                                                                                                                                              00007ff92a990ab0 5 bytes JMP 00007ff8aaac02d0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                            00007ff92a990b30 1 byte JMP 00007ff8aaac02c0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent + 2                                                                                                                                        00007ff92a990b32 3 bytes {JMP 0xffffffff8012f790}
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                          00007ff92a990b50 5 bytes JMP 00007ff8aaac0300
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                           00007ff92a990b90 5 bytes JMP 00007ff8aaac03b0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtResumeThread                                                                                                                                           00007ff92a990bd0 5 bytes JMP 00007ff8aaac0440
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                        00007ff92a990be0 5 bytes JMP 00007ff8aaac03e0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry                                                                                                                                           00007ff92a990d40 5 bytes JMP 00007ff8aaac0220
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                00007ff92a990f30 5 bytes JMP 00007ff8aaac04a0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject                                                                                                                               00007ff92a990f60 5 bytes JMP 00007ff8aaac0390
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                        00007ff92a991080 5 bytes JMP 00007ff8aaac02e0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion                                                                                                                                     00007ff92a9910a0 5 bytes JMP 00007ff8aaac0340
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                           00007ff92a991110 5 bytes JMP 00007ff8aaac0280
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                        00007ff92a9911a0 5 bytes JMP 00007ff8aaac02a0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                         00007ff92a9911c0 5 bytes JMP 00007ff8aaac03c0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer                                                                                                                                            00007ff92a9911d0 5 bytes JMP 00007ff8aaac0320
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess                                                                                                                                     00007ff92a991280 1 byte JMP 00007ff8aaac0410
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess + 2                                                                                                                                 00007ff92a991282 3 bytes {JMP 0xffffffff8012f190}
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry                                                                                                                                        00007ff92a9912b0 5 bytes JMP 00007ff8aaac0230
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtGetContextThread                                                                                                                                       00007ff92a9914c0 5 bytes JMP 00007ff8aaac03f0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                             00007ff92a9915d0 5 bytes JMP 00007ff8aaac01d0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry                                                                                                                                        00007ff92a991690 5 bytes JMP 00007ff8aaac0240
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey                                                                                                                                        00007ff92a9916c0 5 bytes JMP 00007ff8aaac04b0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys                                                                                                                               00007ff92a9916d0 5 bytes JMP 00007ff8aaac04c0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair                                                                                                                                          00007ff92a991700 5 bytes JMP 00007ff8aaac02f0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion                                                                                                                                       00007ff92a991710 5 bytes JMP 00007ff8aaac0350
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant                                                                                                                                             00007ff92a991770 5 bytes JMP 00007ff8aaac0290
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore                                                                                                                                          00007ff92a9917c0 5 bytes JMP 00007ff8aaac02b0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                                                                                                             00007ff92a9917f0 5 bytes JMP 00007ff8aaac0370
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer                                                                                                                                              00007ff92a991800 5 bytes JMP 00007ff8aaac0330
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx                                                                                                                                       00007ff92a991b10 5 bytes JMP 00007ff8aaac0460
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtResumeProcess                                                                                                                                          00007ff92a991c70 5 bytes JMP 00007ff8aaac0420
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder                                                                                                                                      00007ff92a991d10 5 bytes JMP 00007ff8aaac0250
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions                                                                                                                                         00007ff92a991d20 5 bytes JMP 00007ff8aaac0260
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread                                                                                                                                       00007ff92a991d40 5 bytes JMP 00007ff8aaac0400
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                   00007ff92a991f20 5 bytes JMP 00007ff8aaac01e0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState                                                                                                                                    00007ff92a991f30 5 bytes JMP 00007ff8aaac0200
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                         00007ff92a991fc0 5 bytes JMP 00007ff8aaac01f0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess                                                                                                                                         00007ff92a992030 5 bytes JMP 00007ff8aaac0430
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread                                                                                                                                          00007ff92a992040 5 bytes JMP 00007ff8aaac0450
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                     00007ff92a992050 5 bytes JMP 00007ff8aaac0210
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl                                                                                                                                             00007ff92a992160 5 bytes JMP 00007ff8aaac0270
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort                                                                                                                                   00007ff92a990760 5 bytes JMP 00007ff8aaac0480
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject                                                                                                                                            00007ff92a9907b0 5 bytes JMP 00007ff8aaac0470
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                                                            00007ff92a990910 5 bytes JMP 00007ff8aaac0360
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx                                                                                                                                 00007ff92a990960 5 bytes JMP 00007ff8aaac0490
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                       00007ff92a990970 5 bytes JMP 00007ff8aaac03d0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                            00007ff92a990a20 5 bytes JMP 00007ff8aaac0310
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory                                                                                                                                     00007ff92a990a50 5 bytes JMP 00007ff8aaac03a0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject                                                                                                                                        00007ff92a990a70 5 bytes JMP 00007ff8aaac0380
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent         

.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                            00007ff92a990b30 1 byte JMP 00007ff8aaac02c0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent + 2                                                                                                                                        00007ff92a990b32 3 bytes {JMP 0xffffffff8012f790}
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                          00007ff92a990b50 5 bytes JMP 00007ff8aaac0300
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                           00007ff92a990b90 5 bytes JMP 00007ff8aaac03b0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtResumeThread                                                                                                                                           00007ff92a990bd0 5 bytes JMP 00007ff8aaac0440
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                        00007ff92a990be0 5 bytes JMP 00007ff8aaac03e0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry                                                                                                                                           00007ff92a990d40 5 bytes JMP 00007ff8aaac0220
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                00007ff92a990f30 5 bytes JMP 00007ff8aaac04a0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject                                                                                                                               00007ff92a990f60 5 bytes JMP 00007ff8aaac0390
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                        00007ff92a991080 5 bytes JMP 00007ff8aaac02e0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion                                                                                                                                     00007ff92a9910a0 5 bytes JMP 00007ff8aaac0340
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                           00007ff92a991110 5 bytes JMP 00007ff8aaac0280
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                        00007ff92a9911a0 5 bytes JMP 00007ff8aaac02a0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                         00007ff92a9911c0 5 bytes JMP 00007ff8aaac03c0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer                                                                                                                                            00007ff92a9911d0 5 bytes JMP 00007ff8aaac0320
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess                                                                                                                                     00007ff92a991280 1 byte JMP 00007ff8aaac0410
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess + 2                                                                                                                                 00007ff92a991282 3 bytes {JMP 0xffffffff8012f190}
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry                                                                                                                                        00007ff92a9912b0 5 bytes JMP 00007ff8aaac0230
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtGetContextThread                                                                                                                                       00007ff92a9914c0 5 bytes JMP 00007ff8aaac03f0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                             00007ff92a9915d0 5 bytes JMP 00007ff8aaac01d0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry                                                                                                                                        00007ff92a991690 5 bytes JMP 00007ff8aaac0240
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey                                                                                                                                        00007ff92a9916c0 5 bytes JMP 00007ff8aaac04b0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys                                                                                                                               00007ff92a9916d0 5 bytes JMP 00007ff8aaac04c0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair                                                                                                                                          00007ff92a991700 5 bytes JMP 00007ff8aaac02f0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion                                                                                                                                       00007ff92a991710 5 bytes JMP 00007ff8aaac0350
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant                                                                                                                                             00007ff92a991770 5 bytes JMP 00007ff8aaac0290
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore                                                                                                                                          00007ff92a9917c0 5 bytes JMP 00007ff8aaac02b0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                                                                                                             00007ff92a9917f0 5 bytes JMP 00007ff8aaac0370
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer                                                                                                                                              00007ff92a991800 5 bytes JMP 00007ff8aaac0330
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx                                                                                                                                       00007ff92a991b10 5 bytes JMP 00007ff8aaac0460
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtResumeProcess                                                                                                                                          00007ff92a991c70 5 bytes JMP 00007ff8aaac0420
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder                                                                                                                                      00007ff92a991d10 5 bytes JMP 00007ff8aaac0250
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions                                                                                                                                         00007ff92a991d20 5 bytes JMP 00007ff8aaac0260
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread                                                                                                                                       00007ff92a991d40 5 bytes JMP 00007ff8aaac0400
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                   00007ff92a991f20 5 bytes JMP 00007ff8aaac01e0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState                                                                                                                                    00007ff92a991f30 5 bytes JMP 00007ff8aaac0200
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                         00007ff92a991fc0 5 bytes JMP 00007ff8aaac01f0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess                                                                                                                                         00007ff92a992030 5 bytes JMP 00007ff8aaac0430
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread                                                                                                                                          00007ff92a992040 5 bytes JMP 00007ff8aaac0450
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                     00007ff92a992050 5 bytes JMP 00007ff8aaac0210
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl                                                                                                                                             00007ff92a992160 5 bytes JMP 00007ff8aaac0270
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort                                                                                                                             00007ff92a990760 5 bytes JMP 00007ff8aaac0480
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject                                                                                                                                      00007ff92a9907b0 5 bytes JMP 00007ff8aaac0470
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                                                      00007ff92a990910 5 bytes JMP 00007ff8aaac0360
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx                                                                                                                           00007ff92a990960 5 bytes JMP 00007ff8aaac0490
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                 00007ff92a990970 5 bytes JMP 00007ff8aaac03d0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                      00007ff92a990a20 5 bytes JMP 00007ff8aaac0310
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory                                                                                                                               00007ff92a990a50 5 bytes JMP 00007ff8aaac03a0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject                                                                                                                                  00007ff92a990a70 5 bytes JMP 00007ff8aaac0380
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent                                                                                                                                        00007ff92a990ab0 5 bytes JMP 00007ff8aaac02d0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                      00007ff92a990b30 1 byte JMP 00007ff8aaac02c0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent + 2                                                                                                                                  00007ff92a990b32 3 bytes {JMP 0xffffffff8012f790}
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                    00007ff92a990b50 5 bytes JMP 00007ff8aaac0300
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                     00007ff92a990b90 5 bytes JMP 00007ff8aaac03b0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtResumeThread                                                                                                                                     00007ff92a990bd0 5 bytes JMP 00007ff8aaac0440
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                  00007ff92a990be0 5 bytes JMP 00007ff8aaac03e0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry                                                                                                                                     00007ff92a990d40 5 bytes JMP 00007ff8aaac0220
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                          00007ff92a990f30 5 bytes JMP 00007ff8aaac04a0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject                                                                                                                         00007ff92a990f60 5 bytes JMP 00007ff8aaac0390
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                  00007ff92a991080 5 bytes JMP 00007ff8aaac02e0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion                                                                                                                               00007ff92a9910a0 5 bytes JMP 00007ff8aaac0340
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                     00007ff92a991110 5 bytes JMP 00007ff8aaac0280
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                  00007ff92a9911a0 5 bytes JMP 00007ff8aaac02a0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                   00007ff92a9911c0 5 bytes JMP 00007ff8aaac03c0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer                                                                                                                                      00007ff92a9911d0 5 bytes JMP 00007ff8aaac0320
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess                                                                                                                               00007ff92a991280 1 byte JMP 00007ff8aaac0410
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess + 2                                                                                                                           00007ff92a991282 3 bytes {JMP 0xffffffff8012f190}
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry                                                                                                                                  00007ff92a9912b0 5 bytes JMP 00007ff8aaac0230
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtGetContextThread                                                                                                                                 00007ff92a9914c0 5 bytes JMP 00007ff8aaac03f0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                       00007ff92a9915d0 5 bytes JMP 00007ff8aaac01d0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry                                                                                                                                  00007ff92a991690 5 bytes JMP 00007ff8aaac0240
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey                                                                                                                                  00007ff92a9916c0 5 bytes JMP 00007ff8aaac04b0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys                                                                                                                         00007ff92a9916d0 5 bytes JMP 00007ff8aaac04c0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair                                                                                                                                    00007ff92a991700 5 bytes JMP 00007ff8aaac02f0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion                                                                                                                                 00007ff92a991710 5 bytes JMP 00007ff8aaac0350
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant                                                                                                                                       00007ff92a991770 5 bytes JMP 00007ff8aaac0290
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore                                                                                                                                    00007ff92a9917c0 5 bytes JMP 00007ff8aaac02b0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                                                                                                       00007ff92a9917f0 5 bytes JMP 00007ff8aaac0370
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer     

                                                                                                                                   00007ff92a991800 5 bytes JMP 00007ff8aaac0330
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx                                                                                                                                 00007ff92a991b10 5 bytes JMP 00007ff8aaac0460
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtResumeProcess                                                                                                                                    00007ff92a991c70 5 bytes JMP 00007ff8aaac0420
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder                                                                                                                                00007ff92a991d10 5 bytes JMP 00007ff8aaac0250
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions                                                                                                                                   00007ff92a991d20 5 bytes JMP 00007ff8aaac0260
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread                                                                                                                                 00007ff92a991d40 5 bytes JMP 00007ff8aaac0400
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                             00007ff92a991f20 5 bytes JMP 00007ff8aaac01e0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState                                                                                                                              00007ff92a991f30 5 bytes JMP 00007ff8aaac0200
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                   00007ff92a991fc0 5 bytes JMP 00007ff8aaac01f0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess                                                                                                                                   00007ff92a992030 5 bytes JMP 00007ff8aaac0430
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread                                                                                                                                    00007ff92a992040 5 bytes JMP 00007ff8aaac0450
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                               00007ff92a992050 5 bytes JMP 00007ff8aaac0210
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl                                                                                                                                       00007ff92a992160 5 bytes JMP 00007ff8aaac0270
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort                                                                                                                                   00007ff92a990760 5 bytes JMP 00007ff8aaac0480
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject                                                                                                                                            00007ff92a9907b0 5 bytes JMP 00007ff8aaac0470
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                                                            00007ff92a990910 5 bytes JMP 00007ff8aaac0360
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx                                                                                                                                 00007ff92a990960 5 bytes JMP 00007ff8aaac0490
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                       00007ff92a990970 5 bytes JMP 00007ff8aaac03d0
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                            00007ff92a990a20 5 bytes JMP 00007ff8aaac0310
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory                                                                                                                                     00007ff92a990a50 5 bytes JMP 00007ff8aaac03a0
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject                                                                                                                                        00007ff92a990a70 5 bytes JMP 00007ff8aaac0380
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent                                                                                                                                              00007ff92a990ab0 5 bytes JMP 00007ff8aaac02d0
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                            00007ff92a990b30 1 byte JMP 00007ff8aaac02c0
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent + 2                                                                                                                                        00007ff92a990b32 3 bytes {JMP 0xffffffff8012f790}
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                          00007ff92a990b50 5 bytes JMP 00007ff8aaac0300
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                           00007ff92a990b90 5 bytes JMP 00007ff8aaac03b0
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtResumeThread                                                                                                                                           00007ff92a990bd0 5 bytes JMP 00007ff8aaac0440
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                        00007ff92a990be0 5 bytes JMP 00007ff8aaac03e0
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry                                                                                                                                           00007ff92a990d40 5 bytes JMP 00007ff8aaac0220
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                00007ff92a990f30 5 bytes JMP 00007ff8aaac04a0
 

 
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                                                             00007ff92a990910 5 bytes JMP 00007ff8aaac0360
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx                                                                                                                                  00007ff92a990960 5 bytes JMP 00007ff8aaac0490
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                        00007ff92a990970 5 bytes JMP 00007ff8aaac03d0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                             00007ff92a990a20 5 bytes JMP 00007ff8aaac0310
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory                                                                                                                                      00007ff92a990a50 5 bytes JMP 00007ff8aaac03a0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject                                                                                                                                         00007ff92a990a70 5 bytes JMP 00007ff8aaac0380
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent                                                                                                                                               00007ff92a990ab0 5 bytes JMP 00007ff8aaac02d0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                             00007ff92a990b30 1 byte JMP 00007ff8aaac02c0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent + 2                                                                                                                                         00007ff92a990b32 3 bytes {JMP 0xffffffff8012f790}
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                           00007ff92a990b50 5 bytes JMP 00007ff8aaac0300
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                            00007ff92a990b90 5 bytes JMP 00007ff8aaac03b0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtResumeThread                                                                                                                                            00007ff92a990bd0 5 bytes JMP 00007ff8aaac0440
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                         00007ff92a990be0 5 bytes JMP 00007ff8aaac03e0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry                                                                                                                                            00007ff92a990d40 5 bytes JMP 00007ff8aaac0220
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                 00007ff92a990f30 5 bytes JMP 00007ff8aaac04a0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject                                                                                                                                00007ff92a990f60 5 bytes JMP 00007ff8aaac0390
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                         00007ff92a991080 5 bytes JMP 00007ff8aaac02e0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion                                                                                                                                      00007ff92a9910a0 5 bytes JMP 00007ff8aaac0340
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                            00007ff92a991110 5 bytes JMP 00007ff8aaac0280
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                         00007ff92a9911a0 5 bytes JMP 00007ff8aaac02a0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                          00007ff92a9911c0 5 bytes JMP 00007ff8aaac03c0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer                                                                                                                                             00007ff92a9911d0 5 bytes JMP 00007ff8aaac0320
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess                                                                                                                                      00007ff92a991280 1 byte JMP 00007ff8aaac0410
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess + 2                                                                                                                                  00007ff92a991282 3 bytes {JMP 0xffffffff8012f190}
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry                                                                                                                                         00007ff92a9912b0 5 bytes JMP 00007ff8aaac0230
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtGetContextThread                                                                                                                                        00007ff92a9914c0 5 bytes JMP 00007ff8aaac03f0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                              00007ff92a9915d0 5 bytes JMP 00007ff8aaac01d0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry                                                                                                                                         00007ff92a991690 5 bytes JMP 00007ff8aaac0240
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey                                                                                                                                         00007ff92a9916c0 5 bytes JMP 00007ff8aaac04b0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys                                                                                                                                00007ff92a9916d0 5 bytes JMP 00007ff8aaac04c0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair                                                                                                                                           00007ff92a991700 5 bytes JMP 00007ff8aaac02f0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion                                                                                                                                        00007ff92a991710 5 bytes JMP 00007ff8aaac0350
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant                                                                                                                                              00007ff92a991770 5 bytes JMP 00007ff8aaac0290
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore                                                                                                                                           00007ff92a9917c0 5 bytes JMP 00007ff8aaac02b0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                                                                                                              00007ff92a9917f0 5 bytes JMP 00007ff8aaac0370
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer                                                                                                                                               00007ff92a991800 5 bytes JMP 00007ff8aaac0330
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx                                                                                                                                        00007ff92a991b10 5 bytes JMP 00007ff8aaac0460
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtResumeProcess                                                                                                                                           00007ff92a991c70 5 bytes JMP 00007ff8aaac0420
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder                                                                                                                                       00007ff92a991d10 5 bytes JMP 00007ff8aaac0250
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions                                                                                                                                          00007ff92a991d20 5 bytes JMP 00007ff8aaac0260
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread                                                                                                                                        00007ff92a991d40 5 bytes JMP 00007ff8aaac0400
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                    00007ff92a991f20 5 bytes JMP 00007ff8aaac01e0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState                                                                                                                                     00007ff92a991f30 5 bytes JMP 00007ff8aaac0200
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                          00007ff92a991fc0 5 bytes JMP 00007ff8aaac01f0
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess                                                                                                                                          00007ff92a992030 5 bytes JMP 00007ff8aaac0430
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread                                                                                                                                           00007ff92a992040 5 bytes JMP 00007ff8aaac0450
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                      00007ff92a992050 5 bytes JMP 00007ff8aaac0210
.text   C:\Windows\system32\svchost.exe[900] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl                                                                                                                                              00007ff92a992160 5 bytes JMP 00007ff8aaac0270
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort                                                                                                                                   00007ff92a990760 5 bytes JMP 00007ff8aaac0480
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject                                                                                                                                            00007ff92a9907b0 5 bytes JMP 00007ff8aaac0470
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                                                            00007ff92a990910 5 bytes JMP 00007ff8aaac0360
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx                                                                                                                                 00007ff92a990960 5 bytes JMP 00007ff8aaac0490
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                       00007ff92a990970 5 bytes JMP 00007ff8aaac03d0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                            00007ff92a990a20 5 bytes JMP 00007ff8aaac0310
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory                                                                                                                                     00007ff92a990a50 5 bytes JMP 00007ff8aaac03a0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject                                                                                                                                        00007ff92a990a70 5 bytes JMP 00007ff8aaac0380
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent                                                                                                                                              00007ff92a990ab0 5 bytes JMP 00007ff8aaac02d0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                            00007ff92a990b30 1 byte JMP 00007ff8aaac02c0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent + 2                                                                                                                                        00007ff92a990b32 3 bytes {JMP 0xffffffff8012f790}
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                          00007ff92a990b50 5 bytes JMP 00007ff8aaac0300
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                           00007ff92a990b90 5 bytes JMP 00007ff8aaac03b0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtResumeThread                                                                                                                                           00007ff92a990bd0 5 bytes JMP 00007ff8aaac0440
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                        00007ff92a990be0 5 bytes JMP 00007ff8aaac03e0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry                                                                                                                                           00007ff92a990d40 5 bytes JMP 00007ff8aaac0220
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                00007ff92a990f30 5 bytes JMP 00007ff8aaac04a0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject                                                                                                                               00007ff92a990f60 5 bytes JMP 00007ff8aaac0390
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                        00007ff92a991080 5 bytes JMP 00007ff8aaac02e0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion                                                                                                                                     00007ff92a9910a0 5 bytes JMP 00007ff8aaac0340
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                           00007ff92a991110 5 bytes JMP 00007ff8aaac0280
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                        00007ff92a9911a0 5 bytes JMP 00007ff8aaac02a0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                         00007ff92a9911c0 5 bytes JMP 00007ff8aaac03c0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer                                                                                                                                            00007ff92a9911d0 5 bytes JMP 00007ff8aaac0320
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess                                                                                                                                     00007ff92a991280 1 byte JMP 00007ff8aaac0410
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess + 2                                                                                                                                 00007ff92a991282 3 bytes {JMP 0xffffffff8012f190}
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry                                                                                                                                        00007ff92a9912b0 5 bytes JMP 00007ff8aaac0230
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtGetContextThread                                                                                                                                       00007ff92a9914c0 5 bytes JMP 00007ff8aaac03f0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                             00007ff92a9915d0 5 bytes JMP 00007ff8aaac01d0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry                                                                                                                                        00007ff92a991690 5 bytes JMP 00007ff8aaac0240
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey                                                                                                                                        00007ff92a9916c0 5 bytes JMP 00007ff8aaac04b0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys                                                                                                                               00007ff92a9916d0 5 bytes JMP 00007ff8aaac04c0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair                                                                                                                                          00007ff92a991700 5 bytes JMP 00007ff8aaac02f0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion                                                                                                                                       00007ff92a991710 5 bytes JMP 00007ff8aaac0350
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant                                                                                                                                             00007ff92a991770 5 bytes JMP 00007ff8aaac0290
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore                                                                                                                                          00007ff92a9917c0 5 bytes JMP 00007ff8aaac02b0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                                                                                                             00007ff92a9917f0 5 bytes JMP 00007ff8aaac0370
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer                                                                                                                                              00007ff92a991800 5 bytes JMP 00007ff8aaac0330
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx                                                                                                                                       00007ff92a991b10 5 bytes JMP 00007ff8aaac0460
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtResumeProcess                                                                                                                                          00007ff92a991c70 5 bytes JMP 00007ff8aaac0420
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder                                                                                                                                      00007ff92a991d10 5 bytes JMP 00007ff8aaac0250
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions                                                                                                                                         00007ff92a991d20 5 bytes JMP 00007ff8aaac0260
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread                                                                                                                                       00007ff92a991d40 5 bytes JMP 00007ff8aaac0400
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                   00007ff92a991f20 5 bytes JMP 00007ff8aaac01e0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState                                                                                                                                    00007ff92a991f30 5 bytes JMP 00007ff8aaac0200
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                         00007ff92a991fc0 5 bytes JMP 00007ff8aaac01f0
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess                                                                                                                                         00007ff92a992030 5 bytes JMP 00007ff8aaac0430
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread                                                                                                                                          00007ff92a992040 5 bytes JMP 00007ff8aaac0450
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                     00007ff92a992050 5 bytes JMP 00007ff8aaac0210
.text   C:\Windows\system32\svchost.exe[1056] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl                                                                                                                                             00007ff92a992160 5 bytes JMP 00007ff8aaac0270
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort                                                                                                                                   00007ff92a990760 5 bytes JMP 00007ff8aaac0480
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject                                                                                                                                            00007ff92a9907b0 5 bytes JMP 00007ff8aaac0470
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                                                            00007ff92a990910 5 bytes JMP 00007ff8aaac0360
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx                                                                                                                                 00007ff92a990960 5 bytes JMP 00007ff8aaac0490
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                       00007ff92a990970 5 bytes JMP 00007ff8aaac03d0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                            00007ff92a990a20 5 bytes JMP 00007ff8aaac0310
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory                                                                                                                                     00007ff92a990a50 5 bytes JMP 00007ff8aaac03a0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject                                                                                                                                        00007ff92a990a70 5 bytes JMP 00007ff8aaac0380
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent                                                                                                                                              00007ff92a990ab0 5 bytes JMP 00007ff8aaac02d0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                            00007ff92a990b30 1 byte JMP 00007ff8aaac02c0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent + 2                                                                                                                                        00007ff92a990b32 3 bytes {JMP 0xffffffff8012f790}
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                          00007ff92a990b50 5 bytes JMP 00007ff8aaac0300
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                           00007ff92a990b90 5 bytes JMP 00007ff8aaac03b0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtResumeThread                                                                                                                                           00007ff92a990bd0 5 bytes JMP 00007ff8aaac0440
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                        00007ff92a990be0 5 bytes JMP 00007ff8aaac03e0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry                                                                                                                                           00007ff92a990d40 5 bytes JMP 00007ff8aaac0220
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                00007ff92a990f30 5 bytes JMP 00007ff8aaac04a0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject                                                                                                                               00007ff92a990f60 5 bytes JMP 00007ff8aaac0390
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                        00007ff92a991080 5 bytes JMP 00007ff8aaac02e0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion                                                                                                                                     00007ff92a9910a0 5 bytes JMP 00007ff8aaac0340
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                           00007ff92a991110 5 bytes JMP 00007ff8aaac0280
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                        00007ff92a9911a0 5 bytes JMP 00007ff8aaac02a0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                         00007ff92a9911c0 5 bytes JMP 00007ff8aaac03c0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer                                                                                                                                            00007ff92a9911d0 5 bytes JMP 00007ff8aaac0320
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess                                                                                                                                     00007ff92a991280 1 byte JMP 00007ff8aaac0410
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess + 2                                                                                                                                 00007ff92a991282 3 bytes {JMP 0xffffffff8012f190}
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry                                                                                                                                        00007ff92a9912b0 5 bytes JMP 00007ff8aaac0230
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtGetContextThread                                                                                                                                       00007ff92a9914c0 5 bytes JMP 00007ff8aaac03f0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                             00007ff92a9915d0 5 bytes JMP 00007ff8aaac01d0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry                                                                                                                                        00007ff92a991690 5 bytes JMP 00007ff8aaac0240
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey                                                                                                                                        00007ff92a9916c0 5 bytes JMP 00007ff8aaac04b0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys                                                                                                                               00007ff92a9916d0 5 bytes JMP 00007ff8aaac04c0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair                                                                                                                                          00007ff92a991700 5 bytes JMP 00007ff8aaac02f0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion                                                                                                                                       00007ff92a991710 5 bytes JMP 00007ff8aaac0350
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant                                                                                                                                             00007ff92a991770 5 bytes JMP 00007ff8aaac0290
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore                                                                                                                                          00007ff92a9917c0 5 bytes JMP 00007ff8aaac02b0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                                                                                                             00007ff92a9917f0 5 bytes JMP 00007ff8aaac0370
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer                                                                                                                                              00007ff92a991800 5 bytes JMP 00007ff8aaac0330
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx                                                                                                                                       00007ff92a991b10 5 bytes JMP 00007ff8aaac0460
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtResumeProcess                                                                                                                                          00007ff92a991c70 5 bytes JMP 00007ff8aaac0420
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder                                                                                                                                      00007ff92a991d10 5 bytes JMP 00007ff8aaac0250
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions                                                                                                                                         00007ff92a991d20 5 bytes JMP 00007ff8aaac0260
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread                                                                                                                                       00007ff92a991d40 5 bytes JMP 00007ff8aaac0400
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                   00007ff92a991f20 5 bytes JMP 00007ff8aaac01e0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState                                                                                                                                    00007ff92a991f30 5 bytes JMP 00007ff8aaac0200
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                         00007ff92a991fc0 5 bytes JMP 00007ff8aaac01f0
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess                                                                                                                                         00007ff92a992030 5 bytes JMP 00007ff8aaac0430
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread                                                                                                                                          00007ff92a992040 5 bytes JMP 00007ff8aaac0450
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                     00007ff92a992050 5 bytes JMP 00007ff8aaac0210
.text   C:\Windows\System32\svchost.exe[1148] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl                                                                                                                                             00007ff92a992160 5 bytes JMP 00007ff8aaac0270
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort                                                                                                                                   00007ff92a990760 5 bytes JMP 00007ff8aaac0480
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject                                                                                                                                            00007ff92a9907b0 5 bytes JMP 00007ff8aaac0470
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                                                            00007ff92a990910 5 bytes JMP 00007ff8aaac0360
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx                                                                                                                                 00007ff92a990960 5 bytes JMP 00007ff8aaac0490
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                       00007ff92a990970 5 bytes JMP 00007ff8aaac03d0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                            00007ff92a990a20 5 bytes JMP 00007ff8aaac0310
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory                                                                                                                                     00007ff92a990a50 5 bytes JMP 00007ff8aaac03a0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject                                                                                                                                        00007ff92a990a70 5 bytes JMP 00007ff8aaac0380
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent                                                                                                                                              00007ff92a990ab0 5 bytes JMP 00007ff8aaac02d0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                            00007ff92a990b30 1 byte JMP 00007ff8aaac02c0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent + 2                                                                                                                                        00007ff92a990b32 3 bytes {JMP 0xffffffff8012f790}
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                          00007ff92a990b50 5 bytes JMP 00007ff8aaac0300
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                           00007ff92a990b90 5 bytes JMP 00007ff8aaac03b0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtResumeThread                                                                                                                                           00007ff92a990bd0 5 bytes JMP 00007ff8aaac0440
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                        00007ff92a990be0 5 bytes JMP 00007ff8aaac03e0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry                                                                                                                                           00007ff92a990d40 5 bytes JMP 00007ff8aaac0220
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                00007ff92a990f30 5 bytes JMP 00007ff8aaac04a0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject                                                                                                                               00007ff92a990f60 5 bytes JMP 00007ff8aaac0390
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                        00007ff92a991080 5 bytes JMP 00007ff8aaac02e0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion                                                                                                                                     00007ff92a9910a0 5 bytes JMP 00007ff8aaac0340
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                           00007ff92a991110 5 bytes JMP 00007ff8aaac0280
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                        00007ff92a9911a0 5 bytes JMP 00007ff8aaac02a0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                         00007ff92a9911c0 5 bytes JMP 00007ff8aaac03c0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer                                                                                                                                            00007ff92a9911d0 5 bytes JMP 00007ff8aaac0320
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess                                                                                                                                     00007ff92a991280 1 byte JMP 00007ff8aaac0410
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess + 2                                                                                                                                 00007ff92a991282 3 bytes {JMP 0xffffffff8012f190}
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry                                                                                                                                        00007ff92a9912b0 5 bytes JMP 00007ff8aaac0230
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtGetContextThread                                                                                                                                       00007ff92a9914c0 5 bytes JMP 00007ff8aaac03f0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                             00007ff92a9915d0 5 bytes JMP 00007ff8aaac01d0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry                                                                                                                                        00007ff92a991690 5 bytes JMP 00007ff8aaac0240
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey                                                                                                                                        00007ff92a9916c0 5 bytes JMP 00007ff8aaac04b0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys                                                                                                                               00007ff92a9916d0 5 bytes JMP 00007ff8aaac04c0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair                                                                                                                                          00007ff92a991700 5 bytes JMP 00007ff8aaac02f0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion                                                                                                                                       00007ff92a991710 5 bytes JMP 00007ff8aaac0350
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant                                                                                                                                             00007ff92a991770 5 bytes JMP 00007ff8aaac0290
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore                                                                                                                                          00007ff92a9917c0 5 bytes JMP 00007ff8aaac02b0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                                                                                                             00007ff92a9917f0 5 bytes JMP 00007ff8aaac0370
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer                                                                                                                                              00007ff92a991800 5 bytes JMP 00007ff8aaac0330
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx                                                                                                                                       00007ff92a991b10 5 bytes JMP 00007ff8aaac0460
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtResumeProcess                                                                                                                                          00007ff92a991c70 5 bytes JMP 00007ff8aaac0420
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder                                                                                                                                      00007ff92a991d10 5 bytes JMP 00007ff8aaac0250
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions                                                                                                                                         00007ff92a991d20 5 bytes JMP 00007ff8aaac0260
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread                                                                                                                                       00007ff92a991d40 5 bytes JMP 00007ff8aaac0400
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                   00007ff92a991f20 5 bytes JMP 00007ff8aaac01e0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState                                                                                                                                    00007ff92a991f30 5 bytes JMP 00007ff8aaac0200
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                         00007ff92a991fc0 5 bytes JMP 00007ff8aaac01f0
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess                                                                                                                                         00007ff92a992030 5 bytes JMP 00007ff8aaac0430
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread                                                                                                                                          00007ff92a992040 5 bytes JMP 00007ff8aaac0450
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                     00007ff92a992050 5 bytes JMP 00007ff8aaac0210
.text   C:\Windows\system32\svchost.exe[1288] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl                                                                                                                                             00007ff92a992160 5 bytes JMP 00007ff8aaac0270
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort                                                                                                                                   00007ff92a990760 5 bytes JMP 00007ff8aaac0480
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject                                                                                                                                            00007ff92a9907b0 5 bytes JMP 00007ff8aaac0470
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                                                            00007ff92a990910 5 bytes JMP 00007ff8aaac0360
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx                                                                                                                                 00007ff92a990960 5 bytes JMP 00007ff8aaac0490
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                       00007ff92a990970 5 bytes JMP 00007ff8aaac03d0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                            00007ff92a990a20 5 bytes JMP 00007ff8aaac0310
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory                                                                                                                                     00007ff92a990a50 5 bytes JMP 00007ff8aaac03a0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject                                                                                                                                        00007ff92a990a70 5 bytes JMP 00007ff8aaac0380
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent                                                                                                                                              00007ff92a990ab0 5 bytes JMP 00007ff8aaac02d0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                            00007ff92a990b30 1 byte JMP 00007ff8aaac02c0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent + 2                                                                                                                                        00007ff92a990b32 3 bytes {JMP 0xffffffff8012f790}
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                          00007ff92a990b50 5 bytes JMP 00007ff8aaac0300
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                           00007ff92a990b90 5 bytes JMP 00007ff8aaac03b0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtResumeThread                                                                                                                                           00007ff92a990bd0 5 bytes JMP 00007ff8aaac0440
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                        00007ff92a990be0 5 bytes JMP 00007ff8aaac03e0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry                                                                                                                                           00007ff92a990d40 5 bytes JMP 00007ff8aaac0220
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                00007ff92a990f30 5 bytes JMP 00007ff8aaac04a0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject                                                                                                                               00007ff92a990f60 5 bytes JMP 00007ff8aaac0390
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                        00007ff92a991080 5 bytes JMP 00007ff8aaac02e0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion                                                                                                                                     00007ff92a9910a0 5 bytes JMP 00007ff8aaac0340
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                           00007ff92a991110 5 bytes JMP 00007ff8aaac0280
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                        00007ff92a9911a0 5 bytes JMP 00007ff8aaac02a0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                         00007ff92a9911c0 5 bytes JMP 00007ff8aaac03c0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer                                                                                                                                            00007ff92a9911d0 5 bytes JMP 00007ff8aaac0320
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess                                                                                                                                     00007ff92a991280 1 byte JMP 00007ff8aaac0410
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess + 2                                                                                                                                 00007ff92a991282 3 bytes {JMP 0xffffffff8012f190}
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry                                                                                                                                        00007ff92a9912b0 5 bytes JMP 00007ff8aaac0230
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtGetContextThread                                                                                                                                       00007ff92a9914c0 5 bytes JMP 00007ff8aaac03f0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                             00007ff92a9915d0 5 bytes JMP 00007ff8aaac01d0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry                                                                                                                                        00007ff92a991690 5 bytes JMP 00007ff8aaac0240
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey                                                                                                                                        00007ff92a9916c0 5 bytes JMP 00007ff8aaac04b0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys                                                                                                                               00007ff92a9916d0 5 bytes JMP 00007ff8aaac04c0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair                                                                                                                                          00007ff92a991700 5 bytes JMP 00007ff8aaac02f0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion                                                                                                                                       00007ff92a991710 5 bytes JMP 00007ff8aaac0350
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant                                                                                                                                             00007ff92a991770 5 bytes JMP 00007ff8aaac0290
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore     

.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                                                                                                             00007ff92a9917f0 5 bytes JMP 00007ff8aaac0370
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer                                                                                                                                              00007ff92a991800 5 bytes JMP 00007ff8aaac0330
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx                                                                                                                                       00007ff92a991b10 5 bytes JMP 00007ff8aaac0460
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtResumeProcess                                                                                                                                          00007ff92a991c70 5 bytes JMP 00007ff8aaac0420
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder                                                                                                                                      00007ff92a991d10 5 bytes JMP 00007ff8aaac0250
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions                                                                                                                                         00007ff92a991d20 5 bytes JMP 00007ff8aaac0260
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread                                                                                                                                       00007ff92a991d40 5 bytes JMP 00007ff8aaac0400
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                   00007ff92a991f20 5 bytes JMP 00007ff8aaac01e0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState                                                                                                                                    00007ff92a991f30 5 bytes JMP 00007ff8aaac0200
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                         00007ff92a991fc0 5 bytes JMP 00007ff8aaac01f0
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess                                                                                                                                         00007ff92a992030 5 bytes JMP 00007ff8aaac0430
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread                                                                                                                                          00007ff92a992040 5 bytes JMP 00007ff8aaac0450
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                     00007ff92a992050 5 bytes JMP 00007ff8aaac0210
.text   C:\Windows\system32\svchost.exe[1676] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl                                                                                                                                             00007ff92a992160 5 bytes JMP 00007ff8aaac0270
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort                                                                                                                                   00007ff92a990760 5 bytes JMP 00007ff8aaac0480
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject                                                                                                                                            00007ff92a9907b0 5 bytes JMP 00007ff8aaac0470
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                                                            00007ff92a990910 5 bytes JMP 00007ff8aaac0360
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx                                                                                                                                 00007ff92a990960 5 bytes JMP 00007ff8aaac0490
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                       00007ff92a990970 5 bytes JMP 00007ff8aaac03d0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                            00007ff92a990a20 5 bytes JMP 00007ff8aaac0310
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory                                                                                                                                     00007ff92a990a50 5 bytes JMP 00007ff8aaac03a0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject                                                                                                                                        00007ff92a990a70 5 bytes JMP 00007ff8aaac0380
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent                                                                                                                                              00007ff92a990ab0 5 bytes JMP 00007ff8aaac02d0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                            00007ff92a990b30 1 byte JMP 00007ff8aaac02c0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent + 2                                                                                                                                        00007ff92a990b32 3 bytes {JMP 0xffffffff8012f790}
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                          00007ff92a990b50 5 bytes JMP 00007ff8aaac0300
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                           00007ff92a990b90 5 bytes JMP 00007ff8aaac03b0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtResumeThread                                                                                                                                           00007ff92a990bd0 5 bytes JMP 00007ff8aaac0440
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                        00007ff92a990be0 5 bytes JMP 00007ff8aaac03e0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry                                                                                                                                           00007ff92a990d40 5 bytes JMP 00007ff8aaac0220
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                00007ff92a990f30 5 bytes JMP 00007ff8aaac04a0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject                                                                                                                               00007ff92a990f60 5 bytes JMP 00007ff8aaac0390
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                        00007ff92a991080 5 bytes JMP 00007ff8aaac02e0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion                                                                                                                                     00007ff92a9910a0 5 bytes JMP 00007ff8aaac0340
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                           00007ff92a991110 5 bytes JMP 00007ff8aaac0280
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                        00007ff92a9911a0 5 bytes JMP 00007ff8aaac02a0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                         00007ff92a9911c0 5 bytes JMP 00007ff8aaac03c0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer                                                                                                                                            00007ff92a9911d0 5 bytes JMP 00007ff8aaac0320
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess                                                                                                                                     00007ff92a991280 1 byte JMP 00007ff8aaac0410
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess + 2                                                                                                                                 00007ff92a991282 3 bytes {JMP 0xffffffff8012f190}
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry                                                                                                                                        00007ff92a9912b0 5 bytes JMP 00007ff8aaac0230
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtGetContextThread                                                                                                                                       00007ff92a9914c0 5 bytes JMP 00007ff8aaac03f0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                             00007ff92a9915d0 5 bytes JMP 00007ff8aaac01d0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry                                                                                                                                        00007ff92a991690 5 bytes JMP 00007ff8aaac0240
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey                                                                                                                                        00007ff92a9916c0 5 bytes JMP 00007ff8aaac04b0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys                                                                                                                               00007ff92a9916d0 5 bytes JMP 00007ff8aaac04c0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair                                                                                                                                          00007ff92a991700 5 bytes JMP 00007ff8aaac02f0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion                                                                                                                                       00007ff92a991710 5 bytes JMP 00007ff8aaac0350
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant                                                                                                                                             00007ff92a991770 5 bytes JMP 00007ff8aaac0290
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore                                                                                                                                          00007ff92a9917c0 5 bytes JMP 00007ff8aaac02b0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                                                                                                             00007ff92a9917f0 5 bytes JMP 00007ff8aaac0370
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer                                                                                                                                              00007ff92a991800 5 bytes JMP 00007ff8aaac0330
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx                                                                                                                                       00007ff92a991b10 5 bytes JMP 00007ff8aaac0460
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtResumeProcess                                                                                                                                          00007ff92a991c70 5 bytes JMP 00007ff8aaac0420
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder                                                                                                                                      00007ff92a991d10 5 bytes JMP 00007ff8aaac0250
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions                                                                                                                                         00007ff92a991d20 5 bytes JMP 00007ff8aaac0260
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread                                                                                                                                       00007ff92a991d40 5 bytes JMP 00007ff8aaac0400
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                   00007ff92a991f20 5 bytes JMP 00007ff8aaac01e0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState                                                                                                                                    00007ff92a991f30 5 bytes JMP 00007ff8aaac0200
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                         00007ff92a991fc0 5 bytes JMP 00007ff8aaac01f0
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess                                                                                                                                         00007ff92a992030 5 bytes JMP 00007ff8aaac0430
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread                                                                                                                                          00007ff92a992040 5 bytes JMP 00007ff8aaac0450
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                     00007ff92a992050 5 bytes JMP 00007ff8aaac0210
.text   C:\Windows\System32\svchost.exe[1948] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl       

text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort                                                                                                                             00007ff92a990760 5 bytes JMP 00007ff8aaac0480
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject                                                                                                                                      00007ff92a9907b0 5 bytes JMP 00007ff8aaac0470
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                                                      00007ff92a990910 5 bytes JMP 00007ff8aaac0360
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx                                                                                                                           00007ff92a990960 5 bytes JMP 00007ff8aaac0490
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                 00007ff92a990970 5 bytes JMP 00007ff8aaac03d0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                      00007ff92a990a20 5 bytes JMP 00007ff8aaac0310
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory                                                                                                                               00007ff92a990a50 5 bytes JMP 00007ff8aaac03a0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject                                                                                                                                  00007ff92a990a70 5 bytes JMP 00007ff8aaac0380
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent                                                                                                                                        00007ff92a990ab0 5 bytes JMP 00007ff8aaac02d0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                      00007ff92a990b30 1 byte JMP 00007ff8aaac02c0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent + 2                                                                                                                                  00007ff92a990b32 3 bytes {JMP 0xffffffff8012f790}
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                    00007ff92a990b50 5 bytes JMP 00007ff8aaac0300
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                     00007ff92a990b90 5 bytes JMP 00007ff8aaac03b0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtResumeThread                                                                                                                                     00007ff92a990bd0 5 bytes JMP 00007ff8aaac0440
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                  00007ff92a990be0 5 bytes JMP 00007ff8aaac03e0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry                                                                                                                                     00007ff92a990d40 5 bytes JMP 00007ff8aaac0220
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                          00007ff92a990f30 5 bytes JMP 00007ff8aaac04a0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject                                                                                                                         00007ff92a990f60 5 bytes JMP 00007ff8aaac0390
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                  00007ff92a991080 5 bytes JMP 00007ff8aaac02e0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion                                                                                                                               00007ff92a9910a0 5 bytes JMP 00007ff8aaac0340
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                     00007ff92a991110 5 bytes JMP 00007ff8aaac0280
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                  00007ff92a9911a0 5 bytes JMP 00007ff8aaac02a0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                   00007ff92a9911c0 5 bytes JMP 00007ff8aaac03c0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer                                                                                                                                      00007ff92a9911d0 5 bytes JMP 00007ff8aaac0320
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess                                                                                                                               00007ff92a991280 1 byte JMP 00007ff8aaac0410
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess + 2                                                                                                                           00007ff92a991282 3 bytes {JMP 0xffffffff8012f190}
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry                                                                                                                                  00007ff92a9912b0 5 bytes JMP 00007ff8aaac0230
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtGetContextThread                                                                                                                                 00007ff92a9914c0 5 bytes JMP 00007ff8aaac03f0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                       00007ff92a9915d0 5 bytes JMP 00007ff8aaac01d0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry                                                                                                                                  00007ff92a991690 5 bytes JMP 00007ff8aaac0240
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey                                                                                                                                  00007ff92a9916c0 5 bytes JMP 00007ff8aaac04b0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys                                                                                                                         00007ff92a9916d0 5 bytes JMP 00007ff8aaac04c0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair                                                                                                                                    00007ff92a991700 5 bytes JMP 00007ff8aaac02f0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion                                                                                                                                 00007ff92a991710 5 bytes JMP 00007ff8aaac0350
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant                                                                                                                                       00007ff92a991770 5 bytes JMP 00007ff8aaac0290
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore                                                                                                                                    00007ff92a9917c0 5 bytes JMP 00007ff8aaac02b0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                                                                                                       00007ff92a9917f0 5 bytes JMP 00007ff8aaac0370
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer                                                                                                                                        00007ff92a991800 5 bytes JMP 00007ff8aaac0330
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx                                                                                                                                 00007ff92a991b10 5 bytes JMP 00007ff8aaac0460
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtResumeProcess                                                                                                                                    00007ff92a991c70 5 bytes JMP 00007ff8aaac0420
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder                                                                                                                                00007ff92a991d10 5 bytes JMP 00007ff8aaac0250
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions                                                                                                                                   00007ff92a991d20 5 bytes JMP 00007ff8aaac0260
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread                                                                                                                                 00007ff92a991d40 5 bytes JMP 00007ff8aaac0400
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                             00007ff92a991f20 5 bytes JMP 00007ff8aaac01e0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState                                                                                                                              00007ff92a991f30 5 bytes JMP 00007ff8aaac0200
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                   00007ff92a991fc0 5 bytes JMP 00007ff8aaac01f0
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess                                                                                                                                   00007ff92a992030 5 bytes JMP 00007ff8aaac0430
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread                                                                                                                                    00007ff92a992040 5 bytes JMP 00007ff8aaac0450
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                               00007ff92a992050 5 bytes JMP 00007ff8aaac0210
.text   C:\Windows\system32\wbem\wmiprvse.exe[2840] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl                                                                                                                                       00007ff92a992160 5 bytes JMP 00007ff8aaac0270
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort                                                                                                                                   00007ff92a990760 5 bytes JMP 00007ff8aaac0480
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject                                                                                                                                            00007ff92a9907b0 5 bytes JMP 00007ff8aaac0470
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                                                            00007ff92a990910 5 bytes JMP 00007ff8aaac0360
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx                                                                                                                                 00007ff92a990960 5 bytes JMP 00007ff8aaac0490
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                       00007ff92a990970 5 bytes JMP 00007ff8aaac03d0
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                            00007ff92a990a20 5 bytes JMP 00007ff8aaac0310
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory                                                                                                                                     00007ff92a990a50 5 bytes JMP 00007ff8aaac03a0
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject                                                                                                                                        00007ff92a990a70 5 bytes JMP 00007ff8aaac0380
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent                                                                                                                                              00007ff92a990ab0 5 bytes JMP 00007ff8aaac02d0
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                            00007ff92a990b30 1 byte JMP 00007ff8aaac02c0
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent + 2                                                                                                                                        00007ff92a990b32 3 bytes {JMP 0xffffffff8012f790}
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                          00007ff92a990b50 5 bytes JMP 00007ff8aaac0300
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                           00007ff92a990b90 5 bytes JMP 00007ff8aaac03b0
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtResumeThread                                                                                                                                           00007ff92a990bd0 5 bytes JMP 00007ff8aaac0440
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                        00007ff92a990be0 5 bytes JMP 00007ff8aaac03e0
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry                                                                                                                                           00007ff92a990d40 5 bytes JMP 00007ff8aaac0220
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                00007ff92a990f30 5 bytes JMP 00007ff8aaac04a0
 

.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject                                                                                                                               00007ff92a990f60 5 bytes JMP 00007ff8aaac0390
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                        00007ff92a991080 5 bytes JMP 00007ff8aaac02e0
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion                                                                                                                                     00007ff92a9910a0 5 bytes JMP 00007ff8aaac0340
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                           00007ff92a991110 5 bytes JMP 00007ff8aaac0280
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                        00007ff92a9911a0 5 bytes JMP 00007ff8aaac02a0
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                         00007ff92a9911c0 5 bytes JMP 00007ff8aaac03c0
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer                                                                                                                                            00007ff92a9911d0 5 bytes JMP 00007ff8aaac0320
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess                                                                                                                                     00007ff92a991280 1 byte JMP 00007ff8aaac0410
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess + 2                                                                                                                                 00007ff92a991282 3 bytes {JMP 0xffffffff8012f190}
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry                                                                                                                                        00007ff92a9912b0 5 bytes JMP 00007ff8aaac0230
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtGetContextThread                                                                                                                                       00007ff92a9914c0 5 bytes JMP 00007ff8aaac03f0
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                             00007ff92a9915d0 5 bytes JMP 00007ff8aaac01d0
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry                                                                                                                                        00007ff92a991690 5 bytes JMP 00007ff8aaac0240
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey                                                                                                                                        00007ff92a9916c0 5 bytes JMP 00007ff8aaac04b0
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys                                                                                                                               00007ff92a9916d0 5 bytes JMP 00007ff8aaac04c0
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair                                                                                                                                          00007ff92a991700 5 bytes JMP 00007ff8aaac02f0
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion                                                                                                                                       00007ff92a991710 5 bytes JMP 00007ff8aaac0350
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant                                                                                                                                             00007ff92a991770 5 bytes JMP 00007ff8aaac0290
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore                                                                                                                                          00007ff92a9917c0 5 bytes JMP 00007ff8aaac02b0
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                                                                                                             00007ff92a9917f0 5 bytes JMP 00007ff8aaac0370
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer                                                                                                                                              00007ff92a991800 5 bytes JMP 00007ff8aaac0330
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx                                                                                                                                       00007ff92a991b10 5 bytes JMP 00007ff8aaac0460
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtResumeProcess                                                                                                                                          00007ff92a991c70 5 bytes JMP 00007ff8aaac0420
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder                                                                                                                                      00007ff92a991d10 5 bytes JMP 00007ff8aaac0250
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions                                                                                                                                         00007ff92a991d20 5 bytes JMP 00007ff8aaac0260
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread                                                                                                                                       00007ff92a991d40 5 bytes JMP 00007ff8aaac0400
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                   00007ff92a991f20 5 bytes JMP 00007ff8aaac01e0
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState                                                                                                                                    00007ff92a991f30 5 bytes JMP 00007ff8aaac0200
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                         00007ff92a991fc0 5 bytes JMP 00007ff8aaac01f0
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess                                                                                                                                         00007ff92a992030 5 bytes JMP 00007ff8aaac0430
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread                                                                                                                                          00007ff92a992040 5 bytes JMP 00007ff8aaac0450
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                     00007ff92a992050 5 bytes JMP 00007ff8aaac0210
.text   C:\Windows\system32\svchost.exe[3104] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl                                                                                                                                             00007ff92a992160 5 bytes JMP 00007ff8aaac0270
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort                                                                                                                                       00007ff92a990760 5 bytes JMP 00007ff8aaac0480
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject                                                                                                                                                00007ff92a9907b0 5 bytes JMP 00007ff8aaac0470
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                                                                00007ff92a990910 5 bytes JMP 00007ff8aaac0360
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx                                                                                                                                     00007ff92a990960 5 bytes JMP 00007ff8aaac0490
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                           00007ff92a990970 5 bytes JMP 00007ff8aaac03d0
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                                00007ff92a990a20 5 bytes JMP 00007ff8aaac0310
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory                                                                                                                                         00007ff92a990a50 5 bytes JMP 00007ff8aaac03a0
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject                                                                                                                                            00007ff92a990a70 5 bytes JMP 00007ff8aaac0380
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent                                                                                                                                                  00007ff92a990ab0 5 bytes JMP 00007ff8aaac02d0
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                                00007ff92a990b30 1 byte JMP 00007ff8aaac02c0
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent + 2                                                                                                                                            00007ff92a990b32 3 bytes {JMP 0xffffffff8012f790}
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                              00007ff92a990b50 5 bytes JMP 00007ff8aaac0300
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                               00007ff92a990b90 5 bytes JMP 00007ff8aaac03b0
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtResumeThread                                                                                                                                               00007ff92a990bd0 5 bytes JMP 00007ff8aaac0440
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                            00007ff92a990be0 5 bytes JMP 00007ff8aaac03e0
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry                                                                                                                                               00007ff92a990d40 5 bytes JMP 00007ff8aaac0220
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                    00007ff92a990f30 5 bytes JMP 00007ff8aaac04a0
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject                                                                                                                                   00007ff92a990f60 5 bytes JMP 00007ff8aaac0390
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                            00007ff92a991080 5 bytes JMP 00007ff8aaac02e0
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion                                                                                                                                         00007ff92a9910a0 5 bytes JMP 00007ff8aaac0340
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                               00007ff92a991110 5 bytes JMP 00007ff8aaac0280
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                            00007ff92a9911a0 5 bytes JMP 00007ff8aaac02a0
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                             00007ff92a9911c0 5 bytes JMP 00007ff8aaac03c0
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer                                                                                                                                                00007ff92a9911d0 5 bytes JMP 00007ff8aaac0320
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess                                                                                                                                         00007ff92a991280 1 byte JMP 00007ff8aaac0410
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess + 2                                                                                                                                     00007ff92a991282 3 bytes {JMP 0xffffffff8012f190}
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry                                                                                                                                            00007ff92a9912b0 5 bytes JMP 00007ff8aaac0230
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtGetContextThread                                                                                                                                           00007ff92a9914c0 5 bytes JMP 00007ff8aaac03f0
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                                 00007ff92a9915d0 5 bytes JMP 00007ff8aaac01d0
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry                                                                                                                                            00007ff92a991690 5 bytes JMP 00007ff8aaac0240
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey                                                                                                                                            00007ff92a9916c0 5 bytes JMP 00007ff8aaac04b0
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys                                                                                                                                   00007ff92a9916d0 5 bytes JMP 00007ff8aaac04c0
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair                                                                                                                                              00007ff92a991700 5 bytes JMP 00007ff8aaac02f0
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion                                                                                                                                           00007ff92a991710 5 bytes JMP 00007ff8aaac0350
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant                                                                                                                                                 00007ff92a991770 5 bytes JMP 00007ff8aaac0290
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore                                                                                                                                              00007ff92a9917c0 5 bytes JMP 00007ff8aaac02b0
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                                                                                                                 00007ff92a9917f0 5 bytes JMP 00007ff8aaac0370
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer                                                                                                                                                  00007ff92a991800 5 bytes JMP 00007ff8aaac0330
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx                                                                                                                                           00007ff92a991b10 5 bytes JMP 00007ff8aaac0460
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtResumeProcess                                                                                                                                              00007ff92a991c70 5 bytes JMP 00007ff8aaac0420
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder                                                                                                                                          00007ff92a991d10 5 bytes JMP 00007ff8aaac0250
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions                                                                                                                                             00007ff92a991d20 5 bytes JMP 00007ff8aaac0260
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread                                                                                                                                           00007ff92a991d40 5 bytes JMP 00007ff8aaac0400
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                       00007ff92a991f20 5 bytes JMP 00007ff8aaac01e0
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState                                                                                                                                        00007ff92a991f30 5 bytes JMP 00007ff8aaac0200
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                             00007ff92a991fc0 5 bytes JMP 00007ff8aaac01f0
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess                                                                                                                                             00007ff92a992030 5 bytes JMP 00007ff8aaac0430
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread                                                                                                                                              00007ff92a992040 5 bytes JMP 00007ff8aaac0450
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                         00007ff92a992050 5 bytes JMP 00007ff8aaac0210
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl                                                                                                                                                 00007ff92a992160 5 bytes JMP 00007ff8aaac0270
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\system32\KERNEL32.DLL!K32GetModuleInformation                                                                                                                                   00007ff92a153e10 7 bytes JMP 00007ff927e60260
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\system32\KERNEL32.DLL!RegQueryValueExW                                                                                                                                          00007ff92a153e20 7 bytes JMP 00007ff927e60298
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\system32\KERNEL32.DLL!RegSetValueExW                                                                                                                                            00007ff92a2039b0 7 bytes JMP 00007ff927e60340
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\system32\KERNEL32.DLL!RegDeleteValueW                                                                                                                                           00007ff92a203ef0 7 bytes JMP 00007ff927e602d0
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\system32\KERNEL32.DLL!RegSetValueExA                                                                                                                                            00007ff92a203fe0 7 bytes JMP 00007ff927e60308
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\system32\KERNEL32.DLL!K32EnumProcessModulesEx                                                                                                                                   00007ff92a2306c0 7 bytes JMP 00007ff927e601f0
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\system32\KERNEL32.DLL!K32GetMappedFileNameW                                                                                                                                     00007ff92a230730 7 bytes JMP 00007ff927e60228
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\system32\KERNELBASE.dll!FreeLibrary                                                                                                                                             00007ff927e721d0 5 bytes JMP 00007ff927e60180
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW                                                                                                                                        00007ff927e729d0 7 bytes JMP 00007ff927e600d8
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW                                                                                                                                      00007ff927e74310 5 bytes JMP 00007ff927e60110
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW                                                                                                                                          00007ff927e78c40 5 bytes JMP 00007ff927e60148
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW                                                                                                                                    00007ff927eeeb80 5 bytes JMP 00007ff927e601b8
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\system32\USER32.dll!CreateWindowExW                                                                                                                                             00007ff9281d9920 10 bytes JMP 00007ff927e60458
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\system32\USER32.dll!EnumDisplayDevicesW                                                                                                                                         00007ff9281e4430 5 bytes JMP 00007ff927e603e8
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo                                                                                                                                  00007ff9281e44f0 1 byte JMP 00007ff927e60378
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo + 2                                                                                                                              00007ff9281e44f2 7 bytes {JMP 0xffffffffffc7be88}
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\system32\USER32.dll!EnumDisplayDevicesA                                                                                                                                         00007ff9281f3b80 5 bytes JMP 00007ff927e603b0
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\system32\USER32.dll!ChangeDisplaySettingsExW                                                                                                                                    00007ff9281f5cd0 5 bytes JMP 00007ff927e60420
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList                                                                                                                                     00007ff928361500 1 byte JMP 00007ff927e60490
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 2                                                                                                                                 00007ff928361502 6 bytes {JMP 0xffffffffffafef90}
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo                                                                                                                                       00007ff928361750 8 bytes JMP 00007ff927e604c8
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\System32\dxgi.dll!CreateDXGIFactory                                                                                                                                             00007ff924877750 5 bytes JMP 00007ff9248600d8
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\System32\dxgi.dll!CreateDXGIFactory1                                                                                                                                            00007ff924878ee0 5 bytes JMP 00007ff924860110
.text   C:\Windows\System32\dwm.exe[2548] C:\Windows\System32\dxgi.dll!CreateDXGIFactory2   

                                                                                                                                         00007ff92487c650 5 bytes JMP 00007ff924860148
.text   C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[5108] C:\Windows\system32\KERNEL32.DLL!K32GetModuleInformation                                                                                                      00007ff92a153e10 7 bytes JMP 00007ff927e60260
.text   C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[5108] C:\Windows\system32\KERNEL32.DLL!RegQueryValueExW                                                                                                             00007ff92a153e20 7 bytes JMP 00007ff927e60298
.text   C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[5108] C:\Windows\system32\KERNEL32.DLL!RegSetValueExW                                                                                                               00007ff92a2039b0 7 bytes JMP 00007ff927e60340
.text   C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[5108] C:\Windows\system32\KERNEL32.DLL!RegDeleteValueW                                                                                                              00007ff92a203ef0 7 bytes JMP 00007ff927e602d0
.text   C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[5108] C:\Windows\system32\KERNEL32.DLL!RegSetValueExA                                                                                                               00007ff92a203fe0 7 bytes JMP 00007ff927e60308
.text   C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[5108] C:\Windows\system32\KERNEL32.DLL!K32EnumProcessModulesEx                                                                                                      00007ff92a2306c0 7 bytes JMP 00007ff927e601f0
.text   C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[5108] C:\Windows\system32\KERNEL32.DLL!K32GetMappedFileNameW                                                                                                        00007ff92a230730 7 bytes JMP 00007ff927e60228
.text   C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[5108] C:\Windows\system32\KERNELBASE.dll!FreeLibrary                                                                                                                00007ff927e721d0 5 bytes JMP 00007ff927e60180
.text   C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[5108] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW                                                                                                           00007ff927e729d0 7 bytes JMP 00007ff927e600d8
.text   C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[5108] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW                                                                                                         00007ff927e74310 5 bytes JMP 00007ff927e60110
.text   C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[5108] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW                                                                                                             00007ff927e78c40 5 bytes JMP 00007ff927e60148
.text   C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[5108] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW                                                                                                       00007ff927eeeb80 5 bytes JMP 00007ff927e601b8
.text   C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[5108] C:\Windows\SYSTEM32\combase.dll!CoCreateInstance                                                                                                              00007ff92a46d050 7 bytes JMP 00007ff927e60500
.text   C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[5108] C:\Windows\SYSTEM32\combase.dll!CoSetProxyBlanket                                                                                                             00007ff92a49b160 5 bytes JMP 00007ff927e60538
.text   C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[5108] C:\Windows\system32\USER32.dll!CreateWindowExW                                                                                                                00007ff9281d9920 10 bytes JMP 00007ff927e60458
.text   C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[5108] C:\Windows\system32\USER32.dll!EnumDisplayDevicesW                                                                                                            00007ff9281e4430 5 bytes JMP 00007ff927e603e8
.text   C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[5108] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo                                                                                                     00007ff9281e44f0 1 byte JMP 00007ff927e60378
.text   C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[5108] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo + 2                                                                                                 00007ff9281e44f2 7 bytes {JMP 0xffffffffffc7be88}
.text   C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[5108] C:\Windows\system32\USER32.dll!EnumDisplayDevicesA                                                                                                            00007ff9281f3b80 5 bytes JMP 00007ff927e603b0
.text   C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[5108] C:\Windows\system32\USER32.dll!ChangeDisplaySettingsExW                                                                                                       00007ff9281f5cd0 5 bytes JMP 00007ff927e60420
.text   C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[5108] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList                                                                                                        00007ff928361500 1 byte JMP 00007ff927e60490
.text   C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[5108] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 2                                                                                                    00007ff928361502 6 bytes {JMP 0xffffffffffafef90}
.text   C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe[5108] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo                                                                                                          00007ff928361750 8 bytes JMP 00007ff927e604c8
.text   C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[5380] C:\Windows\system32\KERNEL32.DLL!K32GetModuleInformation                                                                                                                 00007ff92a153e10 7 bytes JMP 00007ff927e60260
.text   C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[5380] C:\Windows\system32\KERNEL32.DLL!RegQueryValueExW                                                                                                                        00007ff92a153e20 7 bytes JMP 00007ff927e60298
.text   C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[5380] C:\Windows\system32\KERNEL32.DLL!RegSetValueExW                                                                                                                          00007ff92a2039b0 7 bytes JMP 00007ff927e60340
.text   C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[5380] C:\Windows\system32\KERNEL32.DLL!RegDeleteValueW                                                                                                                         00007ff92a203ef0 7 bytes JMP 00007ff927e602d0
.text   C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[5380] C:\Windows\system32\KERNEL32.DLL!RegSetValueExA                                                                                                                          00007ff92a203fe0 7 bytes JMP 00007ff927e60308
.text   C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[5380] C:\Windows\system32\KERNEL32.DLL!K32EnumProcessModulesEx                                                                                                                 00007ff92a2306c0 7 bytes JMP 00007ff927e601f0
.text   C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[5380] C:\Windows\system32\KERNEL32.DLL!K32GetMappedFileNameW                                                                                                                   00007ff92a230730 7 bytes JMP 00007ff927e60228
.text   C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[5380] C:\Windows\system32\KERNELBASE.dll!FreeLibrary                                                                                                                           00007ff927e721d0 5 bytes JMP 00007ff927e60180
.text   C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[5380] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW                                                                                                                      00007ff927e729d0 7 bytes JMP 00007ff927e600d8
.text   C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[5380] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW                                                                                                                    00007ff927e74310 5 bytes JMP 00007ff927e60110
.text   C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[5380] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW                                                                                                                        00007ff927e78c40 5 bytes JMP 00007ff927e60148
.text   C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[5380] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW                                                                                                                  00007ff927eeeb80 5 bytes JMP 00007ff927e601b8
.text   C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[5380] C:\Windows\system32\USER32.dll!CreateWindowExW                                                                                                                           00007ff9281d9920 10 bytes JMP 00007ff927e60458
.text   C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[5380] C:\Windows\system32\USER32.dll!EnumDisplayDevicesW                                                                                                                       00007ff9281e4430 5 bytes JMP 00007ff927e603e8
.text   C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[5380] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo                                                                                                                00007ff9281e44f0 1 byte JMP 00007ff927e60378
.text   C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[5380] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo + 2                                                                                                            00007ff9281e44f2 7 bytes {JMP 0xffffffffffc7be88}
.text   C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[5380] C:\Windows\system32\USER32.dll!EnumDisplayDevicesA                                                                                                                       00007ff9281f3b80 5 bytes JMP 00007ff927e603b0
.text   C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[5380] C:\Windows\system32\USER32.dll!ChangeDisplaySettingsExW                                                                                                                  00007ff9281f5cd0 5 bytes JMP 00007ff927e60420
.text   C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[5380] C:\Windows\SYSTEM32\combase.dll!CoCreateInstance                                                                                                                         00007ff92a46d050 7 bytes JMP 00007ff927e60500
.text   C:\Program Files\Synaptics\SynTP\SynTPEnh.exe[5380] C:\Windows\SYSTEM32\combase.dll!CoSetProxyBlanket                                                                                                                        00007ff92a49b160 5 bytes JMP 00007ff927e60538
.text   C:\Windows\system32\taskhostex.exe[572] C:\Windows\system32\KERNEL32.DLL!K32GetModuleInformation                                                                                                                             00007ff92a153e10 7 bytes JMP 00007ff927e60260
.text   C:\Windows\system32\taskhostex.exe[572] C:\Windows\system32\KERNEL32.DLL!RegQueryValueExW                                                                                                                                    00007ff92a153e20 7 bytes JMP 00007ff927e60298
.text   C:\Windows\system32\taskhostex.exe[572] C:\Windows\system32\KERNEL32.DLL!RegSetValueExW                                                                                                                                      00007ff92a2039b0 7 bytes JMP 00007ff927e60340
.text   C:\Windows\system32\taskhostex.exe[572] C:\Windows\system32\KERNEL32.DLL!RegDeleteValueW                                                                                                                                     00007ff92a203ef0 7 bytes JMP 00007ff927e602d0
.text   C:\Windows\system32\taskhostex.exe[572] C:\Windows\system32\KERNEL32.DLL!RegSetValueExA                                                                                                                                      00007ff92a203fe0 7 bytes JMP 00007ff927e60308
.text   C:\Windows\system32\taskhostex.exe[572] C:\Windows\system32\KERNEL32.DLL!K32EnumProcessModulesEx                                                                                                                             00007ff92a2306c0 7 bytes JMP 00007ff927e601f0
.text   C:\Windows\system32\taskhostex.exe[572] C:\Windows\system32\KERNEL32.DLL!K32GetMappedFileNameW                                                                                                                               00007ff92a230730 7 bytes JMP 00007ff927e60228
.text   C:\Windows\system32\taskhostex.exe[572] C:\Windows\system32\KERNELBASE.dll!FreeLibrary                                                                                                                                       00007ff927e721d0 5 bytes JMP 00007ff927e60180
.text   C:\Windows\system32\taskhostex.exe[572] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW                                                                                                                                  00007ff927e729d0 7 bytes JMP 00007ff927e600d8
.text   C:\Windows\system32\taskhostex.exe[572] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW                                                                                                                                00007ff927e74310 5 bytes JMP 00007ff927e60110
.text   C:\Windows\system32\taskhostex.exe[572] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW                                                                                                                                    00007ff927e78c40 5 bytes JMP 00007ff927e60148
.text   C:\Windows\system32\taskhostex.exe[572] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW                                                                                                                              00007ff927eeeb80 5 bytes JMP 00007ff927e601b8
.text   C:\Windows\system32\taskhostex.exe[572] C:\Windows\SYSTEM32\user32.dll!CreateWindowExW                                                                                                                                       00007ff9281d9920 10 bytes JMP 00007ff927e60458
.text   C:\Windows\system32\taskhostex.exe[572] C:\Windows\SYSTEM32\user32.dll!EnumDisplayDevicesW                                                                                                                                   00007ff9281e4430 5 bytes JMP 00007ff927e603e8
.text   C:\Windows\system32\taskhostex.exe[572] C:\Windows\SYSTEM32\user32.dll!DisplayConfigGetDeviceInfo                                                                                                                            00007ff9281e44f0 1 byte JMP 00007ff927e60378
.text   C:\Windows\system32\taskhostex.exe[572] C:\Windows\SYSTEM32\user32.dll!DisplayConfigGetDeviceInfo + 2                                                                                                                        00007ff9281e44f2 7 bytes {JMP 0xffffffffffc7be88}
.text   C:\Windows\system32\taskhostex.exe[572] C:\Windows\SYSTEM32\user32.dll!EnumDisplayDevicesA                                                                                                                                   00007ff9281f3b80 5 bytes JMP 00007ff927e603b0
.text   C:\Windows\system32\taskhostex.exe[572] C:\Windows\SYSTEM32\user32.dll!ChangeDisplaySettingsExW                                                                                                                              00007ff9281f5cd0 5 bytes JMP 00007ff927e60420
.text   C:\Windows\system32\taskhostex.exe[572] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList                                                                                                                               00007ff928361500 1 byte JMP 00007ff927e60490
.text   C:\Windows\system32\taskhostex.exe[572] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 2                                                                                                                           00007ff928361502 6 bytes {JMP 0xffffffffffafef90}
.text   C:\Windows\system32\taskhostex.exe[572] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo                                                                                                                                 00007ff928361750 8 bytes JMP 00007ff927e604c8
.text   C:\Windows\system32\igfxEM.exe[4844] C:\Windows\system32\KERNEL32.DLL!K32GetModuleInformation                                                                                                                                00007ff92a153e10 7 bytes JMP 00007ff927e60260
.text   C:\Windows\system32\igfxEM.exe[4844] C:\Windows\system32\KERNEL32.DLL!RegQueryValueExW                                                                                                                                       00007ff92a153e20 7 bytes JMP 00007ff927e60298
.text   C:\Windows\system32\igfxEM.exe[4844] C:\Windows\system32\KERNEL32.DLL!RegSetValueExW                                                                                                                                         00007ff92a2039b0 7 bytes JMP 00007ff927e60340
.text   C:\Windows\system32\igfxEM.exe[4844] C:\Windows\system32\KERNEL32.DLL!RegDeleteValueW                                                                                                                                        00007ff92a203ef0 7 bytes JMP 00007ff927e602d0
.text   C:\Windows\system32\igfxEM.exe[4844] C:\Windows\system32\KERNEL32.DLL!RegSetValueExA                                                                                                                                         00007ff92a203fe0 7 bytes JMP 00007ff927e60308
.text   C:\Windows\system32\igfxEM.exe[4844] C:\Windows\system32\KERNEL32.DLL!K32EnumProcessModulesEx                                                                                                                                00007ff92a2306c0 7 bytes JMP 00007ff927e601f0
.text   C:\Windows\system32\igfxEM.exe[4844] C:\Windows\system32\KERNEL32.DLL!K32GetMappedFileNameW                                                                                                                                  00007ff92a230730 7 bytes JMP 00007ff927e60228
.text   C:\Windows\system32\igfxEM.exe[4844] C:\Windows\system32\KERNELBASE.dll!FreeLibrary                                                                                                                                          00007ff927e721d0 5 bytes JMP 00007ff927e60180
.text   C:\Windows\system32\igfxEM.exe[4844] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW                                                                                                                                     00007ff927e729d0 7 bytes JMP 00007ff927e600d8
.text   C:\Windows\system32\igfxEM.exe[4844] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW                                                                                                                                   00007ff927e74310 5 bytes JMP 00007ff927e60110
.text   C:\Windows\system32\igfxEM.exe[4844] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW                                                                                                                                       00007ff927e78c40 5 bytes JMP 00007ff927e60148
.text   C:\Windows\system32\igfxEM.exe[4844] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW                                                                                                                                 00007ff927eeeb80 5 bytes JMP 00007ff927e601b8
.text   C:\Windows\system32\igfxEM.exe[4844] C:\Windows\system32\USER32.dll!CreateWindowExW                                                                                                                                          00007ff9281d9920 10 bytes JMP 00007ff927e60458
.text   C:\Windows\system32\igfxEM.exe[4844] C:\Windows\system32\USER32.dll!EnumDisplayDevicesW                                                                                                                                      00007ff9281e4430 5 bytes JMP 00007ff927e603e8
.text   C:\Windows\system32\igfxEM.exe[4844] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo                                                                                                                               00007ff9281e44f0 1 byte JMP 00007ff927e60378
.text   C:\Windows\system32\igfxEM.exe[4844] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo + 2                                                                                                                           00007ff9281e44f2 7 bytes {JMP 0xffffffffffc7be88}
.text   C:\Windows\system32\igfxEM.exe[4844] C:\Windows\system32\USER32.dll!EnumDisplayDevicesA                                                                                                                                      00007ff9281f3b80 5 bytes JMP 00007ff927e603b0
.text   C:\Windows\system32\igfxEM.exe[4844] C:\Windows\system32\USER32.dll!ChangeDisplaySettingsExW                                                                                                                                 00007ff9281f5cd0 5 bytes JMP 00007ff927e60420
.text   C:\Windows\system32\igfxEM.exe[4844] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList                                                                                                                                  00007ff928361500 1 byte JMP 00007ff927e60490
.text   C:\Windows\system32\igfxEM.exe[4844] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 2                                                                                                                              00007ff928361502 6 bytes {JMP 0xffffffffffafef90}
.text   C:\Windows\system32\igfxEM.exe[4844] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo                                                                                                                                    00007ff928361750 8 bytes JMP 00007ff927e604c8
.text   C:\Windows\system32\igfxEM.exe[4844] C:\Windows\SYSTEM32\combase.dll!CoCreateInstance                                                                                                                                        00007ff92a46d050 7 bytes JMP 00007ff927e60500
.text   C:\Windows\system32\igfxEM.exe[4844] C:\Windows\SYSTEM32\combase.dll!CoSetProxyBlanket                                                                                                                                       00007ff92a49b160 5 bytes JMP 00007ff927e60538
.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4560] C:\Windows\system32\KERNEL32.DLL!K32GetModuleInformation                                                                                                        00007ff92a153e10 7 bytes JMP 00007ff927e60260
.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4560] C:\Windows\system32\KERNEL32.DLL!RegQueryValueExW                                                                                                               00007ff92a153e20 7 bytes JMP 00007ff927e60298
.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4560] C:\Windows\system32\KERNEL32.DLL!RegSetValueExW                                                                                                                 00007ff92a2039b0 7 bytes JMP 00007ff927e60340
.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4560] C:\Windows\system32\KERNEL32.DLL!RegDeleteValueW                                                                                                                00007ff92a203ef0 7 bytes JMP 00007ff927e602d0
.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4560] C:\Windows\system32\KERNEL32.DLL!RegSetValueExA                                                                                                                 00007ff92a203fe0 7 bytes JMP 00007ff927e60308
.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4560] C:\Windows\system32\KERNEL32.DLL!K32EnumProcessModulesEx                                                                                                        00007ff92a2306c0 7 bytes JMP 00007ff927e601f0
.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4560] C:\Windows\system32\KERNEL32.DLL!K32GetMappedFileNameW                                                                                                          00007ff92a230730 7 bytes JMP 00007ff927e60228
.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4560] C:\Windows\system32\KERNELBASE.dll!FreeLibrary                                                                                                                  00007ff927e721d0 5 bytes JMP 00007ff927e60180
.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4560] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW                                                                                                             00007ff927e729d0 7 bytes JMP 00007ff927e600d8
.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4560] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW                                                                                                           00007ff927e74310 5 bytes JMP 00007ff927e60110
.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4560] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW                                                                                                               00007ff927e78c40 5 bytes JMP 00007ff927e60148
.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4560] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW                                                                                                         00007ff927eeeb80 5 bytes JMP 00007ff927e601b8
.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4560] C:\Windows\system32\USER32.dll!CreateWindowExW                                                                                                                  00007ff9281d9920 10 bytes JMP 00007ff927e60458
.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4560] C:\Windows\system32\USER32.dll!EnumDisplayDevicesW                                                                                                              00007ff9281e4430 5 bytes JMP 00007ff927e603e8
.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4560] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo                                                                                                       00007ff9281e44f0 1 byte JMP 00007ff927e60378
.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4560] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo + 2                                                                                                   00007ff9281e44f2 7 bytes {JMP 0xffffffffffc7be88}
.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4560] C:\Windows\system32\USER32.dll!EnumDisplayDevicesA                                                                                                              00007ff9281f3b80 5 bytes JMP 00007ff927e603b0
.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4560] C:\Windows\system32\USER32.dll!ChangeDisplaySettingsExW                                                                                                         00007ff9281f5cd0 5 bytes JMP 00007ff927e60420
.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4560] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList                                                                                                          00007ff928361500 1 byte JMP 00007ff927e60490
.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4560] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 2                                                                                                      00007ff928361502 6 bytes {JMP 0xffffffffffafef90}
.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4560] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo                                                                                                            00007ff928361750 8 bytes JMP 00007ff927e604c8
.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4560] C:\Windows\SYSTEM32\combase.dll!CoCreateInstance                                                                                                                00007ff92a46d050 7 bytes JMP 00007ff927e60500
.text   C:\Program Files\NVIDIA Corporation\Display\nvtray.exe[4560] C:\Windows\SYSTEM32\combase.dll!CoSetProxyBlanket                                                                                                               00007ff92a49b160 5 bytes JMP 00007ff927e60538
.text   C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[3316] C:\Windows\system32\KERNEL32.DLL!K32GetModuleInformation                                                                                                              00007ff92a153e10 7 bytes JMP 00007ff927e60260
.text   C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[3316] C:\Windows\system32\KERNEL32.DLL!RegQueryValueExW                                                                                                                     00007ff92a153e20 7 bytes JMP 00007ff927e60298
.text   C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[3316] C:\Windows\system32\KERNEL32.DLL!RegSetValueExW                                                                                                                       00007ff92a2039b0 7 bytes JMP 00007ff927e60340
.text   C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[3316] C:\Windows\system32\KERNEL32.DLL!RegDeleteValueW                                                                                                                      00007ff92a203ef0 7 bytes JMP 00007ff927e602d0
.text   C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[3316] C:\Windows\system32\KERNEL32.DLL!RegSetValueExA                                                                                                                       00007ff92a203fe0 7 bytes JMP 00007ff927e60308
.text   C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[3316] C:\Windows\system32\KERNEL32.DLL!K32EnumProcessModulesEx                                                                                                              00007ff92a2306c0 7 bytes JMP 00007ff927e601f0
.text   C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[3316] C:\Windows\system32\KERNEL32.DLL!K32GetMappedFileNameW                                                                                                                00007ff92a230730 7 bytes JMP 00007ff927e60228
.text   C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[3316] C:\Windows\system32\KERNELBASE.dll!FreeLibrary                                                                                                                        00007ff927e721d0 5 bytes JMP 00007ff927e60180
.text   C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[3316] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW                                                                                                                   00007ff927e729d0 7 bytes JMP 00007ff927e600d8
.text   C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[3316] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW                                                                                                                 00007ff927e74310 5 bytes JMP 00007ff927e60110
.text   C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[3316] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW                                                                                                                     00007ff927e78c40 5 bytes JMP 00007ff927e60148
.text   C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[3316] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW                                                                                                               00007ff927eeeb80 5 bytes JMP 00007ff927e601b8
.text   C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[3316] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList                                                                                                                00007ff928361500 1 byte JMP 00007ff927e60490
.text   C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[3316] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 2                                                                                                            00007ff928361502 6 bytes {JMP 0xffffffffffafef90}
.text   C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE[3316] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo                                                                                                                  00007ff928361750 8 bytes JMP 00007ff927e604c8
.text   C:\Windows\System\3DG4me.exe[5608] C:\Program Files (x86)\NVIDIA Corporation\CoProcManager\detoured.dll!Detoured + 3                                                                                                         00000000713b1003 2 bytes [3B, 71]
.text   C:\Windows\System\3DG4me.exe[5608] C:\Program Files (x86)\NVIDIA Corporation\CoProcManager\detoured.dll!Detoured + 22                                                                                                        00000000713b1016 2 bytes [3B, 71]
.text   C:\Program Files (x86)\SCM\SCM.exe[5412] C:\Windows\system32\KERNEL32.dll!K32GetModuleInformation                                                                                                                            00007ff92a153e10 7 bytes JMP 00007ff927e60260
.text   C:\Program Files (x86)\SCM\SCM.exe[5412] C:\Windows\system32\KERNEL32.dll!RegQueryValueExW                                                                                                                                   00007ff92a153e20 7 bytes JMP 00007ff927e60298
.text   C:\Program Files (x86)\SCM\SCM.exe[5412] C:\Windows\system32\KERNEL32.dll!RegSetValueExW                                                                                                                                     00007ff92a2039b0 7 bytes JMP 00007ff927e60340
.text   C:\Program Files (x86)\SCM\SCM.exe[5412] C:\Windows\system32\KERNEL32.dll!RegDeleteValueW                                                                                                                                    00007ff92a203ef0 7 bytes JMP 00007ff927e602d0
.text   C:\Program Files (x86)\SCM\SCM.exe[5412] C:\Windows\system32\KERNEL32.dll!RegSetValueExA                                                                                                                                     00007ff92a203fe0 7 bytes JMP 00007ff927e60308
.text   C:\Program Files (x86)\SCM\SCM.exe[5412] C:\Windows\system32\KERNEL32.dll!K32EnumProcessModulesEx                                                                                                                            00007ff92a2306c0 7 bytes JMP 00007ff927e601f0
.text   C:\Program Files (x86)\SCM\SCM.exe[5412] C:\Windows\system32\KERNEL32.dll!K32GetMappedFileNameW                                                                                                                              00007ff92a230730 7 bytes JMP 00007ff927e60228
.text   C:\Program Files (x86)\SCM\SCM.exe[5412] C:\Windows\system32\KERNELBASE.dll!FreeLibrary                                                                                                                                      00007ff927e721d0 5 bytes JMP 00007ff927e60180
.text   C:\Program Files (x86)\SCM\SCM.exe[5412] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW                                                                                                                                 00007ff927e729d0 7 bytes JMP 00007ff927e600d8
.text   C:\Program Files (x86)\SCM\SCM.exe[5412] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW                                                                                                                               00007ff927e74310 5 bytes JMP 00007ff927e60110
.text   C:\Program Files (x86)\SCM\SCM.exe[5412] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW                                                                                                                                   00007ff927e78c40 5 bytes JMP 00007ff927e60148
.text   C:\Program Files (x86)\SCM\SCM.exe[5412] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW                                                                                                                             00007ff927eeeb80 5 bytes JMP 00007ff927e601b8
.text   C:\Program Files (x86)\SCM\SCM.exe[5412] C:\Windows\system32\USER32.dll!CreateWindowExW      

.text   C:\Program Files (x86)\SCM\SCM.exe[5412] C:\Windows\system32\USER32.dll!EnumDisplayDevicesW                                                                                                                                  00007ff9281e4430 5 bytes JMP 00007ff927e603e8
.text   C:\Program Files (x86)\SCM\SCM.exe[5412] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo                                                                                                                           00007ff9281e44f0 1 byte JMP 00007ff927e60378
.text   C:\Program Files (x86)\SCM\SCM.exe[5412] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo + 2                                                                                                                       00007ff9281e44f2 7 bytes {JMP 0xffffffffffc7be88}
.text   C:\Program Files (x86)\SCM\SCM.exe[5412] C:\Windows\system32\USER32.dll!EnumDisplayDevicesA                                                                                                                                  00007ff9281f3b80 5 bytes JMP 00007ff927e603b0
.text   C:\Program Files (x86)\SCM\SCM.exe[5412] C:\Windows\system32\USER32.dll!ChangeDisplaySettingsExW                                                                                                                             00007ff9281f5cd0 5 bytes JMP 00007ff927e60420
.text   C:\Program Files (x86)\SCM\SCM.exe[5412] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList                                                                                                                              00007ff928361500 1 byte JMP 00007ff927e60490
.text   C:\Program Files (x86)\SCM\SCM.exe[5412] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 2                                                                                                                          00007ff928361502 6 bytes {JMP 0xffffffffffafef90}
.text   C:\Program Files (x86)\SCM\SCM.exe[5412] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo                                                                                                                                00007ff928361750 8 bytes JMP 00007ff927e604c8
.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[804] C:\Windows\system32\KERNEL32.DLL!K32GetModuleInformation                                                                                                                00007ff92a153e10 7 bytes JMP 00007ff927e60260
.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[804] C:\Windows\system32\KERNEL32.DLL!RegQueryValueExW                                                                                                                       00007ff92a153e20 7 bytes JMP 00007ff927e60298
.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[804] C:\Windows\system32\KERNEL32.DLL!RegSetValueExW                                                                                                                         00007ff92a2039b0 7 bytes JMP 00007ff927e60340
.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[804] C:\Windows\system32\KERNEL32.DLL!RegDeleteValueW                                                                                                                        00007ff92a203ef0 7 bytes JMP 00007ff927e602d0
.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[804] C:\Windows\system32\KERNEL32.DLL!RegSetValueExA                                                                                                                         00007ff92a203fe0 7 bytes JMP 00007ff927e60308
.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[804] C:\Windows\system32\KERNEL32.DLL!K32EnumProcessModulesEx                                                                                                                00007ff92a2306c0 7 bytes JMP 00007ff927e601f0
.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[804] C:\Windows\system32\KERNEL32.DLL!K32GetMappedFileNameW                                                                                                                  00007ff92a230730 7 bytes JMP 00007ff927e60228
.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[804] C:\Windows\system32\KERNELBASE.dll!FreeLibrary                                                                                                                          00007ff927e721d0 5 bytes JMP 00007ff927e60180
.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[804] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW                                                                                                                     00007ff927e729d0 7 bytes JMP 00007ff927e600d8
.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[804] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW                                                                                                                   00007ff927e74310 5 bytes JMP 00007ff927e60110
.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[804] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW                                                                                                                       00007ff927e78c40 5 bytes JMP 00007ff927e60148
.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[804] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW                                                                                                                 00007ff927eeeb80 5 bytes JMP 00007ff927e601b8
.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[804] C:\Windows\system32\USER32.dll!CreateWindowExW                                                                                                                          00007ff9281d9920 10 bytes JMP 00007ff927e60458
.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[804] C:\Windows\system32\USER32.dll!EnumDisplayDevicesW                                                                                                                      00007ff9281e4430 5 bytes JMP 00007ff927e603e8
.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[804] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo                                                                                                               00007ff9281e44f0 1 byte JMP 00007ff927e60378
.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[804] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo + 2                                                                                                           00007ff9281e44f2 7 bytes {JMP 0xffffffffffc7be88}
.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[804] C:\Windows\system32\USER32.dll!EnumDisplayDevicesA                                                                                                                      00007ff9281f3b80 5 bytes JMP 00007ff927e603b0
.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[804] C:\Windows\system32\USER32.dll!ChangeDisplaySettingsExW                                                                                                                 00007ff9281f5cd0 5 bytes JMP 00007ff927e60420
.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[804] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList                                                                                                                  00007ff928361500 1 byte JMP 00007ff927e60490
.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[804] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 2                                                                                                              00007ff928361502 6 bytes {JMP 0xffffffffffafef90}
.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[804] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo                                                                                                                    00007ff928361750 8 bytes JMP 00007ff927e604c8
.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[804] C:\Windows\SYSTEM32\combase.dll!CoCreateInstance                                                                                                                        00007ff92a46d050 7 bytes JMP 00007ff927e60500
.text   C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe[804] C:\Windows\SYSTEM32\combase.dll!CoSetProxyBlanket                                                                                                                       00007ff92a49b160 5 bytes JMP 00007ff927e60538
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePort                                                                                                                                   00007ff92a990760 5 bytes JMP 00007ff8aaac0480
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtQueryObject                                                                                                                                            00007ff92a9907b0 5 bytes JMP 00007ff8aaac0470
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                                                                                                                                            00007ff92a990910 5 bytes JMP 00007ff8aaac0360
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtReplyWaitReceivePortEx                                                                                                                                 00007ff92a990960 5 bytes JMP 00007ff8aaac0490
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateProcess                                                                                                                                       00007ff92a990970 5 bytes JMP 00007ff8aaac03d0
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSection                                                                                                                                            00007ff92a990a20 5 bytes JMP 00007ff8aaac0310
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtWriteVirtualMemory                                                                                                                                     00007ff92a990a50 5 bytes JMP 00007ff8aaac03a0
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtDuplicateObject                                                                                                                                        00007ff92a990a70 5 bytes JMP 00007ff8aaac0380
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEvent                                                                                                                                              00007ff92a990ab0 5 bytes JMP 00007ff8aaac02d0
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent                                                                                                                                            00007ff92a990b30 1 byte JMP 00007ff8aaac02c0
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEvent + 2                                                                                                                                        00007ff92a990b32 3 bytes {JMP 0xffffffff8012f790}
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSection                                                                                                                                          00007ff92a990b50 5 bytes JMP 00007ff8aaac0300
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThread                                                                                                                                           00007ff92a990b90 5 bytes JMP 00007ff8aaac03b0
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtResumeThread                                                                                                                                           00007ff92a990bd0 5 bytes JMP 00007ff8aaac0440
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtTerminateThread                                                                                                                                        00007ff92a990be0 5 bytes JMP 00007ff8aaac03e0
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtAddBootEntry                                                                                                                                           00007ff92a990d40 5 bytes JMP 00007ff8aaac0220
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtAlpcSendWaitReceivePort                                                                                                                                00007ff92a990f30 5 bytes JMP 00007ff8aaac04a0
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtAssignProcessToJobObject                                                                                                                               00007ff92a990f60 5 bytes JMP 00007ff8aaac0390
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtCreateEventPair                                                                                                                                        00007ff92a991080 5 bytes JMP 00007ff8aaac02e0
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtCreateIoCompletion                                                                                                                                     00007ff92a9910a0 5 bytes JMP 00007ff8aaac0340
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtCreateMutant                                                                                                                                           00007ff92a991110 5 bytes JMP 00007ff8aaac0280
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtCreateSemaphore                                                                                                                                        00007ff92a9911a0 5 bytes JMP 00007ff8aaac02a0
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtCreateThreadEx                                                                                                                                         00007ff92a9911c0 5 bytes JMP 00007ff8aaac03c0
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtCreateTimer                                                                                                                                            00007ff92a9911d0 5 bytes JMP 00007ff8aaac0320
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess                                                                                                                                     00007ff92a991280 1 byte JMP 00007ff8aaac0410
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtDebugActiveProcess + 2                                                                                                                                 00007ff92a991282 3 bytes {JMP 0xffffffff8012f190}
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtDeleteBootEntry                                                                                                                                        00007ff92a9912b0 5 bytes JMP 00007ff8aaac0230
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtGetContextThread                                                                                                                                       00007ff92a9914c0 5 bytes JMP 00007ff8aaac03f0
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtLoadDriver                                                                                                                                             00007ff92a9915d0 5 bytes JMP 00007ff8aaac01d0
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtModifyBootEntry                                                                                                                                        00007ff92a991690 5 bytes JMP 00007ff8aaac0240
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeKey                                                                                                                                        00007ff92a9916c0 5 bytes JMP 00007ff8aaac04b0
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtNotifyChangeMultipleKeys                                                                                                                               00007ff92a9916d0 5 bytes JMP 00007ff8aaac04c0
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtOpenEventPair                                                                                                                                          00007ff92a991700 5 bytes JMP 00007ff8aaac02f0
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtOpenIoCompletion                                                                                                                                       00007ff92a991710 5 bytes JMP 00007ff8aaac0350
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtOpenMutant                                                                                                                                             00007ff92a991770 5 bytes JMP 00007ff8aaac0290
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtOpenSemaphore                                                                                                                                          00007ff92a9917c0 5 bytes JMP 00007ff8aaac02b0
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                                                                                                                                             00007ff92a9917f0 5 bytes JMP 00007ff8aaac0370
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtOpenTimer                                                                                                                                              00007ff92a991800 5 bytes JMP 00007ff8aaac0330
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtQueueApcThreadEx                                                                                                                                       00007ff92a991b10 5 bytes JMP 00007ff8aaac0460
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtResumeProcess                                                                                                                                          00007ff92a991c70 5 bytes JMP 00007ff8aaac0420
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootEntryOrder                                                                                                                                      00007ff92a991d10 5 bytes JMP 00007ff8aaac0250
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtSetBootOptions                                                                                                                                         00007ff92a991d20 5 bytes JMP 00007ff8aaac0260
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtSetContextThread                                                                                                                                       00007ff92a991d40 5 bytes JMP 00007ff8aaac0400
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemInformation                                                                                                                                   00007ff92a991f20 5 bytes JMP 00007ff8aaac01e0
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtSetSystemPowerState                                                                                                                                    00007ff92a991f30 5 bytes JMP 00007ff8aaac0200
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtShutdownSystem                                                                                                                                         00007ff92a991fc0 5 bytes JMP 00007ff8aaac01f0
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendProcess                                                                                                                                         00007ff92a992030 5 bytes JMP 00007ff8aaac0430
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtSuspendThread                                                                                                                                          00007ff92a992040 5 bytes JMP 00007ff8aaac0450
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtSystemDebugControl                                                                                                                                     00007ff92a992050 5 bytes JMP 00007ff8aaac0210
.text   C:\Windows\System32\rundll32.exe[712] C:\Windows\SYSTEM32\ntdll.dll!NtVdmControl  

                                                                                                                                          00007ff92a992160 5 bytes JMP 00007ff8aaac0270
.text   C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe[5944] C:\Windows\system32\KERNEL32.DLL!K32GetModuleInformation                                                                                               00007ff92a153e10 7 bytes JMP 00007ff927e60260
.text   C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe[5944] C:\Windows\system32\KERNEL32.DLL!RegQueryValueExW                                                                                                      00007ff92a153e20 7 bytes JMP 00007ff927e60298
.text   C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe[5944] C:\Windows\system32\KERNEL32.DLL!RegSetValueExW                                                                                                        00007ff92a2039b0 7 bytes JMP 00007ff927e60340
.text   C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe[5944] C:\Windows\system32\KERNEL32.DLL!RegDeleteValueW                                                                                                       00007ff92a203ef0 7 bytes JMP 00007ff927e602d0
.text   C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe[5944] C:\Windows\system32\KERNEL32.DLL!RegSetValueExA                                                                                                        00007ff92a203fe0 7 bytes JMP 00007ff927e60308
.text   C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe[5944] C:\Windows\system32\KERNEL32.DLL!K32EnumProcessModulesEx                                                                                               00007ff92a2306c0 7 bytes JMP 00007ff927e601f0
.text   C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe[5944] C:\Windows\system32\KERNEL32.DLL!K32GetMappedFileNameW                                                                                                 00007ff92a230730 7 bytes JMP 00007ff927e60228
.text   C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe[5944] C:\Windows\system32\KERNELBASE.dll!FreeLibrary                                                                                                         00007ff927e721d0 5 bytes JMP 00007ff927e60180
.text   C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe[5944] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW                                                                                                    00007ff927e729d0 7 bytes JMP 00007ff927e600d8
.text   C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe[5944] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW                                                                                                  00007ff927e74310 5 bytes JMP 00007ff927e60110
.text   C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe[5944] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW                                                                                                      00007ff927e78c40 5 bytes JMP 00007ff927e60148
.text   C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe[5944] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW                                                                                                00007ff927eeeb80 5 bytes JMP 00007ff927e601b8
.text   C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe[5944] C:\Windows\system32\USER32.dll!CreateWindowExW                                                                                                         00007ff9281d9920 10 bytes JMP 00007ff927e60458
.text   C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe[5944] C:\Windows\system32\USER32.dll!EnumDisplayDevicesW                                                                                                     00007ff9281e4430 5 bytes JMP 00007ff927e603e8
.text   C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe[5944] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo                                                                                              00007ff9281e44f0 1 byte JMP 00007ff927e60378
.text   C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe[5944] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo + 2                                                                                          00007ff9281e44f2 7 bytes {JMP 0xffffffffffc7be88}
.text   C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe[5944] C:\Windows\system32\USER32.dll!EnumDisplayDevicesA                                                                                                     00007ff9281f3b80 5 bytes JMP 00007ff927e603b0
.text   C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe[5944] C:\Windows\system32\USER32.dll!ChangeDisplaySettingsExW                                                                                                00007ff9281f5cd0 5 bytes JMP 00007ff927e60420
.text   C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe[5944] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList                                                                                                 00007ff928361500 1 byte JMP 00007ff927e60490
.text   C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe[5944] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 2                                                                                             00007ff928361502 6 bytes {JMP 0xffffffffffafef90}
.text   C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe[5944] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo                                                                                                   00007ff928361750 8 bytes JMP 00007ff927e604c8
.text   C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe[5944] C:\Windows\SYSTEM32\combase.dll!CoCreateInstance                                                                                                       00007ff92a46d050 7 bytes JMP 00007ff927e60500
.text   C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe[5944] C:\Windows\SYSTEM32\combase.dll!CoSetProxyBlanket                                                                                                      00007ff92a49b160 5 bytes JMP 00007ff927e60538
.text   C:\Windows\system32\GWX\GWX.exe[6800] C:\Windows\system32\KERNEL32.DLL!K32GetModuleInformation                                                                                                                               00007ff92a153e10 7 bytes JMP 00007ff927bf0260
.text   C:\Windows\system32\GWX\GWX.exe[6800] C:\Windows\system32\KERNEL32.DLL!RegQueryValueExW                                                                                                                                      00007ff92a153e20 7 bytes JMP 00007ff927bf0298
.text   C:\Windows\system32\GWX\GWX.exe[6800] C:\Windows\system32\KERNEL32.DLL!RegSetValueExW                                                                                                                                        00007ff92a2039b0 7 bytes JMP 00007ff927bf0340
.text   C:\Windows\system32\GWX\GWX.exe[6800] C:\Windows\system32\KERNEL32.DLL!RegDeleteValueW                                                                                                                                       00007ff92a203ef0 7 bytes JMP 00007ff927bf02d0
.text   C:\Windows\system32\GWX\GWX.exe[6800] C:\Windows\system32\KERNEL32.DLL!RegSetValueExA                                                                                                                                        00007ff92a203fe0 7 bytes JMP 00007ff927bf0308
.text   C:\Windows\system32\GWX\GWX.exe[6800] C:\Windows\system32\KERNEL32.DLL!K32EnumProcessModulesEx                                                                                                                               00007ff92a2306c0 7 bytes JMP 00007ff927bf01f0
.text   C:\Windows\system32\GWX\GWX.exe[6800] C:\Windows\system32\KERNEL32.DLL!K32GetMappedFileNameW                                                                                                                                 00007ff92a230730 7 bytes JMP 00007ff927bf0228
.text   C:\Windows\system32\GWX\GWX.exe[6800] C:\Windows\system32\KERNELBASE.dll!FreeLibrary                                                                                                                                         00007ff927e721d0 5 bytes JMP 00007ff927bf0180
.text   C:\Windows\system32\GWX\GWX.exe[6800] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW                                                                                                                                    00007ff927e729d0 7 bytes JMP 00007ff927bf00d8
.text   C:\Windows\system32\GWX\GWX.exe[6800] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW                                                                                                                                  00007ff927e74310 5 bytes JMP 00007ff927bf0110
.text   C:\Windows\system32\GWX\GWX.exe[6800] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW                                                                                                                                      00007ff927e78c40 5 bytes JMP 00007ff927bf0148
.text   C:\Windows\system32\GWX\GWX.exe[6800] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW                                                                                                                                00007ff927eeeb80 5 bytes JMP 00007ff927bf01b8
.text   C:\Windows\system32\GWX\GWX.exe[6800] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList                                                                                                                                 00007ff928361500 1 byte JMP 00007ff927bf0490
.text   C:\Windows\system32\GWX\GWX.exe[6800] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 2                                                                                                                             00007ff928361502 6 bytes {JMP 0xffffffffff88ef90}
.text   C:\Windows\system32\GWX\GWX.exe[6800] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo                                                                                                                                   00007ff928361750 8 bytes JMP 00007ff927bf04c8
.text   C:\Windows\system32\GWX\GWX.exe[6800] C:\Windows\SYSTEM32\combase.dll!CoCreateInstance                                                                                                                                       00007ff92a46d050 7 bytes JMP 00007ff927bf0500
.text   C:\Windows\system32\GWX\GWX.exe[6800] C:\Windows\SYSTEM32\combase.dll!CoSetProxyBlanket                                                                                                                                      00007ff92a49b160 5 bytes JMP 00007ff927bf0538
.text   C:\Windows\system32\wbem\unsecapp.exe[7084] C:\Windows\system32\KERNEL32.DLL!K32GetModuleInformation                                                                                                                         00007ff92a153e10 7 bytes JMP 00007ff927e60260
.text   C:\Windows\system32\wbem\unsecapp.exe[7084] C:\Windows\system32\KERNEL32.DLL!RegQueryValueExW                                                                                                                                00007ff92a153e20 7 bytes JMP 00007ff927e60298
.text   C:\Windows\system32\wbem\unsecapp.exe[7084] C:\Windows\system32\KERNEL32.DLL!RegSetValueExW                                                                                                                                  00007ff92a2039b0 7 bytes JMP 00007ff927e60340
.text   C:\Windows\system32\wbem\unsecapp.exe[7084] C:\Windows\system32\KERNEL32.DLL!RegDeleteValueW                                                                                                                                 00007ff92a203ef0 7 bytes JMP 00007ff927e602d0
.text   C:\Windows\system32\wbem\unsecapp.exe[7084] C:\Windows\system32\KERNEL32.DLL!RegSetValueExA                                                                                                                                  00007ff92a203fe0 7 bytes JMP 00007ff927e60308
.text   C:\Windows\system32\wbem\unsecapp.exe[7084] C:\Windows\system32\KERNEL32.DLL!K32EnumProcessModulesEx                                                                                                                         00007ff92a2306c0 7 bytes JMP 00007ff927e601f0
.text   C:\Windows\system32\wbem\unsecapp.exe[7084] C:\Windows\system32\KERNEL32.DLL!K32GetMappedFileNameW                                                                                                                           00007ff92a230730 7 bytes JMP 00007ff927e60228
.text   C:\Windows\system32\wbem\unsecapp.exe[7084] C:\Windows\system32\KERNELBASE.dll!FreeLibrary                                                                                                                                   00007ff927e721d0 5 bytes JMP 00007ff927e60180
.text   C:\Windows\system32\wbem\unsecapp.exe[7084] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW                                                                                                                              00007ff927e729d0 7 bytes JMP 00007ff927e600d8
.text   C:\Windows\system32\wbem\unsecapp.exe[7084] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW                                                                                                                            00007ff927e74310 5 bytes JMP 00007ff927e60110
.text   C:\Windows\system32\wbem\unsecapp.exe[7084] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW                                                                                                                                00007ff927e78c40 5 bytes JMP 00007ff927e60148
.text   C:\Windows\system32\wbem\unsecapp.exe[7084] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW                                                                                                                          00007ff927eeeb80 5 bytes JMP 00007ff927e601b8
.text   C:\Windows\system32\wbem\unsecapp.exe[7084] C:\Windows\SYSTEM32\user32.dll!CreateWindowExW                                                                                                                                   00007ff9281d9920 10 bytes JMP 00007ff927e60458
.text   C:\Windows\system32\wbem\unsecapp.exe[7084] C:\Windows\SYSTEM32\user32.dll!EnumDisplayDevicesW                                                                                                                               00007ff9281e4430 5 bytes JMP 00007ff927e603e8
.text   C:\Windows\system32\wbem\unsecapp.exe[7084] C:\Windows\SYSTEM32\user32.dll!DisplayConfigGetDeviceInfo                                                                                                                        00007ff9281e44f0 1 byte JMP 00007ff927e60378
.text   C:\Windows\system32\wbem\unsecapp.exe[7084] C:\Windows\SYSTEM32\user32.dll!DisplayConfigGetDeviceInfo + 2                                                                                                                    00007ff9281e44f2 7 bytes {JMP 0xffffffffffc7be88}
.text   C:\Windows\system32\wbem\unsecapp.exe[7084] C:\Windows\SYSTEM32\user32.dll!EnumDisplayDevicesA                                                                                                                               00007ff9281f3b80 5 bytes JMP 00007ff927e603b0
.text   C:\Windows\system32\wbem\unsecapp.exe[7084] C:\Windows\SYSTEM32\user32.dll!ChangeDisplaySettingsExW                                                                                                                          00007ff9281f5cd0 5 bytes JMP 00007ff927e60420
.text   C:\Windows\system32\wbem\unsecapp.exe[7084] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList 

                                                                                                                           00007ff928361500 1 byte JMP 00007ff927e60490
.text   C:\Windows\system32\wbem\unsecapp.exe[7084] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 2                                                                                                                       00007ff928361502 6 bytes {JMP 0xffffffffffafef90}
.text   C:\Windows\system32\wbem\unsecapp.exe[7084] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo                                                                                                                             00007ff928361750 8 bytes JMP 00007ff927e604c8
.text   C:\Program Files\SteelSeries\SteelSeries Engine\SteelSeriesEngine.exe[6672] C:\Windows\system32\KERNEL32.dll!K32GetModuleInformation                                                                                         00007ff92a153e10 7 bytes JMP 00007ff927e60260
.text   C:\Program Files\SteelSeries\SteelSeries Engine\SteelSeriesEngine.exe[6672] C:\Windows\system32\KERNEL32.dll!RegQueryValueExW                                                                                                00007ff92a153e20 7 bytes JMP 00007ff927e60298
.text   C:\Program Files\SteelSeries\SteelSeries Engine\SteelSeriesEngine.exe[6672] C:\Windows\system32\KERNEL32.dll!RegSetValueExW                                                                                                  00007ff92a2039b0 7 bytes JMP 00007ff927e60340
.text   C:\Program Files\SteelSeries\SteelSeries Engine\SteelSeriesEngine.exe[6672] C:\Windows\system32\KERNEL32.dll!RegDeleteValueW                                                                                                 00007ff92a203ef0 7 bytes JMP 00007ff927e602d0
.text   C:\Program Files\SteelSeries\SteelSeries Engine\SteelSeriesEngine.exe[6672] C:\Windows\system32\KERNEL32.dll!RegSetValueExA                                                                                                  00007ff92a203fe0 7 bytes JMP 00007ff927e60308
.text   C:\Program Files\SteelSeries\SteelSeries Engine\SteelSeriesEngine.exe[6672] C:\Windows\system32\KERNEL32.dll!K32EnumProcessModulesEx                                                                                         00007ff92a2306c0 7 bytes JMP 00007ff927e601f0
.text   C:\Program Files\SteelSeries\SteelSeries Engine\SteelSeriesEngine.exe[6672] C:\Windows\system32\KERNEL32.dll!K32GetMappedFileNameW                                                                                           00007ff92a230730 7 bytes JMP 00007ff927e60228
.text   C:\Program Files\SteelSeries\SteelSeries Engine\SteelSeriesEngine.exe[6672] C:\Windows\system32\KERNELBASE.dll!FreeLibrary                                                                                                   00007ff927e721d0 5 bytes JMP 00007ff927e60180
.text   C:\Program Files\SteelSeries\SteelSeries Engine\SteelSeriesEngine.exe[6672] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW                                                                                              00007ff927e729d0 7 bytes JMP 00007ff927e600d8
.text   C:\Program Files\SteelSeries\SteelSeries Engine\SteelSeriesEngine.exe[6672] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW                                                                                            00007ff927e74310 5 bytes JMP 00007ff927e60110
.text   C:\Program Files\SteelSeries\SteelSeries Engine\SteelSeriesEngine.exe[6672] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW                                                                                                00007ff927e78c40 5 bytes JMP 00007ff927e60148
.text   C:\Program Files\SteelSeries\SteelSeries Engine\SteelSeriesEngine.exe[6672] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW                                                                                          00007ff927eeeb80 5 bytes JMP 00007ff927e601b8
.text   C:\Program Files\SteelSeries\SteelSeries Engine\SteelSeriesEngine.exe[6672] C:\Windows\system32\USER32.dll!CreateWindowExW                                                                                                   00007ff9281d9920 10 bytes JMP 00007ff927e60458
.text   C:\Program Files\SteelSeries\SteelSeries Engine\SteelSeriesEngine.exe[6672] C:\Windows\system32\USER32.dll!EnumDisplayDevicesW                                                                                               00007ff9281e4430 5 bytes JMP 00007ff927e603e8
.text   C:\Program Files\SteelSeries\SteelSeries Engine\SteelSeriesEngine.exe[6672] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo                                                                                        00007ff9281e44f0 1 byte JMP 00007ff927e60378
.text   C:\Program Files\SteelSeries\SteelSeries Engine\SteelSeriesEngine.exe[6672] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo + 2                                                                                    00007ff9281e44f2 7 bytes {JMP 0xffffffffffc7be88}
.text   C:\Program Files\SteelSeries\SteelSeries Engine\SteelSeriesEngine.exe[6672] C:\Windows\system32\USER32.dll!EnumDisplayDevicesA                                                                                               00007ff9281f3b80 5 bytes JMP 00007ff927e603b0
.text   C:\Program Files\SteelSeries\SteelSeries Engine\SteelSeriesEngine.exe[6672] C:\Windows\system32\USER32.dll!ChangeDisplaySettingsExW                                                                                          00007ff9281f5cd0 5 bytes JMP 00007ff927e60420
.text   C:\Program Files\SteelSeries\SteelSeries Engine\SteelSeriesEngine.exe[6672] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList                                                                                           00007ff928361500 1 byte JMP 00007ff927e60490
.text   C:\Program Files\SteelSeries\SteelSeries Engine\SteelSeriesEngine.exe[6672] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 2                                                                                       00007ff928361502 6 bytes {JMP 0xffffffffffafef90}
.text   C:\Program Files\SteelSeries\SteelSeries Engine\SteelSeriesEngine.exe[6672] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo                                                                                             00007ff928361750 8 bytes JMP 00007ff927e604c8
.text   C:\Program Files (x86)\MSI\Dragon Gaming Center\Dragon Gaming Center.exe[5516] C:\Windows\system32\KERNEL32.dll!K32GetModuleInformation                                                                                      00007ff92a153e10 7 bytes JMP 00007ff927e60260
.text   C:\Program Files (x86)\MSI\Dragon Gaming Center\Dragon Gaming Center.exe[5516] C:\Windows\system32\KERNEL32.dll!RegQueryValueExW                                                                                             00007ff92a153e20 7 bytes JMP 00007ff927e60298
.text   C:\Program Files (x86)\MSI\Dragon Gaming Center\Dragon Gaming Center.exe[5516] C:\Windows\system32\KERNEL32.dll!RegSetValueExW                                                                                               00007ff92a2039b0 7 bytes JMP 00007ff927e60340
.text   C:\Program Files (x86)\MSI\Dragon Gaming Center\Dragon Gaming Center.exe[5516] C:\Windows\system32\KERNEL32.dll!RegDeleteValueW                                                                                              00007ff92a203ef0 7 bytes JMP 00007ff927e602d0
.text   C:\Program Files (x86)\MSI\Dragon Gaming Center\Dragon Gaming Center.exe[5516] C:\Windows\system32\KERNEL32.dll!RegSetValueExA                                                                                               00007ff92a203fe0 7 bytes JMP 00007ff927e60308
.text   C:\Program Files (x86)\MSI\Dragon Gaming Center\Dragon Gaming Center.exe[5516] C:\Windows\system32\KERNEL32.dll!K32EnumProcessModulesEx                                                                                      00007ff92a2306c0 7 bytes JMP 00007ff927e601f0
.text   C:\Program Files (x86)\MSI\Dragon Gaming Center\Dragon Gaming Center.exe[5516] C:\Windows\system32\KERNEL32.dll!K32GetMappedFileNameW                                                                                        00007ff92a230730 7 bytes JMP 00007ff927e60228
.text   C:\Program Files (x86)\MSI\Dragon Gaming Center\Dragon Gaming Center.exe[5516] C:\Windows\system32\KERNELBASE.dll!FreeLibrary                                                                                                00007ff927e721d0 5 bytes JMP 00007ff927e60180
.text   C:\Program Files (x86)\MSI\Dragon Gaming Center\Dragon Gaming Center.exe[5516] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW                                                                                           00007ff927e729d0 7 bytes JMP 00007ff927e600d8
.text   C:\Program Files (x86)\MSI\Dragon Gaming Center\Dragon Gaming Center.exe[5516] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW                                                                                         00007ff927e74310 5 bytes JMP 00007ff927e60110
.text   C:\Program Files (x86)\MSI\Dragon Gaming Center\Dragon Gaming Center.exe[5516] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW                                                                                             00007ff927e78c40 5 bytes JMP 00007ff927e60148
.text   C:\Program Files (x86)\MSI\Dragon Gaming Center\Dragon Gaming Center.exe[5516] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW                                                                                       00007ff927eeeb80 5 bytes JMP 00007ff927e601b8
.text   C:\Program Files (x86)\MSI\Dragon Gaming Center\Dragon Gaming Center.exe[5516] C:\Windows\system32\USER32.dll!CreateWindowExW                                                                                                00007ff9281d9920 10 bytes JMP 00007ff927e60458
.text   C:\Program Files (x86)\MSI\Dragon Gaming Center\Dragon Gaming Center.exe[5516] C:\Windows\system32\USER32.dll!EnumDisplayDevicesW                                                                                            00007ff9281e4430 5 bytes JMP 00007ff927e603e8
.text   C:\Program Files (x86)\MSI\Dragon Gaming Center\Dragon Gaming Center.exe[5516] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo                                                                                     00007ff9281e44f0 1 byte JMP 00007ff927e60378
.text   C:\Program Files (x86)\MSI\Dragon Gaming Center\Dragon Gaming Center.exe[5516] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo + 2                                                                                 00007ff9281e44f2 7 bytes {JMP 0xffffffffffc7be88}
.text   C:\Program Files (x86)\MSI\Dragon Gaming Center\Dragon Gaming Center.exe[5516] C:\Windows\system32\USER32.dll!EnumDisplayDevicesA                                                                                            00007ff9281f3b80 5 bytes JMP 00007ff927e603b0
.text   C:\Program Files (x86)\MSI\Dragon Gaming Center\Dragon Gaming Center.exe[5516] C:\Windows\system32\USER32.dll!ChangeDisplaySettingsExW                                                                                       00007ff9281f5cd0 5 bytes JMP 00007ff927e60420
.text   C:\Program Files (x86)\MSI\Dragon Gaming Center\Dragon Gaming Center.exe[5516] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList                                                                                        00007ff928361500 1 byte JMP 00007ff927e60490
.text   C:\Program Files (x86)\MSI\Dragon Gaming Center\Dragon Gaming Center.exe[5516] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 2                                                                                    00007ff928361502 6 bytes {JMP 0xffffffffffafef90}
.text   C:\Program Files (x86)\MSI\Dragon Gaming Center\Dragon Gaming Center.exe[5516] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo                                                                                          00007ff928361750 8 bytes JMP 00007ff927e604c8
.text   C:\Program Files (x86)\Creative\Sound Blaster Cinema\Sound Blaster Cinema\SBCinema.exe[5396] C:\Program Files (x86)\NVIDIA Corporation\CoProcManager\detoured.dll!Detoured + 3                                               00000000713b1003 2 bytes [3B, 71]
.text   C:\Program Files (x86)\Creative\Sound Blaster Cinema\Sound Blaster Cinema\SBCinema.exe[5396] C:\Program Files (x86)\NVIDIA Corporation\CoProcManager\detoured.dll!Detoured + 22                                              00000000713b1016 2 bytes [3B, 71]
.text   C:\Program Files (x86)\MSI\SUPER CHARGER\SUPER CHARGER.exe[2608] C:\Program Files (x86)\NVIDIA Corporation\CoProcManager\detoured.dll!Detoured + 3                                                                           00000000713b1003 2 bytes [3B, 71]
.text   C:\Program Files (x86)\MSI\SUPER CHARGER\SUPER CHARGER.exe[2608] C:\Program Files (x86)\NVIDIA Corporation\CoProcManager\detoured.dll!Detoured + 22                                                                          00000000713b1016 2 bytes [3B, 71]
.text   C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe[772] C:\Windows\system32\KERNEL32.DLL!K32GetModuleInformation                                                                                          00007ff92a153e10 7 bytes JMP 00007ff927e60260
.text   C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe[772] C:\Windows\system32\KERNEL32.DLL!RegQueryValueExW                                                                                                 00007ff92a153e20 7 bytes JMP 00007ff927e60298
.text   C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe[772] C:\Windows\system32\KERNEL32.DLL!RegSetValueExW                                                                                                   00007ff92a2039b0 7 bytes JMP 00007ff927e60340
.text   C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe[772] C:\Windows\system32\KERNEL32.DLL!RegDeleteValueW                                                                                                  00007ff92a203ef0 7 bytes JMP 00007ff927e602d0
.text   C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe[772] C:\Windows\system32\KERNEL32.DLL!RegSetValueExA                                                                                                   00007ff92a203fe0 7 bytes JMP 00007ff927e60308
.text   C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe[772] C:\Windows\system32\KERNEL32.DLL!K32EnumProcessModulesEx                                                                                          00007ff92a2306c0 7 bytes JMP 00007ff927e601f0
.text   C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe[772] C:\Windows\system32\KERNEL32.DLL!K32GetMappedFileNameW                                                                                            00007ff92a230730 7 bytes JMP 00007ff927e60228
.text   C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe[772] C:\Windows\system32\KERNELBASE.dll!FreeLibrary                                                                                                    00007ff927e721d0 5 bytes JMP 00007ff927e60180
.text   C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe[772] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW                                                                                               00007ff927e729d0 7 bytes JMP 00007ff927e600d8
.text   C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe[772] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW                                                                                             00007ff927e74310 5 bytes JMP 00007ff927e60110
.text   C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe[772] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW                                                                                                 00007ff927e78c40 5 bytes JMP 00007ff927e60148
.text   C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe[772] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW                                                                                           00007ff927eeeb80 5 bytes JMP 00007ff927e601b8
.text   C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe[772] C:\Windows\system32\USER32.dll!CreateWindowExW                                                                                                    00007ff9281d9920 10 bytes JMP 00007ff927e60458
.text   C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe[772] C:\Windows\system32\USER32.dll!EnumDisplayDevicesW                                                                                                00007ff9281e4430 5 bytes JMP 00007ff927e603e8
.text   C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe[772] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo                                                                                         00007ff9281e44f0 1 byte JMP 00007ff927e60378
.text   C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe[772] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo + 2                                                                                     00007ff9281e44f2 7 bytes {JMP 0xffffffffffc7be88}
.text   C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe[772] C:\Windows\system32\USER32.dll!EnumDisplayDevicesA                                                                                                00007ff9281f3b80 5 bytes JMP 00007ff927e603b0
.text   C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe[772] C:\Windows\system32\USER32.dll!ChangeDisplaySettingsExW                                                                                           00007ff9281f5cd0 5 bytes JMP 00007ff927e60420
.text   C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe[772] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList                                                                                            00007ff928361500 1 byte JMP 00007ff927e60490
.text   C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe[772] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 2                                                                                        00007ff928361502 6 bytes {JMP 0xffffffffffafef90}
.text   C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe[772] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo                                                                                              00007ff928361750 8 bytes JMP 00007ff927e604c8
.text   C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe[772] C:\Windows\SYSTEM32\d3d9.dll!Direct3DCreate9Ex                                                                                                    00007ff910f8ead0 5 bytes JMP 00007ff927e605a8
.text   C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe[772] C:\Windows\SYSTEM32\d3d9.dll!Direct3DCreate9                                                                                                      00007ff910fbeb90 6 bytes JMP 00007ff927e60570
.text   C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe[772] C:\Windows\SYSTEM32\combase.dll!CoCreateInstance                                                                                                  00007ff92a46d050 7 bytes JMP 00007ff927e60500
.text   C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe[772] C:\Windows\SYSTEM32\combase.dll!CoSetProxyBlanket                                                                                                 00007ff92a49b160 5 bytes JMP 00007ff927e60538
.text   C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe[772] C:\Windows\SYSTEM32\dxgi.dll!CreateDXGIFactory                                                                                                    00007ff924877750 5 bytes JMP 00007ff9248600d8
.text   C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe[772] C:\Windows\SYSTEM32\dxgi.dll!CreateDXGIFactory1                                                                                                   00007ff924878ee0 5 bytes JMP 00007ff924860110
.text   C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe[772] C:\Windows\SYSTEM32\dxgi.dll!CreateDXGIFactory2                                                                                                   00007ff92487c650 5 bytes JMP 00007ff924860148
.text   C:\Program Files (x86)\Steam\Steam.exe[6120] C:\Program Files (x86)\NVIDIA Corporation\CoProcManager\detoured.dll!Detoured + 3                                                                                               00000000713b1003 2 bytes [3B, 71]
.text   C:\Program Files (x86)\Steam\Steam.exe[6120] C:\Program Files (x86)\NVIDIA Corporation\CoProcManager\detoured.dll!Detoured + 22                                                                                              00000000713b1016 2 bytes [3B, 71]
.text   C:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe[6068] C:\Program Files (x86)\NVIDIA Corporation\CoProcManager\detoured.dll!Detoured + 3                                                              00000000713b1003 2 bytes [3B, 71]
.text   C:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe[6068] C:\Program Files (x86)\NVIDIA Corporation\CoProcManager\detoured.dll!Detoured + 22                                                             00000000713b1016 2 bytes [3B, 71]
.text   C:\Windows\SysWOW64\ctfmon.exe[3544] C:\Program Files (x86)\NVIDIA Corporation\CoProcManager\detoured.dll!Detoured + 3                                                                                                       00000000713b1003 2 bytes [3B, 71]
.text   C:\Windows\SysWOW64\ctfmon.exe[3544] C:\Program Files (x86)\NVIDIA Corporation\CoProcManager\detoured.dll!Detoured + 22                                                                                                      00000000713b1016 2 bytes [3B, 71]
.text   C:\Program Files\RogueKiller\RogueKiller64.exe[1428] C:\Windows\system32\KERNEL32.DLL!K32GetModuleInformation                                                                                                                00007ff92a153e10 7 bytes JMP 00007ff927bf0260
.text   C:\Program Files\RogueKiller\RogueKiller64.exe[1428] C:\Windows\system32\KERNEL32.DLL!RegQueryValueExW                                                                                                                       00007ff92a153e20 7 bytes JMP 00007ff927bf0298
.text   C:\Program Files\RogueKiller\RogueKiller64.exe[1428] C:\Windows\system32\KERNEL32.DLL!RegSetValueExW                                                                                                                         00007ff92a2039b0 7 bytes JMP 00007ff927bf0340
.text   C:\Program Files\RogueKiller\RogueKiller64.exe[1428] C:\Windows\system32\KERNEL32.DLL!RegDeleteValueW                                                                                                                        00007ff92a203ef0 7 bytes JMP 00007ff927bf02d0
.text   C:\Program Files\RogueKiller\RogueKiller64.exe[1428] C:\Windows\system32\KERNEL32.DLL!RegSetValueExA                                                                                                                         00007ff92a203fe0 7 bytes JMP 00007ff927bf0308
.text   C:\Program Files\RogueKiller\RogueKiller64.exe[1428] C:\Windows\system32\KERNEL32.DLL!K32EnumProcessModulesEx                                                                                                                00007ff92a2306c0 7 bytes JMP 00007ff927bf01f0
.text   C:\Program Files\RogueKiller\RogueKiller64.exe[1428] C:\Windows\system32\KERNEL32.DLL!K32GetMappedFileNameW                                                                                                                  00007ff92a230730 7 bytes JMP 00007ff927bf0228
.text   C:\Program Files\RogueKiller\RogueKiller64.exe[1428] C:\Windows\system32\KERNELBASE.dll!FreeLibrary                                                                                                                          00007ff927e721d0 5 bytes JMP 00007ff927bf0180
.text   C:\Program Files\RogueKiller\RogueKiller64.exe[1428] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW                                                                                                                     00007ff927e729d0 7 bytes JMP 00007ff927bf00d8
.text   C:\Program Files\RogueKiller\RogueKiller64.exe[1428] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW                                                                                                                   00007ff927e74310 5 bytes JMP 00007ff927bf0110
.text   C:\Program Files\RogueKiller\RogueKiller64.exe[1428] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW                                                                                                                       00007ff927e78c40 5 bytes JMP 00007ff927bf0148
.text   C:\Program Files\RogueKiller\RogueKiller64.exe[1428] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW                                                                                                                 00007ff927eeeb80 5 bytes JMP 00007ff927bf01b8
.text   C:\Program Files\RogueKiller\RogueKiller64.exe[1428] C:\Windows\system32\USER32.dll!EnumDisplayDevicesW                                                                                                                      00007ff9281e4430 5 bytes JMP 00007ff927bf03e8
.text   C:\Program Files\RogueKiller\RogueKiller64.exe[1428] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo                                                                                                               00007ff9281e44f0 1 byte JMP 00007ff927bf0378
.text   C:\Program Files\RogueKiller\RogueKiller64.exe[1428] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo + 2                                                                                                           00007ff9281e44f2 7 bytes {JMP 0xffffffffffa0be88}
.text   C:\Program Files\RogueKiller\RogueKiller64.exe[1428] C:\Windows\system32\USER32.dll!EnumDisplayDevicesA                                                                                                                      00007ff9281f3b80 5 bytes JMP 00007ff927bf03b0
.text   C:\Program Files\RogueKiller\RogueKiller64.exe[1428] C:\Windows\system32\USER32.dll!ChangeDisplaySettingsExW                                                                                                                 00007ff9281f5cd0 5 bytes JMP 00007ff927bf0420
.text   C:\Program Files\RogueKiller\RogueKiller64.exe[1428] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList                                                                                                                  00007ff928361500 1 byte JMP 00007ff927bf0490
.text   C:\Program Files\RogueKiller\RogueKiller64.exe[1428] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 2                                                                                                              00007ff928361502 6 bytes {JMP 0xffffffffff88ef90}
.text   C:\Program Files\RogueKiller\RogueKiller64.exe[1428] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo                                                                                                                    00007ff928361750 8 bytes JMP 00007ff927bf04c8
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4912] C:\Windows\system32\KERNEL32.dll!K32GetModuleInformation                                                                                                   00007ff92a153e10 7 bytes JMP 00007ff927e60260
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4912] C:\Windows\system32\KERNEL32.dll!RegQueryValueExW                                                                                                          00007ff92a153e20 7 bytes JMP 00007ff927e60298
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4912] C:\Windows\system32\KERNEL32.dll!RegSetValueExW                                                                                                            00007ff92a2039b0 7 bytes JMP 00007ff927e60340
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4912] C:\Windows\system32\KERNEL32.dll!RegDeleteValueW                                                                                                           00007ff92a203ef0 7 bytes JMP 00007ff927e602d0
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4912] C:\Windows\system32\KERNEL32.dll!RegSetValueExA                                                                                                            00007ff92a203fe0 7 bytes JMP 00007ff927e60308
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4912] C:\Windows\system32\KERNEL32.dll!K32EnumProcessModulesEx                                                                                                   00007ff92a2306c0 7 bytes JMP 00007ff927e601f0
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4912] C:\Windows\system32\KERNEL32.dll!K32GetMappedFileNameW                                                                                                     00007ff92a230730 7 bytes JMP 00007ff927e60228
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4912] C:\Windows\system32\KERNELBASE.dll!FreeLibrary                                                                                                             00007ff927e721d0 5 bytes JMP 00007ff927e60180
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4912] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW                                                                                                        00007ff927e729d0 7 bytes JMP 00007ff927e600d8
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4912] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW                                                                                                      00007ff927e74310 5 bytes JMP 00007ff927e60110
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4912] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW                                                                                                          00007ff927e78c40 5 bytes JMP 00007ff927e60148
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4912] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW                                                                                                    00007ff927eeeb80 5 bytes JMP 00007ff927e601b8
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4912] C:\Windows\system32\USER32.dll!CreateWindowExW                                                                                                             00007ff9281d9920 10 bytes JMP 00007ff927e60458
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4912] C:\Windows\system32\USER32.dll!EnumDisplayDevicesW                                                                                                         00007ff9281e4430 5 bytes JMP 00007ff927e603e8
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4912] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo                                                                                                  00007ff9281e44f0 1 byte JMP 00007ff927e60378
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4912] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo + 2                                                                                              00007ff9281e44f2 7 bytes {JMP 0xffffffffffc7be88}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4912] C:\Windows\system32\USER32.dll!EnumDisplayDevicesA                                                                                                         00007ff9281f3b80 5 bytes JMP 00007ff927e603b0
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4912] C:\Windows\system32\USER32.dll!ChangeDisplaySettingsExW                                                                                                    00007ff9281f5cd0 5 bytes JMP 00007ff927e60420
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4912] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList                                                                                                     00007ff928361500 1 byte JMP 00007ff927e60490
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4912] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 2                                                                                                 00007ff928361502 6 bytes {JMP 0xffffffffffafef90}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[4912] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo                                                                                                       00007ff928361750 8 bytes JMP 00007ff927e604c8
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5992] C:\Windows\system32\KERNEL32.dll!K32GetModuleInformation                                                                                                   00007ff92a153e10 7 bytes JMP 00007ff927e60260
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5992] C:\Windows\system32\KERNEL32.dll!RegQueryValueExW                                                                                                          00007ff92a153e20 7 bytes JMP 00007ff927e60298
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5992] C:\Windows\system32\KERNEL32.dll!RegSetValueExW                                                                                                            00007ff92a2039b0 7 bytes JMP 00007ff927e60340
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5992] C:\Windows\system32\KERNEL32.dll!RegDeleteValueW                                                                                                           00007ff92a203ef0 7 bytes JMP 00007ff927e602d0
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5992] C:\Windows\system32\KERNEL32.dll!RegSetValueExA                                                                                                            00007ff92a203fe0 7 bytes JMP 00007ff927e60308
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5992] C:\Windows\system32\KERNEL32.dll!K32EnumProcessModulesEx                                                                                                   00007ff92a2306c0 7 bytes JMP 00007ff927e601f0
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5992] C:\Windows\system32\KERNEL32.dll!K32GetMappedFileNameW                                                                                                     00007ff92a230730 7 bytes JMP 00007ff927e60228
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5992] C:\Windows\system32\KERNELBASE.dll!FreeLibrary                                                                                                             00007ff927e721d0 5 bytes JMP 00007ff927e60180
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5992] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW                                                                                                        00007ff927e729d0 7 bytes JMP 00007ff927e600d8
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5992] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW                                                                                                      00007ff927e74310 5 bytes JMP 00007ff927e60110
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5992] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW                                                                                                          00007ff927e78c40 5 bytes JMP 00007ff927e60148
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5992] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW                                                                                                    00007ff927eeeb80 5 bytes JMP 00007ff927e601b8
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5992] C:\Windows\system32\USER32.dll!CreateWindowExW                                                                                                             00007ff9281d9920 10 bytes JMP 00007ff927e60458
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5992] C:\Windows\system32\USER32.dll!EnumDisplayDevicesW                                                                                                         00007ff9281e4430 5 bytes JMP 00007ff927e603e8
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5992] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo                                                                                                  00007ff9281e44f0 1 byte JMP 00007ff927e60378
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5992] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo + 2                                                                                              00007ff9281e44f2 7 bytes {JMP 0xffffffffffc7be88}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5992] C:\Windows\system32\USER32.dll!EnumDisplayDevicesA                                                                                                         00007ff9281f3b80 5 bytes JMP 00007ff927e603b0
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5992] C:\Windows\system32\USER32.dll!ChangeDisplaySettingsExW                                                                                                    00007ff9281f5cd0 5 bytes JMP 00007ff927e60420
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5992] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList                                                                                                     00007ff928361500 1 byte JMP 00007ff927e60490
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5992] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 2                                                                                                 00007ff928361502 6 bytes {JMP 0xffffffffffafef90}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[5992] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo                                                                                                       00007ff928361750 8 bytes JMP 00007ff927e604c8
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[6424] C:\Windows\system32\KERNEL32.dll!K32GetModuleInformation                                                                                                   00007ff92a153e10 7 bytes JMP 00007ff927e60260
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[6424] C:\Windows\system32\KERNEL32.dll!RegQueryValueExW                                                                                                          00007ff92a153e20 7 bytes JMP 00007ff927e60298
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[6424] C:\Windows\system32\KERNEL32.dll!RegSetValueExW                                                                                                            00007ff92a2039b0 7 bytes JMP 00007ff927e60340
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[6424] C:\Windows\system32\KERNEL32.dll!RegDeleteValueW                                                                                                           00007ff92a203ef0 7 bytes JMP 00007ff927e602d0
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[6424] C:\Windows\system32\KERNEL32.dll!RegSetValueExA                                                                                                            00007ff92a203fe0 7 bytes JMP 00007ff927e60308
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[6424] C:\Windows\system32\KERNEL32.dll!K32EnumProcessModulesEx                                                                                                   00007ff92a2306c0 7 bytes JMP 00007ff927e601f0
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[6424] C:\Windows\system32\KERNEL32.dll!K32GetMappedFileNameW                                                                                                     00007ff92a230730 7 bytes JMP 00007ff927e60228
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[6424] C:\Windows\system32\KERNELBASE.dll!FreeLibrary                                                                                                             00007ff927e721d0 5 bytes JMP 00007ff927e60180
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[6424] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW                                                                                                        00007ff927e729d0 7 bytes JMP 00007ff927e600d8
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[6424] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW                                                                                                      00007ff927e74310 5 bytes JMP 00007ff927e60110
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[6424] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW                                                                                                          00007ff927e78c40 5 bytes JMP 00007ff927e60148
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[6424] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW                                                                                                    00007ff927eeeb80 5 bytes JMP 00007ff927e601b8
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[6424] C:\Windows\system32\USER32.dll!CreateWindowExW                                                                                                             00007ff9281d9920 10 bytes JMP 00007ff927e60458
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[6424] C:\Windows\system32\USER32.dll!EnumDisplayDevicesW                                                                                                         00007ff9281e4430 5 bytes JMP 00007ff927e603e8
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[6424] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo                                                                                                  00007ff9281e44f0 1 byte JMP 00007ff927e60378
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[6424] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo + 2                                                                                              00007ff9281e44f2 7 bytes {JMP 0xffffffffffc7be88}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[6424] C:\Windows\system32\USER32.dll!EnumDisplayDevicesA                                                                                                         00007ff9281f3b80 5 bytes JMP 00007ff927e603b0
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[6424] C:\Windows\system32\USER32.dll!ChangeDisplaySettingsExW                                                                                                    00007ff9281f5cd0 5 bytes JMP 00007ff927e60420
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[6424] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList                                                                                                     00007ff928361500 1 byte JMP 00007ff927e60490
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[6424] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 2                                                                                                 00007ff928361502 6 bytes {JMP 0xffffffffffafef90}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[6424] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo                                                                                                       00007ff928361750 8 bytes JMP 00007ff927e604c8
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3752] C:\Windows\system32\KERNEL32.dll!K32GetModuleInformation                                                                                                   00007ff92a153e10 7 bytes JMP 00007ff927e60260
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3752] C:\Windows\system32\KERNEL32.dll!RegQueryValueExW                                                                                                          00007ff92a153e20 7 bytes JMP 00007ff927e60298
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3752] C:\Windows\system32\KERNEL32.dll!RegSetValueExW                                                                                                            00007ff92a2039b0 7 bytes JMP 00007ff927e60340
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3752] C:\Windows\system32\KERNEL32.dll!RegDeleteValueW                                                                                                           00007ff92a203ef0 7 bytes JMP 00007ff927e602d0
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3752] C:\Windows\system32\KERNEL32.dll!RegSetValueExA                                                                                                            00007ff92a203fe0 7 bytes JMP 00007ff927e60308
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3752] C:\Windows\system32\KERNEL32.dll!K32EnumProcessModulesEx                                                                                                   00007ff92a2306c0 7 bytes JMP 00007ff927e601f0
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3752] C:\Windows\system32\KERNEL32.dll!K32GetMappedFileNameW                                                                                                     00007ff92a230730 7 bytes JMP 00007ff927e60228
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3752] C:\Windows\system32\KERNELBASE.dll!FreeLibrary                                                                                                             00007ff927e721d0 5 bytes JMP 00007ff927e60180
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3752] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleW                                                                                                        00007ff927e729d0 7 bytes JMP 00007ff927e600d8
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3752] C:\Windows\system32\KERNELBASE.dll!GetModuleHandleExW                                                                                                      00007ff927e74310 5 bytes JMP 00007ff927e60110
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3752] C:\Windows\system32\KERNELBASE.dll!LoadLibraryExW                                                                                                          00007ff927e78c40 5 bytes JMP 00007ff927e60148
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3752] C:\Windows\system32\KERNELBASE.dll!GetModuleFileNameExW                                                                                                    00007ff927eeeb80 5 bytes JMP 00007ff927e601b8
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3752] C:\Windows\system32\USER32.dll!CreateWindowExW                                                                                                             00007ff9281d9920 10 bytes JMP 00007ff927e60458
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3752] C:\Windows\system32\USER32.dll!EnumDisplayDevicesW                                                                                                         00007ff9281e4430 5 bytes JMP 00007ff927e603e8
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3752] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo                                                                                                  00007ff9281e44f0 1 byte JMP 00007ff927e60378
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3752] C:\Windows\system32\USER32.dll!DisplayConfigGetDeviceInfo + 2                                                                                              00007ff9281e44f2 7 bytes {JMP 0xffffffffffc7be88}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3752] C:\Windows\system32\USER32.dll!EnumDisplayDevicesA                                                                                                         00007ff9281f3b80 5 bytes JMP 00007ff927e603b0
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3752] C:\Windows\system32\USER32.dll!ChangeDisplaySettingsExW                                                                                                    00007ff9281f5cd0 5 bytes JMP 00007ff927e60420
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3752] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList                                                                                                     00007ff928361500 1 byte JMP 00007ff927e60490
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3752] C:\Windows\system32\GDI32.dll!D3DKMTGetDisplayModeList + 2                                                                                                 00007ff928361502 6 bytes {JMP 0xffffffffffafef90}
.text   C:\Program Files (x86)\Google\Chrome\Application\chrome.exe[3752] C:\Windows\system32\GDI32.dll!D3DKMTQueryAdapterInfo                                                                                                       00007ff928361750 8 bytes JMP 00007ff927e604c8
.text   C:\Windows\system32\notepad.exe[6356] C:\Windows\system32\KERNEL32.DLL!K32GetModuleInformation                                                                                                                               00007ff92a153e10 7 bytes JMP 00007ff927e60260
.text   C:\Windows\system32\notepad.exe[6356] C:\Windows\system32\KERNEL32.DLL!RegQueryValueExW                                                                                                                                      00007ff92a153e20 7 bytes JMP 00007ff927e60298
.text   C:\Windows\system32\notepad.exe[6356] C:\Windows\system32\KERNEL32.DLL!RegSetValueExW                                                                                                                                        00007ff92a2039b0 7 bytes JMP 00007ff927e60340
.text   C:\Windows\system32\notepad.exe[6356] C:\Windows\system32\KERNEL32.DLL!RegDeleteValueW                                                                                                                                       00007ff92a203ef0 7 bytes JMP 00007ff927e602d0
.text   C:\Windows\system32\notepad.exe[6356] C:\Windows\system32\KERNEL32.DLL!RegSetValueExA                                                                                                                                        00007ff92a203fe0 7 bytes JMP 00007ff927e60308
.text   C:\Windows\system32\notepad.exe[6356] C:\Windows\system32\KERNEL32.DLL!K32EnumProcessModulesEx                                                                                   &